Scriptie gd schmitz rev a

309 views

Published on

Afstudeerscriptie Ger
Mentor Henk

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
309
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Scriptie gd schmitz rev a

  1. 1. Safety Integrity Level en Performance Level bepalingRisicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie voor machines en procesinstallaties G.D. Schmitz
  2. 2. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie Safety Integrity Level en Performance Level bepaling Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie voor machines en procesinstallatiesAuteur: dhr. G.D. Schmitz Charlotte Ruysplantsoen 1 1705 NE Heerhugowaard schmitz@alyes.nlWerkzaam bij: TripleM Consultants & Engineers Nijverheidsweg 27 2031 CN Haarlem www.triplem.nl gert.schmitz@triplem.nlFunctie: Manager Industriële Automatisering / KAM ManagerScriptie ten behoeve van de PHOV opleiding Hogere Veiligheidskunde:Cursusgroep: U27Mentor: dhr. H.F. Dolleman Handtekening:Datum: 27 september 2007Verklaring van openbaarheid:Op dit rapport is het auteursrecht van toepassing. Openbaar maken is toegestaan.De auteur aan het werk:Pagina II Revisie: A, 27 september 2007
  3. 3. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieSamenvattingMomenteel staat de techniek om automatische systemen met een veiligheidsfunctie,beter bekend als de SIL techniek, volgens de normen IEC 61508, 61511, 62061 enISO 13849 te ontwerpen, volop in de belangstelling.Door de vrij recente updates van de normen en een toenemende aandacht voor dezetechniek, ook vanuit de controlerende overheid, bestaat er veel behoefte aan externadvies en ondersteuning. Dat geldt voor de uitvoering van risicobeoordelingen, hetbepalen van het juiste SIL of PL niveau (de SIL/PL classificatie) als ook het ontwerpvan een instrumenteel beveiligingssysteem volgens deze normen.Het is te verwachten dat toepassing van deze techniek voor procesinstallaties maarvooral ook voor machines in de nabije toekomst een sterke groei zal doormaken.De huidige stand van zaken en ervaringen bij klanten zijn de redenen waardoor ditrapport tot stand is gekomen:- Onduidelijkheid en ontevreden gevoel bij klanten m.b.t. de risicoclassificering. Onvolledige motivatie en onvoldoende klantbetrokkenheid leidt tot de veelgehoorde klacht dat het classificatieresultaat te zwaar is.- Te technisch beoordeelde classificaties, veelal uitgevoerd door technici. Situatie-, gebruiker- en cultuurgerelateerde invloeden worden over het algemeen niet meegenomen.- De laatste update van de PL (Performance Level) norm ISO 13849 en de SIL (Safety Integrity Level) normen IEC 61508, 61511 en 62061.- De classificatie van veiligheidsfuncties van machines volgens de PL systematiek kan leiden tot een andere waardering dan volgens de SIL systematiek.In dit rapport worden risicobeoordelingsinstrumenten uitgewerkt voor het bepalen vanhet SIL en PL van een zogenaamde Safety Instrumented Functie. Voor klanten vanTripleM leidt het advies op basis van het resultaat van het onderzoek tot:- Risicoclassificatie passend bij de installatie en de gebruiker c.q. installatie-eigenaar.- Een correct veiligheidsniveau van machines en procesinstallaties.- Een goede onderbouwing van de classificatie met gerichte aanbevelingen, waardoor begrip en acceptatie ontstaat voor het resultaat en de te nemen maatregelen.Dit doel wordt bereikt door:- het uitwerken van risicografen voor het beoordelen van risico’s van procesinstallaties en machines;- het selecteren van één risicograaf voor het bepalen van zowel het SIL als het PL van een machine;- een handleiding uit te werken voor het correct toepassen van de risicografen.Het resultaat komt voort uit ervaringen uit contacten met klanten, leveranciers vanveiligheidsinstrumenten en externe adviseurs. Bestudering van de normen ISO 13849,IEC 61508, 61511 en 62061 en aanverwante normen. Onderzoek naar relevanteliteratuur. En ervaringen uit de eigen organisatie bij het uitvoeren vanrisicobeoordeelingswerkzaamheden en SIL/PL classificaties.De belangrijkste conclusies en aanbevelingen zijn:- Het aanpassen van het ontwerp heeft de voorkeur boven het toepassen van een instrumentele beveiliging. Beter een veilig ontworpen installatie dan beveiligd door aanvullende instrumentele maatregelen. Dit is een aandachtspunt in de ontwerpfase van machines en installaties.- De kwaliteit van het bepalen van een PL of SIL wordt verbeterd door het toepassen van de in hoofdstuk 6 beschreven risicografen.Pagina III Revisie: A, 27 september 2007
  4. 4. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie- Gebruik de gemodificeerde en gecombineerde risicograaf uit Bijlage I voor het bepalen van zowel een PL (ISO 13849) als een SIL (IEC62061). Dit om een eenduidig beoordelingsresultaat met een consistente onderbouwing te verkrijgen.- Zorg voor acceptatie van het SIL of PL resultaat door klanten te betrekken bij de uitvoering van een SIL of PL bepaling.- Een volledige rapportage met een goede onderbouwing van de SIL en PL bepalingen is essentieel.De volgende acties worden geadviseerd om de kwaliteit van de SIL en PL bepalingente borgen binnen de organisatie:- De bevindingen uit dit rapport dienen te worden verwerkt in de standaard rapportage en het bijbehorende classificatiesheet.- De betrokken adviseurs op de hoogte brengen van de bevindingen uit dit rapport.Pagina IV Revisie: A, 27 september 2007
  5. 5. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieInhoudsopgave1 Inleiding.............................................................................................................. 1 1.1 De organisatie TripleM Consultants & Engineers......................................................1 1.1.1 De positie van de auteur binnen TripleM......................................................2 1.1.2 Het profiel van de klanten van TripleM Industriële Veiligheid.......................2 1.2 Het doel en de doelgroep van het rapport.................................................................2 1.3 De aanpak van het onderzoek...................................................................................2 1.4 Leeswijzer..................................................................................................................32 Afbakening van het rapport en probleemstelling ............................................ 4 2.1 Risicobeoordeling van machines en procesinstallaties .............................................4 2.2 Risicoreducerende maatregelen................................................................................5 2.3 Automatische systemen met een veiligheidsfunctie..................................................6 2.4 Specifieke normen voor het ontwerp van automatische systemen met een veiligheidsfunctie .......................................................................................................7 2.5 Definitie van automatische veiligheidsfunctie en automatisch veiligheidssysteem...8 2.6 Risicobeoordeling en classificatie van een SIF; de doelstelling van dit rapport........9 2.7 Probleemstelling en het effect op een SIL of PL bepaling ......................................103 Wat is het wettelijk kader voor functionele veiligheid .................................. 12 3.1 Veiligheidswetgeving ...............................................................................................12 3.2 Milieuwetgeving .......................................................................................................13 3.3 Economische schade ..............................................................................................134 Het belang van een gedegen risicobeoordeling van een SIF ....................... 15 4.1 Het effect van fouten tijdens het ontwerpproces van SIFs ......................................15 4.2 De vereiste nauwkeurigheid van de risicograaf.......................................................16 4.3 Wie past een risicograaf toe ....................................................................................175 Het risico van een procesinstallatie versus het risico van een machine..... 19 5.1 De invloed van een machine op veiligheid ..............................................................19 5.2 De invloed van een procesinstallatie op veiligheid..................................................20 5.3 Verschil in risicografen voor de beoordeling van het veiligheidsrisico van machines en procesinstallaties ................................................................................................20 5.4 Een machine met een procesrisico en een proces met een machinerisico ............216 Het bepalen van het Safety Integrity- of Performance Level met behulp van een risicograaf ................................................................................................. 22 6.1 Het toepassen van een risicograaf voor machines .................................................22 6.1.1 De keuze van de risicograaf .......................................................................22 6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid....24 6.1.3 Bepaling van de kans op schade met een bepaalde ernst.........................25 6.2 De risicograaf voor procesinstallaties......................................................................28 6.2.1 De keuze van de risicograaf .......................................................................28 6.2.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid....28 6.2.3 Bepaling van de kans op schade met een bepaalde ernst.........................297 Implementatie van het scriptieresultaat en ontwikkeling van functional safety binnen de TripleM organisatie. ............................................................ 32Pagina V Revisie: A, 27 september 2007
  6. 6. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie8 Conclusies en aanbevelingen......................................................................... 349 Literatuur.......................................................................................................... 37 9.1 Boeken.....................................................................................................................37 9.2 Artikelen...................................................................................................................37 9.3 Normen ....................................................................................................................3710 Lijsten............................................................................................................... 38 10.1 Verklarende woordenlijst .........................................................................................38 10.2 Lijst met afkortingen ................................................................................................39Bijlage A Scriptievoorstel en akkoord verklaringBijlage B Relatie tussen Safety Instrumented Functions (SIFs) en andere besturingsfunctiesBijlage C Registratie van ervaringen en stellingen van derden die een verkeerd beeld geven van functional safetyBijlage D Risicograaf ISO 13849Bijlage E Risicograaf IEC 62061Bijlage F Risicograaf IEC 61511Bijlage G Overzicht risicografen 61511, 62061 en 13849Bijlage H Vergelijking risicobeoordeling volgens ISO 13849 en IEC 62061Bijlage I Gemodificeerde en gecombineerde risicomatrix IEC 62061 en ISO 13849Bijlage J Het effect van een onvolledig classificatierapportBijlage K Klantenmailing ‘Risicoreductie van productie-installaties’Pagina VI Revisie: A, 27 september 2007
  7. 7. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie1 InleidingVanuit met name de petrochemische- en chemische industrie zijn al vele jarentechnieken bekend om automatische systemen met een veiligheidsfunctie teontwerpen. De omvang van de schadelijke effecten voor de gezondheid van grotegroepen mensen en enorme economische schade bij calamiteiten vormden denoodzaak om een hoge mate van betrouwbaarheid bij dergelijke systemen terealiseren.De IEC ontwikkelde de basisnorm IEC 61508, inmiddels de meest bekende standaardom automatische systemen met een veiligheidsfunctie te ontwerpen. De laatste uitgavevan deze norm is in 2002 geharmoniseerd als Nederlandse- (NEN) en Europesenormstandaard (EN). In 2003 volgde de, van de IEC 61508 afgeleide, norm NEN-EN-IEC61511, specifiek gericht op de procesindustrie. De introductie van deze normzorgde in Nederland voor verhoogde aandacht voor deze ontwerptechnieken bijdiverse procesindustrieën. Inmiddels is de norm uitgegroeid tot een wereldwijdbekende en toegepaste standaard.Behalve een aantal, vooral (petro)chemische, procesindustrieën worden de normen inNederland nog niet overal toegepast. Er is wel veel behoefte aan informatie.In 2005 werd de NEN-EN-IEC 62061 geïntroduceerd. Deze norm is ook afgeleid vande IEC 61508 en specifiek gericht op het ontwerpen van automatische systemen meteen veiligheidsfunctie voor machines.Een jaar later, in 2006, wordt de norm NEN-EN-ISO 13849 geïntroduceerd. Dezenorm, afkomstig van een normcommissie onder de ISO vlag, heeft dezelfdedoelstelling als de IEC 62061.Na harmonisering van beide machinenormen met de machinerichtlijn dringt ook denoodzaak bij machinebouwers door om de normen toe te passen.Door de brede aandacht en wereldwijde toepassing van genoemde normen wordttegenwoordig ook door veiligheids- en milieu-inspectiediensten van de overheidgevraagd om borging van de integriteit van beveiligingssystemen middels hettoepassen van de normen.1.1 De organisatie TripleM Consultants & EngineersTripleM Consultants & Engineers B.V. (www.triplem.nl), kortweg TripleM, is eenmultidisciplinair ingenieursbureau met klanten voornamelijk binnen de industriëlebranches farmacie, proces, zware industrie en machinebouw. De activiteiten bestaanin hoofdlijn uit ontwerp en realisatie van procesinstallaties en machines. TripleM isopgericht in 1992, gevestigd in Haarlem en er werken circa 75 medewerkers. Vanafapril 2007 maakt TripleM deel uit van de Iv-Groep in Papendrecht (www.iv-groep.nl).De diverse vakgerelateerde afdelingen van TripleM leverden al jarenveiligheidsadviesdiensten. Sinds enige tijd zijn deze diensten ondergebracht in deafdeling ‘Industriële Veiligheid’. De diensten van deze afdeling bestaan onder andereuit: veiligheid t.b.v. machine en installatieontwerp, werkplekveiligheid (bijvoorbeeld ookATEX studies) en bouwplaatsveiligheid.Belangrijke diensten in relatie met het kader van dit rapport is het uitvoeren vanrisicobeoordelingen van procesinstallaties (bijv. HAZOP studies) en machine-installaties, het classificeren van integriteitniveaus van veiligheidsfuncties (SIL en PLclassificaties) alsmede het ontwerp en de verificatie van de instrumentelebeveiligingssystemen. De uitkomst van dit rapport draagt bij aan de verdereontwikkeling van deze diensten.Pagina 1 van 39 Revisie: A, 27 september 2007
  8. 8. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie1.1.1 De positie van de auteur binnen TripleMAls KAM manager ben ik verantwoordelijk voor het kwaliteitssysteem (ISO9001), deveiligheid van onze medewerkers en op bouwplaatsen (VCA**) en de naleving vanmilieueisen, m.n. van toepassing op bouwplaatsen.Als manager Industriële Veiligheid ben ik verantwoordelijk voor de uitvoering van onzeveiligheidsadviesdiensten, specifieke veiligheidsgerelateerde projecten en deontwikkeling en sturing van de afdeling Industriële Veiligheid.1.1.2 Het profiel van de klanten van TripleM Industriële VeiligheidHet grootste percentage klanten van TripleM bestaat uit eigenaren van industriëleproces- en machine-installaties. Veel van deze klanten hebben geen jarenlangeervaring met de ontwerpnormen voor systemen met een veiligheidsfunctie, zoalsbijvoorbeeld het geval is bij een aantal (petro)chemische industrieën. Door de vrijrecente updates van de normen en een toenemende aandacht voor de materie, ookvanuit de controlerende overheid, worden sommige van deze klanten geconfronteerdmet de materie. Er bestaat veel behoefte aan extern advies en ondersteuning bij deuitvoering van risicobeoordelingen, het bepalen van het juiste SIL of PL niveau en hetontwerp van een SIS.Sommige klanten worden geconfronteerd met kostbare aanpassingen aan huninstallaties naar aanleiding van een SIL classificatie. Regelmatig laat de onderbouwingvan de classificatie te wensen over. En soms wordt de classificatie ronduit slechtuitgevoerd of is onvoldoende toegespitst op de specifieke situatie.1.2 Het doel en de doelgroep van het rapportDe primaire doelgroep waarvoor dit rapport is opgesteld, zijn de adviseurs enengineers uit de TripleM organisatie die betrokken zijn bij risicobeoordelingen voor hetbepalen van het SIL of PL.In dit rapport worden risicobeoordelingsinstrumenten uitgewerkt voor het bepalen vanhet SIL en PL van een Safety Instrumented Functie. Voor klanten van TripleM moet hetadvies op basis van het resultaat van het onderzoek leiden tot:- Risicoclassificatie passend bij de installatie en de gebruiker c.q. de installatie- eigenaar.- Een correct veiligheidsniveau van machines en procesinstallaties.- Een goede onderbouwing van de classificatie met gerichte aanbevelingen, waardoor begrip en acceptatie ontstaat voor het resultaat en de te nemen maatregelen.Dit doel wordt bereikt door:- Het selecteren van één risicograaf voor het bepalen van zowel het SIL als het PL van een machine.- Het uitwerken van risicografen voor het beoordelen van risico’s van procesinstallaties en machines.- Een handleiding voor het correct toepassen van de risicografen.1.3 De aanpak van het onderzoekHet onderzoek bestaat uit de volgende fasen:1. Basiskennis opdoen: Het bestuderen van de direct gerelateerde normen: ISO 13849, IEC 61508, 61511 en 62061. Onderzoek naar relevante literatuur.2. Inventariseren van ervaringen:Pagina 2 van 39 Revisie: A, 27 september 2007
  9. 9. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie Er zijn gesprekken gevoerd met de volgende bronnen om ervaringen met de uitvoering van risicobeoordelingen te inventariseren: klanten, leveranciers van veiligheidscomponenten, externe adviseurs en leden van de NVVK werkgroep WESP. Daarnaast zijn de ervaringen van collega’s en uit projecten van de eigen organisatie meegenomen.3. Verzamelen en analyseren van oplossingsgerichte data: Inventarisatie en studie van, aan het onderwerp, gerelateerde normen. Bruikbare ervaringen uit de literatuurstudie inventariseren.De meeste gesprekken zijn gevoerd door de auteur zelf. Een enkel gesprek met eenadviseur is door een collega gevoerd in het kader van een machinebeveiligingsproject.Alle studies zijn uitgevoerd door de auteur.1.4 LeeswijzerIn HOOFDSTUK 2 wordt relatief veel aandacht besteed aan het ontwerpproces voorrisicoreducerende maatregelen. Duidelijk wordt wat de plek is van de risicobeoordelingom het SIL of PL van een SIF te bepalen. Tevens wordt aangegeven wat de relatie vandeze risicobeoordeling is tot de risicobeoordeling van een machine of procesinstallatie.Van toepassing zijnde normen en definities worden toegelicht. Dit hoofdstuk geeft deminder geïnformeerde lezer een basiskennis die nodig is om het rapport te kunnenbegrijpen. Uiteindelijk wordt de specifieke probleemstelling toegelicht.HOOFDSTUK 3 laat zien hoe functionele veiligheid binnen de Nederlandseveiligheidswetgeving een rol kan spelen. Tevens wordt de relatie met milieuwetgevingen economische effecten kort toegelicht.HOOFDSTUK 4 gaat in op het nut en de noodzaak van een gedegen risicobeoordelingvan een SIF. Het verschil in het effect van een waardeoordeel tussen derisicobeoordeling van een SIF en die van een machine of procesinstallatie wordttoegelicht. Evenals het effect van de achtergrond van degene die een risicograaftoepast.In HOOFDSTUK 5 wordt het verschil tussen risico’s van machines vanprocesinstallaties toegelicht. Bij combinaties van machines en procesinstallaties is hetvan belang om de juiste norm te selecteren voor het ontwerpen van een specifiek SIS.In HOOFDSTUK 6 wordt een risicograaf voor het bepalen van zowel het SIL als hetPL voor machines vastgesteld. Vervolgens is een uitgebreide toelichting op het gebruikvan zowel de machine- als de procesrisicograaf uitgewerkt.Tot slot wordt in HOOFDSTUK 7 de implementatie van de uitkomsten uit dit rapportbinnen de TripleM organisatie aangegeven.Pagina 3 van 39 Revisie: A, 27 september 2007
  10. 10. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie2 Afbakening van het rapport en probleemstellingVanuit de diverse wetgeving wordt de eis gesteld om risico’s te inventariseren,evalueren en risicobeperkende maatregelen te nemen. Dat geldt ook voor de risico’sbij het toepassen van arbeidsmiddelen als machines en procesinstallaties (zie ook H3).Figuur 1 laat een model zien van een risicoreductieproces voor arbeidsmiddelen,bestaande uit een risicobeoordeling en het nemen van risicoreducerende maatregelen. Risicobeoordeling Ontwerpproces risicoreducerende maatregelen Risico analyse - bepaling grenzen van machine / proces - identificatie van de gevaren - inschatting van het risico Risico evaluatie - beoordeling risicoanalyse - besluitvorming noodzaak tot risicoreductie Risicoreducerende maatregelen Het ontwerpen van maatregelen om voldoende reductie van het risico te bereiken (ALARP). Validatie risicoreductie Beoordeling of de maatregelen de gewenste risicoreductie tot gevolg hebben. Figuur 1 Ontwerpproces risicoreducerende maatregelen2.1 Risicobeoordeling van machines en procesinstallatiesVoor het uitvoeren van een risicobeoordeling van machines of procesinstallatiesworden diverse tools toegepast. Voorbeelden van dergelijke tools zijn:• HAZOP – Hazard & Operability Study (procesinstallaties)• FME(C)A – Failure Mode and Effects (and Criticality) Analysis (machines)• What-If analyse• NEN1050• Checklist machinerichtlijnBij het uitvoeren van een risicobeoordeling is het noodzakelijk om rekening te houdenmet de veiligheid van de machine/installatie gedurende alle fasen van zijn levensduur,inclusief fabricage, transport, installatie en ontmantelen. Dat geldt ook voor de diversegebruiksstadia, zoals: opstart, schoonmaken, onderhoud, storingzoeken, en dergelijke.Het besluit om een specifieke risicoreducerende maatregel te nemen is een resultaatvan de risicobeoordeling.Pagina 4 van 39 Revisie: A, 27 september 2007
  11. 11. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie2.2 Risicoreducerende maatregelenHet nemen van risicoreducerende maatregelen kan, op basis van effectiviteit, in tweemogelijkheden worden ingedeeld:• inherent veilige maatregelen – preventieve maatregelen, voorkomen van het gevaar• beschermende maatregelen – beheersing van het risico en controleren van de effectenBij inherent veilige maatregelen worden de gevaren weggenomen of de risico’safdoende verkleind door het wijzigen van het ontwerp, zonder gebruik te maken vanbeschermende maatregelen. Anders gezegd: de machine of installatie wordt dusdaniggewijzigd dat het gevaar niet meer bestaat of het risico tot een acceptabel niveau isteruggedrongen. Extra beschermende maatregelen kunnen bij falen of bij aansprekenhet proces verstoren. Of er ontstaat en risicovolle situatie door falendeveiligheidsmaatregelen. Hierdoor hebben inherent veilige maatregelen de eerste keus.Een voorbeeld: de druk in een drukvat kan bij een verstoring van het proces dusdanigoplopen dat het drukvat openbarst. Als beschermende maatregel zouden beveiligingenkunnen worden toegepast om de druk te bewaken, te regelen of eventueel af te blazen.Als inherente beveiliging kan de ontwerpdruk van het vat dusdanig worden gekozendat deze te allen tijde bestand is tegen de maximaal voorkomende procesdruk.Een andere inherent veilige oplossing kan wellicht gevonden worden in een andereprocesvoering (mogelijk zelfs gebruik van andere grondstoffen of fysische waarden),zodat de procesdruk niet kan oplopen tot boven de ontwerpdruk van het vat.Inherent veilige maatregelen hebben vaak principiële ontwerpwijzigingen tot gevolg.Het is daarom van belang om in een vroegtijdig ontwerpstadium van procesinstallatieof machine een risicobeoordeling uit te voeren. Het is niet uitzonderlijk om in deontwerpfase op meerdere momenten een risicobeoordeling uit te voeren.Door invoering van de RI&E in de Arbo-wet worden momenteel van veel bestaandeprocesinstallaties risicobeoordelingen, vaak een HAZOP studie, uitgevoerd. Van veelvan deze installaties is nooit eerder een risicobeoordeling uitgevoerd. Door deinvoering van de machinerichtlijn, al in 1995, geldt dit in mindere mate voor machines.Voor inherente veiligheidsmaatregelen wordt bij bestaande installaties nauwelijksgekozen. Argumenten hiervoor zijn de hoge kosten die principiële proceswijzigingenmet zich meebrengen en het wijzigen van registraties van gevalideerdeprocesvoeringen (geldt met name in de farmaceutische industrie en in mindere mate inde voedingsmiddelenindustrie). De ervaring leert dat in de ontwerpfase onvoldoende aandacht is voor het nemen van inherent veilige maatregelen. Oorzaken hiervoor zijn: - Een risico-analyse wordt in een te laat stadium uitgevoerd - Er is onvoldoende aandacht voor inherent veilige alternatieven De procesengineering is gedaan, de procesflow is bekend en de equipment in grote lijnen bepaald. Om in dit stadium een stap terug te gaan en aan de basis van het procesontwerp te sleutelen blijkt nog geen normale gang van zaken te zijn. Er wordt te vanzelfsprekend gekozen voor aanvullende beschermende maatregelen. Voor bestaande procesinstallaties zijn principiële wijzigingen zo goed als niet bespreekbaar. Machinebouwers kiezen eerder voor inherent veilige maatregelen. Vaak omdat extra aangebrachte veiligheidmaatregelen ook extra kosten met zich meebrengen. Meer aandacht voor inherent veilige maatregelen in het risico-analyse en –reductietraject is wenselijk.Het zogenaamde ‘layer of protection’ model uit Figuur 2 geeft een beeld van demogelijkheden van beschermende maatregelen. In het model zijn de volgendePagina 5 van 39 Revisie: A, 27 september 2007
  12. 12. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieniveau’s van beveiligen herkenbaar met betrekking tot het nemen van beschermendemaatregelen:• Beheersing van de risico’s 1. Proces/machine regelingen en beveiligingen (bijvoorbeeld procesregelingen en automatische systemen met een veiligheidsfunctie)• Controleren van de effecten 2. Beperken van het risico (bijvoorbeeld noodstop en drukaflaatsysteem) 3. Repressieve maatregelen (blussysteem, noodplan) COMMUNITY EMERGENCY RESPONSE Emergency broadcasting PLANT EMERGENCY RESPONSE Evacuation procedures CONTROLEREN EFFECTEN MITIGATION Mechanical mitigation system Safety instrumented control systems Safety instrumented mitigation systems Operator supervision PREVENTION Mechanical protection system Process alarms with operator corrective action Safety instrumented control system Safety instrumented prevention system CONTROL and MONITORING BEHEERSEN RISICO”S Basic control systems Monitoring systems (process alarms) Operator supervision PROCESFiguur 2 - Layers of Protection model2.3 Automatische systemen met een veiligheidsfunctieZowel op het niveau van beheersing van de risico’s als het controleren van effectenbevinden zich de automatische systemen met een veiligheidsfunctie in de volgendeprotection layers:- Control and monitoring- Prevention- MitigationDe flowchart uit Bijlage B laat de veiligheidsfuncties uit de verschillende protectionlayers zien in relatie tot andere besturingsfuncties.Het gaat hierbij om automatische beveiligingssystemen die ingrijpen in een proces ofeen machine wanneer de mogelijkheid tot het optreden van een gevaar ontstaat. Hetrisico dat dit gevaar werkelijk optreedt wordt hiermee tot een aanvaardbaar niveaubeperkt. Of om systemen die ingrijpen als een calamiteit werkelijk optreed en daarmeehet schade-effect kunnen beperken.Automatisch beveiligingssysteem is een zeer breed begrip. Enkele voorbeelden vandergelijke beveiligingsystemen kunnen zijn:- Elektromechanische onderdelen – bijvoorbeeld een deurcontact dat een motorrelais van een machine uitschakelt.- Elektronische, niet programmeerbare, apparatuur - Een flowmeting die een afsluiter aanstuurt.- Programmeerbare elektronica – bijvoorbeeld een geavanceerd temperatuurmeetsysteem dat op meerder plaatsen in een vat de temperatuur meet, aangesloten op een veiligheidsbesturingssysteem. Afhankelijk van verschillende meetresultaten worden beveiligingsafsluiters en een pomp aangestuurd.Pagina 6 van 39 Revisie: A, 27 september 2007
  13. 13. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieBovenstaande voorbeelden laten zien dat automatische beveiligingssystemen uiteenvoudige direct geschakelderelaissystemen kunnen bestaantot geavanceerde, Input device Logic solver Final elementscomputergestuurde systemen. In Opnemer, PLC, Ventiel,de basis bestaan echter alle schakelaar, relaiskast, motorrelais, sensor, besturingssysteem. afsluiter.systemen uit de onderdelen uit instrument.Figuur 3. TT TC Figuur 3 - Automatisch veiligheidssysteem bestaande uit één veiligheidsfunctie2.4 Specifieke normen voor het ontwerp van automatische systemen met een veiligheidsfunctieVoor het ontwerpen van automatische beveiligingssystemen zijn normen ontwikkeldvanuit de IEC en de ISO, als aangegeven in onderstaand overzicht: IEC ISO ISO 61508 61511 62061 13849 Procesinstallaties Machines Figuur 4 - Overzicht normen voor het ontwerp van systemen met een veiligheidsfunctieVan de IEC komt de norm 61508-1 t/m 7 (Functional safety of electrical /electronic /programmable electronic safety-related systems) [Norm 7] als basis voor deontwikkeling en toepassing van alle elektrische/elektronische systemen (electrical /electronic / programmable electronic systems) die een veiligheidsfunctie uitvoeren.Deze uitgebreide norm richt zich ook op de ontwikkelaars van veiligheidsapparatuur enveiligheidssoftware.Vanuit de 61508 zijn twee, beter hanteerbare, normen afgeleid, t.w.:• 61511-1 t/m 3 (Functional safety - Safety instrumented systems for the process industry sector) [Norm 8], specifiek bedoeld voor het ontwerpen van veiligheidssystemen voor procesinstallaties.• 62061 (Safety of machinery – Functional safety of safety-related electrical, electronic and programmable electronic control systems) [Norm 9], specifiek bedoeld voor het ontwerpen van veiligheidssystemen voor machines.Pagina 7 van 39 Revisie: A, 27 september 2007
  14. 14. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie• Van de ISO komt de norm 13849-1 en 2 (Safety of machinery - Safety-related parts of control systems) [Norm 4, Norm 5], bedoeld voor het ontwerpen van veiligheidssystemen voor machines.De norm ISO 13849 heeft een vergelijkbare doelstelling als de norm IEC 62061. Denieuwere 13849 verwijst ook naar de 61508 / 62061 normen. Een belangrijk verschil indoelstelling is dat de IEC normen zich richten op elektrische/elektronische systementerwijl de 13849 een breder kader heeft waaronder ook pneumatische- en hydraulischesystemen. Verder wijken de toegepaste systematieken uit beide normen van elkaar af.Alle normen zijn geharmoniseerd met de Nederlandse en Europese normen (NEN enEN). De beide machinegerelateerde normen zijn geharmoniseerd met de EuropeseMachinerichtlijn (zie ook hoofdstuk 3, wettelijk kader).Tot voor kort werd de norm NEN-EN 954 (Veiligheid van machines - Onderdelen vanbesturingssystemen met een veiligheidsfunctie) algemeen toegepast voor het ontwerpenvan een automatische veiligheidsfunctie met een machinetoepassing. De daarinvoorkomende veiligheidscategorieën (B, 1 t/m 4) komen nog veel voor als aanduiding opcomponenten en worden in de praktijk nog wel toegepast. Deze norm is inmiddelsvervallen en is vervangen door de NEN-EN-ISO 13849. In dit rapport zal derhalve geenaandacht aan de NEN 954 meer worden besteed.2.5 Definitie van automatische veiligheidsfunctie en automatisch veiligheidssysteemVoor het juiste begrip is het van belang om een duidelijke definitie vast te stellen vande volgende twee begrippen:• Automatische veiligheidsfunctie• Automatisch veiligheidssysteemDe automatische veiligheidsfunctie is de functionaliteit die omschrijft hoe eenbepaald vastgesteld risico wordt gereduceerd. De automatische veiligheidsfunctiewordt uitgevoerd door een automatisch veiligheidsysteem, ofwel de techniek die defunctie uitvoert. Het automatische veiligheidssysteem bestaat is opgebouwd conformhet schema van Figuur 3.In de normen uit de 61508 familie worden er verschillende definities gebruikt voorvergelijkbare veiligheidsfuncties:- 61511 Safety Instrumented Function (SIF) safety function with a specified safety integrity level which is necessary to achieve functional safety and which can be either a safety instrumented protection function or a safety instrumented control function.- 62061 Safety-Related Control Function (SRCF) control function implemented by a SRECS with a specified integrity level that is intended to maintain the safe condition of the machine or prevent an immediate increase of the risk(s).Een automatisch veiligheidssysteem kan uit een of meerdere veiligheidsfunctiesbestaan. Ook voor het veiligheidssysteem zijn weer verschillende definities in de 61508familie normen:- 61511 Safety Instrumented System (SIS) instrumented system used to implement one or more safety instrumented functions. A SIS is composed of any combination of sensor(s), logic solver(s), and final element(s).Pagina 8 van 39 Revisie: A, 27 september 2007
  15. 15. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie- 62061 Safety-Related Electrical Control System electrical control system of a machine whose failure can result in an immediate increase of the risk(s)De norm 13849 maakt geen specifiek verschil tussen een veiligheidsfunctie en eenveiligheidssysteem en definieert het veiligheidssysteem als volgt:- 13849 Safety-related part of a control system (SRP/CS) part of a control system that responds to safety related input signals and generates safety related output signals.N.B.: Er wordt in dit rapport gekozen voor het gebruik van de afkortingen SIF voor deautomatische veiligheidsfuncties en SIS voor het automatische veiligheidssysteem, uitde norm 61511. Ook als het gaat om de normen 62061 en 13849.Het schema uit Bijlage B geeft de relatie weer tussen verschillende vormen van SafetyInstrumented Functions (SIFs) en andere controlfuncties.2.6 Risicobeoordeling en classificatie van een SIF; de doelstelling van dit rapportEen belangrijk uitgangspunt bij het ontwerpen van een SIS is de eis die gesteld wordtaan de kans op falen van een SIF. Aan een SIF wordt een hoge mate vanbeschikbaarheid gesteld. Wanneer de beveiliging nodig is moet hij ook werken. Tabel 1geeft de beschikbaarheideis aan voor SIFs die werken in de zogenaamde continuousof high demand mode.Bijvoorbeeld in een SIF met een PL d / SIL 2 classificatie mag tussen de 0 enmaximaal 1141 jaar niet meer dan 1x een fout optreden die leidt tot een gevaarlijkesituatie. In een installatie met 1000 SIFs met dezelfde klasse ‘mag’ er jaarlijks dan bijmaximaal 9 SIFs een gevaarlijke situatie ontstaan door niet goed functioneren van deSIF!Hiermee worden belangrijke eisen gesteld aan het ontwerp van het SIS en de kwaliteitvan de gebruikte componenten. Target frequency of dangerous failures to perform the safety Target average number ofISO 13849 IEC 61511 / 62061 instrumented function (per years between dangerousPL SIL hour) failures of a SIF –5 –4a Geen ≥ 10 to < 10 ~ 1,1 - 11 overeenkomst –6 –5b 1 ≥ 3 x 10 to < 10 ~ 11 - 38 –6 –6c 1 ≥ 10 to < 3 x 10 ~ 38 - 114 –7 –6d 2 ≥ 10 to < 10 ~ 114 - 1141 –8 –7e 3 ≥ 10 to < 10 –9 –8Geen 4 ≥ 10 to < 10 ~ 11415 - 114155overeenkomstTabel 1 - PL en SIL levels - frequency of dangerous failures of the SIF in continuous mode of operationPagina 9 van 39 Revisie: A, 27 september 2007
  16. 16. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieZowel de ISO als IEC gerelateerde normen kennen een aantalbeschikbaarheidniveaus, afhankelijk van de norm genaamd:- ISO 13849 : PL – Performance Level- IEC 61511 / 62061 : SIL – Safety Integrity LevelHet is afhankelijk van het risico dat de SIF beveiligt welk PL of SIL niveau moet wordentoegepast. Hoe groter het risico, des te kleiner de kans op falen van de SIF.Middels een gedetailleerde risicobeoordeling van het te reduceren risico wordt het PLof SIL niveau van een SIF bepaald. De drie normen stellen elk een eigen systematiekvoor het uitvoeren van een risicobeoordeling voor.In dit rapport wordt de systematiek uitgewerkt die gebruikt gaat worden door TripleMbij het advies aan haar klanten.2.7 Probleemstelling en het effect op een SIL of PL bepalingRond het bepalen van een SIL of PL niveau bestaan een aantal meningen,interpretaties, misverstanden die de kwaliteit van de bepaling geen goed doen.In deze paragraaf een inventarisatie van ervaringen die kunnen leiden tot eenverkeerde toepassing van de normen of onvoldoende acceptatie bij de eindgebruiker.In Bijlage C zijn uitspraken, stellingen en bevindingen opgetekend die voortkomen uitgesprekken met klanten, leveranciers en adviseurs, alsmede ervaringen die TripleMmedewerkers vanuit hun werk hebben opgedaan.Ervaringen• Risicobeoordelingen t.b.v. een SIL / PL bepaling worden vaak door technici uitgevoerd. De voorbeeldsystemen uit de normen worden vrij abstract opgevolgd. Situatie-, gebruiker- en cultuurgerelateerde invloeden worden over het algemeen niet of onvoldoende meegewogen.• Het resultaat van een SIL / PL beoordeling bestaat uit een getal. Vastlegging van de analyse met motivatie wordt niet, of onvoldoende uitgevoerd. Het ontbreken van een goede onderbouwing van de SIL / PL bepaling geeft terugkerende discussie over de hoogte van het bepaalde SIL / PL niveau. Het kan leiden tot slechte acceptatie bij klanten of een onjuist ontwerp van het SIS (Bijlage J geeft hiervan een voorbeeld).• Hele machines en installaties of delen daarvan worden geclassificeerd met een SIL of PL niveau; bijvoorbeeld de zogenaamde ‘klasse 2 machine’. Komt helaas te vaak voor. Een SIL / PL niveau kan alleen toegekend worden aan een enkele SIF! In deze gevallen richt men zich vaak teveel op het effect van een calamiteit en is de waarschijnlijkheid van voorkomen onderbelicht of wordt in het geheel niet beschouwd. Het effect is dan vaak het zwaarste geval dat een installatie(deel) kan veroorzaken.• Er zijn twee verschillende normen met verschillende tools om het SIL en het PL van een machine-SIF te bepalen. De norm 13849-1 koppelt de niveaus uit beide normen aan elkaar middels een tabel (zie Tabel 1). Een risicobeoordeling uitgevoerd volgens het systeem van 13849 kan een andere waardering geven dan uitgevoerd volgens 62061. Bijlage H geeft hiervan een voorbeeld.• De kans van optreden van een gevaarlijke situatie wordt door sommige adviseurs onvoldoende meegenomen bij ernstige effecten. Zoals bijvoorbeeld de volgendePagina 10 van 39 Revisie: A, 27 september 2007
  17. 17. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie mening: gevaar op verlies van een hand mag niet lager geclassificeerd worden dan SIL 2. Een dergelijke stelling wordt door de systematiek van zowel de SIL als de PL norm gevoed. Echter de kans van optreden is een belangrijke factor voor het bepalen van het risico. Hoofdstuk 6 besteedt hieraan aandacht.• Onderzoeken worden uitgevoerd door Arbo-diensten, machine fabrikanten, leveranciers van veiligheidscomponenten of gespecialiseerde adviesbureaus. Er ontstaat soms twijfel aan de deskundigheid of de (on)afhankelijkheid van de diverse adviseurs. Naar mijn mening mede veroorzaakt door onvoldoende deugdelijk uitgevoerde risicobeoordelingen.De effecten van bovenstaande ervaringen kunnen zijn:- Onvoldoende veilig ontwerp van machines/installaties (te laag SIL/PL level bepaald).- Er worden te zware (te dure) veiligheidsmaatregelen toegepast (te hoog SIL/PL level bepaald), waardoor de klant geconfronteerd werd met zeer ingrijpende wijzigingen (kosten v.s. baten niet in verhouding).- Door verkeerde of onvoldoende onderbouwing kan een verkeerd ontworpen SIS ontstaan.- Onbegrip bij installatie-eigenaren door een onvoldoende duidelijke motivatie van de risico’s.- Onvoldoende onderbouwing van de beoordeling, waardoor twijfel ontstaat over de nut en noodzaak van aanpassing van de installatie. Soms worden beveiligingsmaatregelen hierdoor niet meer uitgevoerd.- Door het niet meenemen van organisatorische en culturele invloeden kan er onvoldoende aandacht ontstaan voor de invloed hiervan op de risico’s van het gebruik van machines en installaties. Bijvoorbeeld de noodzaak voor goede training m.b.t. het gebruik en de risico’s en het inzetten van personeel met voldoende niveau. Dat zou zelfs kunnen leiden tot een minder zwaar uitgevoerde beveiliging!Pagina 11 van 39 Revisie: A, 27 september 2007
  18. 18. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie3 Wat is het wettelijk kader voor functionele veiligheidIn dit hoofdstuk wordt het wettelijke kader rond functionele veiligheid toegelicht. Hoewelde scope van dit rapport zich beperkt tot veiligheidsaspecten, ook een korte toelichtingop milieuwetgeving en economische belangen.3.1 VeiligheidswetgevingHet doel van functionele veiligheid is het beperken van veiligheidsrisico’s van machinesen procesinstallaties. In diverse wetgeving worden veiligheidseisen gesteld aan hetveilig kunnen gebruiken en de mogelijke effecten van genoemde apparatuur. Inhoofdlijn zijn drie typen veiligheidswetgeving te onderscheiden:1. Wetgeving met betrekking tot externe veiligheid - (bescherming omgeving, verantwoordelijkheid ondernemer).2. Arbowetgeving – (bescherming werknemers, verantwoordelijkheid ondernemer).3. Wetgeving met betrekking tot productveiligheid – (bescherming gebruikers, verantwoordelijkheid fabrikant).Externe veiligheidEen definitie voor externe veiligheid is: de kans om buiten een inrichting te overlijdenals rechtstreeks gevolg van een ongewoon voorval binnen die inrichting waarbij eengevaarlijke stof betrokken is (Bevi).Het BRZO besluit stelt de volgende eis: Artikel 5.1: Degene die een inrichting drijft, treft alle maatregelen die nodig zijn om zware ongevallen te voorkomen en de gevolgen daarvan voor mens en milieu te beperken.In het kader van deze wetgeving wordt van de verantwoordelijke verwacht dat derisico’s van zijn bedrijfsvoering in kaart worden gebracht en maatregelen wordengenomen om de gevolgen tot een acceptabel minimum te beperken. Het toepassenvan functionele veiligheidssystemen behoort tot de maatregelen die in dit kadergenomen kunnen worden.De aard van externe veiligheid is het beschermen van mens en milieu buiten deinrichting. Ongevallen waarvan de effecten buiten de grenzen van een inrichtinggevolgen hebben, mogen niet veroorzaakt kunnen worden door een machine, zoalsbedoeld binnen het kader van de machinenormen ISO 13849 en IEC62061. Externeveiligheid is derhalve gericht op procesinstallaties (zie ook hoofdstuk 5 voor hetverschil tussen machine en procesinstallatie).ArbowetgevingArbowetgeving richt zich op de bescherming van medewerkers en aanwezigen binneneen inrichting.Het arbobesluit vermeld veiligheidseisen aan apparatuur en installaties. Met name inde volgende hoofdstukken:• HOOFDSTUK 3: INRICHTING ARBEIDSPLAATSEN Artikel 3.2 Algemene vereisten: Arbeidsplaatsen zijn veilig toegankelijk en kunnen veilig worden verlaten. Ze worden zodanig ontworpen, gebouwd, uitgerust, in bedrijf gesteld, gebruikt en onderhouden, dat gevaar voor de veiligheid en de gezondheid van de werknemers zoveel mogelijk is voorkomen.• HOOFDSTUK 7 ARBEIDSMIDDELEN EN SPECIFIEKE WERKZAAMHEDEN Stelt in diverse artikelen eisen aan de veiligheid van het arbeidsmiddel voor de werknemer en het toepassen van beveiligingsinrichtingen.Pagina 12 van 39 Revisie: A, 27 september 2007
  19. 19. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie In de arbobeleidsregels horende bij Hoofdstuk 7 wordt direct verwezen naar de norm NEN 1050: Beleidsregel 7.3 –4 Inventarisatie en evaluatie van gevaren van arbeidsmiddelen. Voor machines en vergelijkbare arbeidsmiddelen wordt aan het gestelde in artikel 7.3, eerste lid, van het Arbeidsomstandighedenbesluit voldaan indien de risico-inventarisatie en - evaluatie is uitgevoerd volgens NEN-EN 1050:1997 "Veiligheid van machines. Principes voor de risicobeoordeling"Het toepassen van functionele veiligheidssystemen behoort tot de maatregelen diegetroffen kunnen worden om risico’s op arbeidsplaatsen en aan arbeidsmiddelen tereduceren. Uitvoering conform de normen draagt bij aan een acceptabelveiligheidsniveau.ProductveiligheidswetgevingTen aanzien van productveiligheid worden aan fabrikanten eisen gesteld. In Nederlandzijn deze eisen opgenomen in het warenwetbesluit. Specifieke eisen worden genoemdin de Europese machinerichtlijn (warenwetbesluit machines, Machinery Directive98/37/EC). Ook de machinerichtlijn stelt dat fabrikanten een risicoanalyse uitvoeren enbij het ontwerp en de constructie De normen 62061 (machines) en 61511 (procesrekening houden met deze analyse. industrie) zijn beiden afgeleid van de 61508. DeDe fabrikant is verplicht de machinegerelateerde norm 62061 is geharmoniseerdbenodigde veiligheidsmaatregelen te met de machinerichtlijn en de procesgerelateerdenemen. 61511 niet. Uit H1 artikel 1 - 2a van de machinerichtlijn valt af te leiden dat ook op procesinstallaties deDe machine gerichte normen ISO machinerichtlijn van toepassing is. Hoewel het13849-1 en de IEC 62061 zijn toepassen van de norm 61511 voor het ontwerpen van SIFs voor een procesinstallatie een juiste keuze is leidtgeharmoniseerd met de machine dit niet tot conformiteit met de machinerichtlijn. Eenrichtlijn. Wanneer deze normen hiaat in de harmonisatielijst van de machinerichtlijn?worden toegepast voor het Zie ook H5 voor het verschil tussen een machine enontwerpen van een SIS kan men een procesinstallatie.ervan uit gaan te voldoen aan demachinerichtlijn.3.2 MilieuwetgevingHet in paragraaf veiligheidswetgeving genoemde BRZO besluit stelt ook milieueisen.Daarnaast stelt de overheid in milieuvergunningen specifieke eisen aan bedrijven tenaanzien van het voorkomen van milieuschade bij calamiteiten.Net als bij veiligheidsrisico’s kunnen bepaalde milieurisico’s veroorzaakt door storingenin proces- en machine-installaties worden beheerst door het toepassen van functioneleveiligheidssystemen. Met name de procesgerelateerde IEC 61511 norm geeft eenbeoordelingsystematiek om een SIL voor milieurisico’s te bepalen.Het komt al voor dat milieuhandhavende overheidsinstanties vragen naarbeveiligingssystemen ontworpen volgens de IEC 61508 / 61511 normen.3.3 Economische schadeBedrijven kunnen eisen stellen om risico’s voor economische schade te beperken.Economische schade kan veroorzaakt worden door:- Schade en verlies aan productie, producten en productie-installaties- Beschikbaarheid van installaties- Imagoschade als gevolg van calamiteitenPagina 13 van 39 Revisie: A, 27 september 2007
  20. 20. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieDaarnaast kunnen verzekeringsmaatschappijen eisen om maatregelen te nemen omschade te voorkomen.En net als bij veiligheidsrisico’s en milieurisico’s kan schade veroorzaakt door storingenin proces- en machine-installaties worden beheerst door het toepassen van functioneleveiligheidssystemen.Pagina 14 van 39 Revisie: A, 27 september 2007
  21. 21. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie4 Het belang van een gedegen risicobeoordeling van een SIFAl in 1995 publiceerde de Britse HSE een onderzoek naar oorzaken van incidentenmet industriële installaties en het aandeel van niet goed functionerendebesturingssystemen aan deze incidenten [Boek 1]. Hoewel er onvoldoende incidentenzijn onderzocht, slechts 34, om harde conclusies te trekken, geeft het onderzoek weleen indicatie met betrekking tot het effect van besturingssystemen op de veiligheid.Een andere kanttekening is dat er sinds 1995 meer aandacht voor het ontwerpen vanSIFs is ontstaan waardoor een recent uitgevoerd onderzoek ongetwijfeld gunstigercijfers zal geven aan het effect van besturingssystemen. Onderstaand het resultaat vanhet uitgevoerde HSE onderzoek: Functional requirements Modification - 20% specification - 12% Safety integrity Maintenance - 12% requirements Operation - 3% specification - 32% Installation and Design and commissioning - implementation - 6% 15% Figuur 5 – Resultaat HSE onderzoek – Out of controlWat opvalt aan het resultaat van het onderzoek is dat 12% van de incidenten hetgevolg zijn van niet- of verkeerd gespecificeerde functionaliteit van besturingssystemenmet een veiligheidsfunctie. Bij maar liefst 32% van de incidenten zijn geen of onjuisteeisen aan de betrouwbaarheid van de functies gesteld. Vertaald naar de huidige tijd ende terminologie uit dit rapport betekend dit dat in maar liefst 32% van de incidenten derisicobeoordeling van SIFs en de bepaling van het juiste SIL of PL niveau niet of nietjuist is gespecificeerd!4.1 Het effect van fouten tijdens het ontwerpproces van SIFsIn het ontwerpproces van SIFs, zoals beschreven in het risicobeoordelingsproces,zoals beschreven in hoofdstuk 2, zijn de volgende fasen te onderscheiden:1. Risicoanalyse / Risico evaluatie effect fout groot2. Risicobeoordeling SIF / bepaling SIL of PL3. Ontwerp SIF / SIS effect fout kleinerAd. 1 Tijdens de risicoanalyse (bijvoorbeeld een HAZOP studie) worden gevarengeïdentificeerd en risico’s daarvan ingeschat. Bij het in kaart brengen van gevaren vanmachines en processen is de kans dat een gevaarscenario over het hoofd wordtgezien reëel. Hiervan vindt dan ook geen risico-evaluatie plaats en zal geenreducerende maatregel worden genomen.Een systematische aanpak met meerdere, ter zake kundige, personen metverschillende achtergrond kan een nauwkeurige inventarisatie van risico’s opleveren.Pagina 15 van 39 Revisie: A, 27 september 2007
  22. 22. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieNog meer nauwkeurigheid wordtverkregen door de risicoanalyse te Regelmatig worden er HAZOP studies uitgevoerd opherhalen. Bijvoorbeeld in verschillende installaties waar al eerder een risicobeoordeling isfasen van het ontwerpproces. gedaan, bijvoorbeeld na wijzigingen aan de installatie. Hierbij komt het ook regelmatig voor datMinder gestructureerde methoden risico’s worden geregistreerd die eerder niet zijnzoals bijvoorbeeld een ‘what-if gevonden. Ook bij scenario’s die niet door deanalyse’ of een ‘FMEA’ geven meer wijziging van de installatie zijn ontstaan!kans op het niet signaleren vanrisico’s.De kans op herstel van een ‘vergeten risico’ is in principe alleen mogelijk bij eenherhaalde analyse. Het effect kan zijn dat gevaarlijke situaties onbekend enonbeveiligd blijven, hetgeen kan leiden tot ernstige ongevallen.Ad. 2 Het bepalen van een SIL of PL niveau vereist een gedegen risicobeoordeling.Een verkeerd bepaald SIL / PL leidt tot over- of onderbeveiliging.Bij een te hoog SIL / PL zal het SIS ontwerp een lagere foutgevoeligheid hebben dande aard van de beveiliging vereist. Vooral bij complexe SIFs, waarbij bijvoorbeeldgebruik gemaakt wordt van geavanceerde meetapparatuur of productspecifiekeafsluiters kan dit leiden tot hoge extra kosten. Overbeveiliging (of het gevoel van) is deoorzaak van wantrouwen bij eindgebruikers met een hoge verantwoordelijkheid voorkostenreductie.Bij een te laag bepaald SIL / PL zal het SIS ontwerp mogelijk gevoeliger voor foutenzijn dan de aard van de beveiliging vereist. Dit kan leiden tot situaties waarbij debeveiliging niet werkt wanneer nodig. Gevaarlijke situaties kunnen ontstaan die niet ofte laat worden opgemerkt.De kans op correctie van een verkeerd SIL / PL is relatief klein. De risicobeoordelingzal opnieuw uitgevoerd moeten worden. In de praktijk wordt dat niet gedaan tenzij eraanleiding voor is. Bijvoorbeeld bij een foutsituatie of incident waarbij de oorzaakonderzocht wordt.Ad. 3 Het ontwerp van een SIF met bijbehorend SIS is een technisch ontwerp proces.De eisen die aan het SIF zijn gesteld liggen vast in het SIL en PL en de functies zijnbepaald in de risicobeoordeling. Ontwerpfouten, zoals bijvoorbeeld verkeerde lay-outkeuzes of rekenfouten, kunnen leiden tot een ontwerp dat niet voldoet aan de eisen.Er volgt echter een validatie van het SIS, waarbij bepaald wordt of het ontworpen SISvoldoet aan de eisen van de SIF. Hierdoor ontstaat een hoge mate van foutcorrectie.4.2 De vereiste nauwkeurigheid van de risicograafVoor de beoordeling van risico’s voor het bepalen van het SIL of PL staan in debetreffende normen [Norm 8, Norm 9 en Norm 4] systemen omschreven die ook welrisicografen worden genoemd. Dergelijke systemen worden ook gebruikt voor hetbeoordelen van risico’s bij een RI&E (volgens Arbo-wet artikel 5) of bijvoorbeeld eenHAZOP studie. Andere voorbeelden van risicografen die worden toegepast zijnbijvoorbeeld de risicograaf die beschreven wordt in de NEN 1050 [Norm 1], het modelvan Fine & Kinney of de in het verleden veel toegepaste NEN 954.Al deze risicografen hebben als doel om een waardeoordeel te geven aan een bepaaldrisico. De toepassing van het waardeoordeel verschilt echter. Bij een RI&E of een risicoanalyse als een HAZOP studie of FMEA kan met behulp van een risicograaf eenprioriteit aan het risico worden gegeven. Deze prioriteit wordt gebruikt om te bepalenwelke risico’s het eerste worden aangepakt en binnen welk tijdspad. EenPagina 16 van 39 Revisie: A, 27 september 2007
  23. 23. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieonnauwkeurige toepassing van de risicograaf heeft tot mogelijk gevolg dat eenverkeerde prioriteit aan het risico wordt gegeven. Uiteindelijk zullen ook de lagereprioriteiten worden aangepakt, waardoor deze fout zicht in de tijd automatisch herstelt.Alleen bij de laagste risico’s bestaat de kans dat door een verkeerderisicograafbeoordeling besloten wordt om het risico als aanvaardbaar te bestempelenen geen maatregelen meer te nemen.De risicografen uit de normen 61511, 62061 en 13849 geven een waardeoordeel aanhet risico, vertaald in een SIL of PL. Een verkeerd toegepaste risicograaf kan hierleiden tot te hoge of te lage betrouwbaarheidseisen aan de SIF. Het gevolg is eenverkeerd ontworpen SIS. De effecten hiervan staan vermeld in paragraaf 4.1. Zoalsreeds gemeld is de kans op herstel van deze fouten niet groot.De effecten van fouten bij het toepassen van een risicograaf voor het bepalen van eenSIL of PL zijn groter zijn en de kans van herstel veel kleiner dan bij risicografentoegepast bij prioriteitsbepaling van risico’s uit een RI&E. Daarom moeten dezerisicografen nauwkeurig worden toegepast.4.3 Wie past een risicograaf toeHet ontwerpen van een SIF maakt meestal deel uit van een technisch ontwerptraject bijnieuwbouw of renovatie van machines en procesinstallaties. In deze omgeving wordthet SIL of PL bepaald door technici. Technici zijn vooral gewend te werken metabsolute gegevens, het verwerken van feiten en vastgestelde ervaringen. Waaronduidelijkheid bestaat, ontstaat de neiging afspraken vast te leggen, bijvoorbeeld innormen.Het bepalen van een SIL of PL met behulp van een risicograaf is een kwalitatieverisicobeoordeling. Bij een dergelijke kwalitatieve risicobeoordeling worden relatievewaarden gebruikt, zoals bijvoorbeeld: licht, zwaar, mogelijk, waarschijnlijk, meestalonmogelijk. Bij het toepassen van deze waarden zijn vaak interpretatieverschillen tezien. Ellenlange discussies of een bepaalde gebeurtenis zelden of waarschijnlijkoptreedt, volgen. Uit onzekerheid worden de keuzes vaak te zwaar aangezet. De kansop een te zwaar bepaalde SIL of PL is dan ook groter dan een te licht bepaalde.Bijlage G geeft een overzicht van de beoordelingscriteria van de drie risicografen uit denormen.Om in de waarschijnlijkheidsbepalingen ook nog eens de effecten veroorzaakt door hetniveau van personeel, training en opleiding of de cultuur van een bedrijf mee te nemenvereist begeleiding door een veiligheidskundige. In de praktijk worden dergelijkeeffecten niet of nauwelijks meegenomen.Om de risicografen bruikbaar te maken voor technici worden absolute waardentoegepast en verklarende voorbeelden opgenomen in de normen. Met name de IECnormen 61511 en 62061 geven dergelijke informatie. De risicograaf uit de ISO 13849geeft geen absolute waarden mee en een minimale toelichting. Deze risicograaf biedthet minste houvast voor technici.Het toepassen van absolute waarden kan als nadeel met zich meebrengen dat decontext waarin de gebeurtenis plaatsvindt uit het oog verloren wordt. Bijvoorbeeld ofeen scenario korter of langer dan 10 minuten duurt geeft een verschil inwaardebepaling (Fr – risicograaf 62061). Het moge duidelijk zijn dat deze 10 minutenmeer een maat is voor het verschil tussen kortdurende en langdurende scenario’s. meteen grijs gebied rond de 10 minuten.Een risicograaf met weinig absolute metingen geeft de veiligheidskundige ruimte om ineen team ter zake kundigen te komen met een objectieve risicobeoordeling, passendPagina 17 van 39 Revisie: A, 27 september 2007
  24. 24. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctiebij het scenario. Als de juiste personen niet voorhanden zijn kan beter gekozen wordenvoor een meer sturende risicograaf met absolute meetwaarden of een toelichting diede keuzes beperkt. Met de in dit rapport geselecteerde risicografen en toelichting in hetrapport moet een technisch team een goede SIL of PL bepaling kunnen uitvoeren.Pagina 18 van 39 Revisie: A, 27 september 2007
  25. 25. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie5 Het risico van een procesinstallatie versus het risico van een machineEr wordt in de normen voor automatische systemen met een veiligheidsfunctieonderscheid gemaakt tussen machines en procesinstallaties. Uit Figuur 4 blijkt dat denormen ISO13849 en IEC 62061 bedoeld zijn voor machines. De norm IEC 61511heeft dezelfde doelstelling maar dan voor procesinstallaties.Voor het toepassen van de juiste normen is het van belang de specifieke verschillentussen machines en procesinstallaties met betrekking tot de veiligheidsrisico’s teonderkennen.5.1 De invloed van een machine op veiligheidEen definitie van een machine is volgens de machinerichtlijn: Machine: - een samenstel van onderling verbonden onderdelen of organen waarvan er ten minste één kan bewegen, alsmede, in voorkomend geval, van aandrijfmechanismen, bedienings- en vermogensschakelingen enz. die in hun samenhang bestemd zijn voor een bepaalde toepassing, met name voor de verwerking, de bewerking, de verplaatsing en de verpakking van een materiaal.Een binnen het kader van dit rapport bruikbare eenvoudige definitie van een machineis de volgende: Een machine is een mechanisme dat een vorm van beweging of energie in een andere vorm van beweging of energie kan omzetten.Typische mogelijke machine-eigenschappen die van invloed zijn op hetveiligheidsrisico zijn:- Draaiende of anders bewegende onderdelen,- Grote snelheden- Grote krachten- Scherpe delen- Hete delenTypische machinegevaren zijn:- Beknellen van ledematen- Afrukken van ledematen- Snijden aan machinedelen- Branden aan hete oppervlakken- Geraakt worden door wegspringende onderdelen van product of machine- Elektrocutie- BrandDoor het continu functioneren van de machine of het machineproces zijn gevarenconstant of met een relatief hoge frequentie aanwezig. Gevaren ontstaan zodrabeveiligingsfuncties niet (meer) aanwezig zijn. In veel gevallen zijn de gevaren bekenden de risico’s voorspelbaar. In mindere mate is er sprake van het ontstaan van risico’sveroorzaakt door onvoorspelbare storingen.Machine SIFs functioneren daarom vooral in een zogenaamde ‘continuous- of highdemand mode of operation’ .De gevaareffecten hebben vooral betrekking op personen die direct aan de machinewerken of in de directe nabijheid van de machine aanwezig zijn. Machinerisico’s diegroepen personen treffen mogen niet beveiligd worden door een enkele SIF. Reductievan het groepsrisico door inherente veiligheidsmaatregelen is hier meer op zijn plaats.Pagina 19 van 39 Revisie: A, 27 september 2007
  26. 26. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieVaak is het gevaareffect een direct gevolg van een handeling van een persoon en trefthet deze persoon zelf.Door voorkomende bewegingen op hoge snelheden is het beperken van schade bijeen optredend effect minder goed mogelijk. Ontsnappen aan het gevaar is dan alleenmogelijk door in te grijpen voordat het gevaar werkelijk optreed.5.2 De invloed van een procesinstallatie op veiligheidEr zijn vele definities van een proces te geven. Een definitie binnen het kader van ditrapport die heel duidelijk het verschil maakt met een machine is de volgende: Procesinstallaties zijn installaties die grondstoffen omzetten in halffabrikaten of eindproducten door middel van chemische of fysische bewerkingen.Typische mogelijke proceseigenschappen die van invloed zijn op de veiligheid:- Verwerking van stoffen met chemische eigenschappen- Ontstaan van reacties door het bewerken van stoffen- Giftige dampen- Explosie- BrandTypische procesgevaren zijn:- Vrijkomen van giftige, bijtende, brandbare stoffen of dampen- Vergiftiging- Verstikking- Verbranding- Brandgevaar- ExplosiegevaarGevaren kunnen ontstaan door (ver)storingen in het proces. Dergelijke gevaren mogenniet met een grote frequentie of continu aanwezig zijn. Door onbekende ofonverwachte verstoringen in het proces zijn niet alle gevaren voorspelbaar. ProcesSIFs functioneren vooral in een zogenaamde ‘low demand mode of operation’.De gevaareffecten kunnen betrekking hebben op personen die in de nabijheid van deinstallatie aanwezig zijn, maar ook op grote gebieden rond een fabriek (bijvoorbeeldeen gifgaswolk die een heel woongebied bereikt). Externe veiligheid kan dan ook vantoepassing zijn op procesinstallaties.Mogelijk kan escalatie van het gevaar worden voorkomen door het tijdig ingrijpen in deprocesvoering. Ook kan er voldoende tijd zijn tussen het signaleren van een storing enhet optreden van de gevaarlijke situatie, waardoor ontsnappen aan het gevaar(evacuatie van groepen) mogelijk is.5.3 Verschil in risicografen voor de beoordeling van het veiligheidsrisico van machines en procesinstallatiesParagraaf 5.1 en 5.2 laten het verschil zien tussen het mogelijk effect van eenmachine-incident een proces-incident; samengevat:Machine: enkel persoon, vooral risico voor beschadiging ledematenProces: groepsrisico mogelijk, risico voor aantasting lichaamsfuncties door bijvoorbeeld vergiftiging, verstikking of verbranding.Verschillen in mogelijkheid van optreden gevaar:Machine: continu aanwezig en ontstaat bij wegvallen beveiliging (high demand mode), kleine kans om te ontsnappen of het effect te beperken.Pagina 20 van 39 Revisie: A, 27 september 2007
  27. 27. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieProces: heeft een lage frequentie van optreden (soms jaren) en ontstaat na (ver)storing van het proces (low demand mode), mogelijk voldoende tijd om te ontsnappen aan het effect, de schade te beperken of zelfs het gevaar te voorkomen.Door de verschillen tussen machines en procesinstallaties is het noodzakelijk om voorde risicobeoordeling van de SIFs verschillende risicografen toe te passen. Bijlage D enBijlage E laten risicografen zien die vooral gericht zijn op de specifieke machinerisico’s. Bijlage F is een risicograaf voor procesinstallaties.5.4 Een machine met een procesrisico en een proces met een machinerisicoIn de praktijk komen regelmatig combinaties van machines en procesinstallaties voorals het de veiligheidsrisico’s betreft.Bijvoorbeeld de volgende verpakkingsmachine-installatie: De installatie bestaat uit typische machines die flessen vloeistof uitvullen en het inpakken ervan in dozen afhandelen. De bewerkingen en de risico’s van deze installatie zijn typerend voor een machine. De vloeistof die in de vulmachine wordt uitgevuld heeft een laag vlampunt en is explosief. Verstoringen in het vulproces kunnen leiden tot het ontstaan van explosieve dampen met een explosie tot gevolg. Het ontstaan van dit gevaar en de effecten (explosie met een groot gevolggebied en mogelijk meerdere slachtoffers) zijn typerend voor een proces.Of dit voorbeeld van een procesinstallatie: In een productieproces voor injectievloeistof wordt handmatig een poedervormige grondstof toegevoegd via een stortkabinet. De bewerking en de risico’s van de installatie zijn typerend voor een proces. Diverse stoffen worden gemengd, een chemische reactie vindt plaats. Het vloeistofmengsel is toxisch. Direct onder het stortkabinet bevindt zich een roterende zeef die de poederdeeltjes tot een bepaalde grootte reduceert waarna het poeder in de vloeistof wordt geïnjecteerd. Het storten van het poeder in het stortkabinet is een typische machinehandeling. Om de zeef te inspecteren kan het stortrooster worden opgelicht. De operator kan bij de roterende zeef komen. De zeef roteert met grote snelheid en de zeefmessen zijn zeer scherp. Verlies van een vinger is mogelijk bij inspectie van een roterende zeef.Het is belangrijk om bij dergelijke combinatie–installaties de SIFs van het machinedeelen het procesdeel te onderscheiden en de juiste bijpassende norm toe te passen.Wellicht minder herkenbaar is het voorbeeld van een procesinstallatie met eenmonsternamepunt waar, in een bepaalde procesfase, vloeistof bijna het kookpuntbereikt. De situatie is tijdens deze procesfase gedurende enkele uren continuaanwezig. Indien een monster wordt genomen in deze fase is de kans op verbrandingvan de handen zeer groot. Het aftappen tijdens de hete fase wordt geblokkeerd dooreen temperatuurmeting gekoppeld aan een automatische afsluiter. Dit is een ‘highdemand’ situatie zonder groepseffect. Voor het beoordelen van het risico van eendergelijke ‘high demand’ situatie is de procesrisicograaf niet geschikt. De machinerisicograaf biedt ook in dit voorbeeld uitkomst.Voor het bepalen van het SIL of PL van de SIFs voor de machine en het ontwerp vanhet SIS worden de normen13849 of 62061 toegepast. Voor het procesgedeelte denorm 61511.Het voordeel van toepassing van de IEC normen 62061 en 61511 is dat voor hetontwerp en de verificatie van het SIS van zowel de machine als het procesdeelvergelijkbare, op de IEC 61508 gebaseerde, technieken worden gebruikt.Pagina 21 van 39 Revisie: A, 27 september 2007
  28. 28. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie6 Het bepalen van het Safety Integrity- of Performance Level met behulp van een risicograafDe risicografen uit de normen maken allemaal gebruik van de definitie risico, als functievan het effect dat een gevaar kan veroorzaken en de kans dat dit effect ook werkelijkoptreedt:Risico = effect van het gevaar x kans van optredenWeergegeven in de grafiek van Figuur 6.Middels de risicograaf wordenhet effect van het gevaar en dekans dat het effect optreedtbepaald. De resultante bepaaltde vereiste minimumrisicoreductiefactor die de SIFmoet realiseren. Weergegevenals het zogenaamde SIL of PLvan de SIF.Een groot risico (ernstigegevolgen en een grote kans vanoptreden), het donkerrodegebied in Figuur 6, mag nietmiddels een enkele SIF wordenbeveiligd. Het ontwerp dandusdanig wijzigen dat dit risico niet Figuur 6 - Risicovoor kan komen.Bij een klein risico (lichte gevolgen en een kleine kans van optreden), hetwitte/lichtrode gebied, is het wellicht niet nodig om te beveiligen of kan een SIF wordenontworpen zonder specifieke risicoreductieeisen.In de praktijk heeft men de meeste moeite met het bepalen van de kans van optredenvan een gevaareffect. Het meest kritisch te bepalen risico wordt daarom gevormd dooreen ernstig effect met een kleine kans van optreden. Mogelijk kan een lagere SIL/PLbepaald worden door de kans lager in te schalen. In dat geval dient de kans vanoptreden nauwkeurig te worden bepaald. Een verkeerde bepaling kan nare gevolgenhebben.6.1 Het toepassen van een risicograaf voor machines6.1.1 De keuze van de risicograafVoor machines kan worden gekozen uit twee normen: IEC 62061 of IEC 13849. Beidenormen hebben een eigen risicograaf (Bijlage D en Bijlage E). Tabel 4 uit de norm13849-1 geeft de overeenkomst tussen de Performance Levels uit de norm en deSafety Integrity Levels uit de normenfamilie 61508 weer:Pagina 22 van 39 Revisie: A, 27 september 2007
  29. 29. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctiePL SIL Average probability of a dangerous Failure per Hour 1/h to < 10 –5 –4a Geen overeenkomst ≥ 10 to < 10 –6 –5b 1 ≥ 3 x 10 –6 –6c 1 ≥ 10 to < 3 x 10 to < 10 –7 –6d 2 ≥ 10 to < 10 –8 –7e 3 ≥ 10Tabel 2 - Overeenkomst PL en SILMet deze tabel zijn de resultaten van de risicobeoordeling van beide normen aanelkaar gekoppeld. De risicografen uit beide normen zouden dan tot hetzelfde resultaatmoeten leiden. In Bijlage H is een risicobeoordeling uitgewerkt voor een machine SIFmet gebruik van de risicograaf uit de norm ISO 13849 en vervolgens nogmaals met derisicograaf uit de norm IEC 62061. De uitkomst is niet gelijk. De PL is c (SIL 1) terwijlde SIL op 2 (PL d) uitkomt. Dit verschil in uitkomst wordt voornamelijk veroorzaakt doorde beperkte mogelijkheid in de ISO 13849 risicograaf om de kans van voorkomen enhet beperken van het effect te bepalen.Om verschil te voorkomen is het van belang om één risicograaf te gebruiken,voor het bepalen van zowel de SIL en de PL van een SIF.In Figuur 7 is te zien dat bij de PL hetzwaartepunt bij het effect ligt. De Injurykansinvloed is veel beperkter. Dit wordt Reversable Irreversablemede veroorzaakt doordat de PL maar twee Broken limbs, Dead, losing losing finger practitionereffectgradaties kent: reversible injury en eye, arm First aidirreversible injury. De effect (injury)-keuze is Medicaleenvoudig. De kansbepaling is beperkt enrelatief eenvoudig (zie ook Bijlage D). Het PL SILresultaat is een relatief eenvoudig toe te e 3passen risicograaf. De mogelijkheden om d 2het risico ook afhankelijk te laten zijn van c 1 !menselijke invloeden als bijvoorbeeld b 1training, niveau en gedrag zijn te beperkt bij a ade PL risicograaf. Het gevolg kan zijn een 62061 1 2 3 4onacceptabel lage beveiliging voor het 13849 S1 S2gevaar van reversibele verwonding of eenonnodig zware beveiliging bij gevaar voor SIL PLirreversibele verwonding.De SIL risicograaf laat vooral in het veel Figuur 7 – PL en SIL afhankelijkheid van het effectvoorkomende effectgebied van serieuzeverwondingen (Se 2 en 3) een brede range van SIL klassen zien. Dat houdt in dat dewerkelijke SIL mede bepaald wordt door de ‘kans van voorkomen’ parameters. Datgeeft meer mogelijkheden om een nauwkeurig afgestemd SIL te bepalen.Zowel voor het bepalen van het PL als het SIL van een machine is het advies te kiezenvoor de risicograaf uit de IEC 62061 norm (Bijlage E).De volgende kanttekeningen zijn te maken bij de IEC 62061 risicograaf:- De risicograaf maakt het mogelijk het hoogste risico (Cl 14-15 in combinatie met Se 4) te beveiligen met een enkele SIF (SIL3). Het heeft echter de voorkeur bij eenPagina 23 van 39 Revisie: A, 27 september 2007
  30. 30. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie dergelijk hoog risico het machineontwerp aan te passen, waardoor het risico afneemt of niet middels een SIF beveiligd wordt.- Bij het zwaarste effect in combinatie met een zeer lage kans van optreden van dit effect wordt nog steeds een SIF met een SIL2 toegepast. Bij een dergelijke lage effectkans kan de SIF naar een SIL1 niveau. Dit vereist wel een nauwkeurige inschatting van de lage effectkans.Het resultaat is samengevat in een gemodificeerde IEC 61062 risicograaf waarinopgenomen de PL. Deze risicograaf is toepasbaar bij de risicobeoordeling vanmachines voor zowel de SIL als de PL bepaling. In Bijlage I is deze risicograafopgenomen.6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheidDe norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgenvoor de gezondheid (Se-Severity factor): Arbeids- Herstel- geschiktSe tijd: na herstel: Toelichting:1 Reversibel Eerste hulp Geen 100% Lichte verwondingen, waarbij na eerste noodzakelijk hulp behandeling het werk weer kan hervatten. Bijvoorbeeld: snee, schaafwond, lichte kneuzing, e.d.2 Reversibel Behandeling Kort (tot 100% Zwaardere verwondingen waarbij noodzakelijk max. behandeling door een arts noodzakelijk enkele is of waarbij het werk pas na enige weken) hersteltijd (ziektewet) hervat kan worden. Bijvoorbeeld: diepe wond, kneuzing, verrekte of gescheurde pees, gebroken vinger.3 Irreversibel Gebroken Langer 100% Zware verwondingen en verlies ledematen, ledematen, waarbij het na hersteltijd, verlies mogelijk is om hetzelfde werk te vinger(s) hervatten. Bijvoorbeeld het verlies van een vinger of zwaardere botbreuken.4 Irreversibel dood, verlies n.v.t. < 100% Dood of zware verwondingen waarna het arm / oog Lang 100% niet mogelijk is om, na herstel, het werk e.d. (revali- met dezelfde productiviteit te hervatten. datie) Of waarna een langdurig revalidatietraject volgt. Verlies van een duim, hand, oog, voet, ernstige brandwonden.Tabel 3 - Se - ernst van de gevolgen van een gevaarToelichting:De norm belicht de ernst van de gevolgen vooral vanuit een zakelijk perspectief, metals basis hoe snel en hoe volledig is de persoon weer productief.Een verwonding waarbij het werk alleen direct kan worden hervat door het aanbiedenvan aangepast werk valt onder de zwaardere verwondingen (Se 2).Pagina 24 van 39 Revisie: A, 27 september 2007
  31. 31. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieKleine littekens zijn weliswaar irreversibel maar geven geen nadelige bijeffecten(cosmetische effecten worden niet beschouwd) en worden als reversibel gekenmerkt(Se 1 of 2). Bij bijvoorbeeld brandwonden kunnen ernstige littekens ontstaan. In dezesituatie kan het herstel van verwonding en littekens langdurig zijn (Se 4).Kanttekeningen:De volgende situaties zijn persoonsafhankelijk en worden niet beschouwd bij hetbepalen van de Se - factor. In voorkomende gevallen kunnen deze situaties een rolspelen. Mogelijk door schadeclaims van betreffende personen.De kwaliteit van het leven van de persoon zelf blijft buiten beschouwing. Bijvoorbeeldhet verlies van een pink heeft geen gevolgen voor bepaald werk dat de persoonverricht en hij zal na een niet al te lange hersteltijd 100% arbeidsgeschikt zijn (Se 3).Echter zijn grote passie, pianospelen, kan hij zonder pink niet meer met dezelfdekwaliteit uitvoeren dan voorheen (vergelijkbaar met Se 4).Psychische schade veroorzaakt door de schokkende ervaring van een ongeluk (eentrauma) kan leiden tot arbeidsongeschiktheid met een lange hersteltijd of zelfsblijvende arbeidsongeschiktheid. De persoon die zijn collega een zwaarmachineongeluk ziet krijgen kan een langere hersteltijd hebben dan de getroffene zelf!6.1.3 Bepaling van de kans op schade met een bepaalde ernstDe kans dat schade voor de gezondheid met een bepaalde ernst ook daadwerkelijkoptreed is afhankelijk van de volgende drie factoren:- frequentie en duur van de blootstelling (Fr – frequency)- mogelijkheid van optreden van een gevaarlijke gebeurtenis (Pr - probability)- mogelijkheid om de schade te voorkomen of te beperken (Av – avoiding)Fr - frequentie en duur van de blootstellingHet inschatten van de frequentie en de duur van de blootstelling kan worden gedaandoor met de volgende aspecten rekening te houden:- Waarom ben je er - De noodzaak van het verblijf in de gevaarlijke zone (denk niet alleen aan normale bedrijfsvoering, maar ook aan onderhoud, reparatie, storing, e.d.).- Wat doe je er - De aard van de werkzaamheden in de gevaarlijke zone (bijvoorbeeld toevoegen van materiaal, verwijderen van een afgekeurd product).Vervolgens kan de frequentie en de tijdsduur van het scenario worden bepaald en deFr-factor worden vastgesteld met behulp van Tabel 4:Fr - Frequentie en duur van het scenarioduur > duur <=10 min 10 min freq. scenario5 5 <= 1 h5 4 > 1h tot <= 1 dag4 3 > 1 dag tot <= 2 weken3 2 > 2 weken tot <= 1 jaar2 1 > 1 jaarTabel 4 - Se - frequentie en duur van het scenarioPagina 25 van 39 Revisie: A, 27 september 2007
  32. 32. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieToelichting:De frequentie is de gemiddelde tijd tussen de keren dat men aanwezig is in degevaarlijke zone.Om goed inzicht te verkrijgen van de handelingen aan een bepaalde machine of in eenspecifieke zone is het aan te bevelen om een taak risico analyse van dewerkzaamheden uit te voeren.Pr - mogelijkheid van optreden van een gevaarlijke gebeurtenisDe mogelijkheid van optreden van een gevaarlijke gebeurtenis wordt bepaald door:- De voorspelbaarheid van het gedrag van de machine. Een belangrijke factor hierbij is de betrouwbaarheid van de componenten, of- de mogelijk te verwachten menselijke handelingen die kunnen leiden tot een gevaarlijke situatie.De Pr-factor kan worden bepaald met Tabel 5:Pr - Mogelijkheid van optreden van een gevaarlijke gebeurtenis Voorspelbaarheid machinegedrag; Mogelijkheid van menselijke Betrouwbaarheid componenten (mits falen handelingen die kunnen leidenPr een gevaarlijke situatie veroorzaakt) tot een gevaarlijke situatie.1 Verwaarloosbaar Soort component faalt niet of falen kan Niet mogelijk. niet leiden tot gevaar.2 Zelden Het is niet te verwachten dat soort Niet te verwachten. component zal falen.3 Mogelijk Soort component kan falen. Is mogelijk.4 Waarschijnlijk Soort component zal waarschijnlijk Is te verwachten. falen.5 Erg hoog Soort component niet geschikt voor Erg groot. applicatie. Zal na verloop van tijd zeker falen.Tabel 5 - Pr - mogelijkheid van optreden gevaarDe volgende aandachtspunten die van invloed kunnen zijn op het menselijk handelen:- Stress / vermoeidheid – veroorzaakt door werkdruk of specifieke taakeigenschappen (Pr ≥ 3).- Kennis machinegedrag – Het machinegedrag is onvoldoende in kaart gebracht (Pr ≥ 3).- Training – personeel is onvoldoende op de hoogte van de mogelijke gevaren (Pr ≥ 3). Alleen bij training met periodieke herhaling en door toetsing geverifieerde kennis is een Pr < 3 mogelijk.- Gedrag – Personeel schat risico’s onvoldoende in of gaat er makkelijk mee om (Pr ≥ 4). De veiligheidscultuur is onvoldoende; geen actief veiligheidsbeleid: te weinig aandacht bij management voor veiligheid, management voert geen corrigerende maatregelen (Pr ≥ 4).- Complexe machine – de machine is complex, risico’s zijn niet goed te overzien, er gebeuren meerdere dingen tegelijk waardoor personeel afgeleid kan worden van het gevaar (Pr ≥ 3).Pagina 26 van 39 Revisie: A, 27 september 2007
  33. 33. Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctieToelichting:Normaal functioneren van een machine is voorspelbaar machinegedrag. Door falenvan componenten kan de machine niet te voorspellen gevaarlijk gedrag vertonen.Wanneer het normaal functioneren van de machine niet volledig in kaart is gebracht ofbedienend personeel onvoldoende is geïnformeerd kan normaal machinegedragonvoorspelbaar zijn. Bijvoorbeeld onverwacht inschakelen van machinedelen bij eenopstartprocedure.Let op! Ook het product dat door de machine wordt verwerkt kan leiden tot nietvoorspelbare gevaarlijke situaties. Bijvoorbeeld het blik dat verpakt moet worden envastloopt in de verpakkingsmachine. Een situatie die kan ontstaan doorbeschadigingen aan, of afwijkende specificaties van het blik. Een ander voorbeeld zijnwegschietende delen van werkstukken in een bewerkingsmachine. Te verwerkenproducten en materialen worden ook als component beschouwd!Ook bij niet falende componenten kunnen situaties bestaan waarbij menselijk handelenkan leiden tot verwondingen. Bijvoorbeeld normaal functionerende machines, waarbijeen hand in een draaiend deel wordt gestoken.Om goed inzicht te verkrijgen van de handelingen aan een bepaalde machine of in eenspecifieke zone is het ook voor de Pr-factor aan te bevelen om een taak risico analysevan de werkzaamheden uit te voeren.Machinefabrikanten die machines bouwen voor onbekende gebruikers (in principe alleseriematig gebouwde machines) kunnen geen rekening houden met de specifiekeoorzaken van menselijk falen. Indien menselijk falen tot een gevaarlijke situatie kanleiden moeten deze fabrikanten een Pr ≥ 4 aanhouden.Av - mogelijkheid om de schade te voorkomen of te beperkenDe mogelijkheid om de schade te voorkomen of te beperken is afhankelijk van devolgende factoren:- Het ontwerp van de machine, waardoor de mogelijkheid ontstaat om gevaar tijdig te signaleren en te ontwijken.- Menselijke eigenschappen. Herkent men het gevaar, zodat tijdig ingrijpen mogelijk is.Tabel 6 geeft de mogelijke Av-factoren weer:Av - mogelijkheid voorkomen of beperken van schadeAv Machineontwerp: Menselijke factoren:1 Mogelijk Lage snelheid, herkenbaarheid gevaar, Kennis van, of ervaring met voldoende ruimte de gevaren.3 In bijzondere Lage snelheid, herkenbaarheid gevaar, Onvoldoende kennis van of gevallen mogelijk obstakels in vluchtroute, of ervaring met de gevaren. Alarmsignalering in combinatie met voldoende tijd.5 Onmogelijk Hoge snelheid, gevaar niet herkenbaar of niet zichtbaar, geen vluchtruimte.Tabel 6 - Av - mogelijkheid voorkomen of beperken schadePagina 27 van 39 Revisie: A, 27 september 2007

×