Serviceline
Serviceline Industriële Sensoren
Telefoon +32 3 644 25 00
Fax +32 3 644 24 41
Serviceline Explosiebeveiliging
Telefoon +32 3 644 25 00
Fax +32 3 644 24 41

2. Implementatie van de risicobeperkende maatregelen

Het imminent risico wordt normaal gezien gereduceerd door de installatie van andere PLT-circuits die dienst doen als veiligheidsfunctie naast de PLT-apparatuur die om operationele redenen vereist is, m.a.w. de circuits worden enkel ingeschakeld wanneer er sprake is van een storing in de operationele of functionele installatie. De term veiligheidsapparatuur of Z-functies verwijst in dit verband naar het type apparatuur dat enkel en alleen voor de beperking van risico's wordt gebruikt.

De graad van risicobeperking die wordt bereikt dankzij het gebruik van veiligheidsapparatuur hangt af van de correcte werking van de apparatuur. Indien een storing zich onmogelijk kon voordoen, zou een volledige eliminatie van het relevant risico mogelijk moeten zijn. Het residuaal risico zou dan nul bedragen. Omdat dit in de praktijk onrealistisch zou zijn, kan slechts een beperkte mate van risicoreductie worden gerealiseerd m.b.v. een de facto veiligheidsapparatuur. Hoewel een residuaal risico altijd aanwezig blijft, is de frequentie ervan zo laag dat het getolereerd kan worden. Het doel van het ontwerpproces is om de veiligheidsapparatuur zodanig te integreren dat de gerealiseerde risicobeperking zo nauw mogelijk overeenstemt met de vereiste SIL.

Een ontoereikende risicobeperking (waarbij de SIL van de veiligheidsapparatuur lager ligt dan de vereiste SIL) zou leiden tot een ontolereerbaar residuaal risico. Een excessieve risicobeperking (waarbij de SIL van de veiligheidsapparatuur groter is dan de vereiste SIL) zou resulteren in een onnodig hoge werklast, die niet verantwoord zou zijn.

Informatie over hoe de veiligheidsapparatuur moet worden ontworpen om een specifieke graad van risicobeperking (m.a.w. een specifieke SIL) te garanderen, vindt u in de normering EN/IEC 61511 en VDI/VDE 2180. Het is van vitaal belang dat men zich afvraagt waarom een bepaalde veiligheidsapparatuur faalt, zodat betere ontwerpeisen kunnen worden afgeleid uit de relevante antwoorden. Diepgaand onderzoek wijst uit dat er twee verschillende storingsfouten bestaan die tot het falen van veiligheidsapparatuur kunnen leiden:

  • een systematische (of terugkerende) storing
  • een occasionele (of willekeurige) storing


Systematische en occasionele storingen

Hoewel een zekere mate van waarschijnlijkheid kan worden verwacht m.b.t. het voorvallen van een occasionele storing, geldt dit niet voor een systematische storing.

In tegenstelling tot occasionele storingen kunnen systematische storingen in principe volledig vermeden worden. De ervaring leert ons echter dat dit slechts gedeeltelijk waar is (vooral wanneer het software betreft). Deze kennis leidt tot de volgende vereisten op het vlak van de veiligheidsapparatuur:

  • Storingen voorkomen door een speciaal kwaliteitsmanagementsysteem te introduceren (sleutelwoorden: “Functional Safety Management System” of “FSM-systeem” in het kort)
  • Storingen vermijden door redundantie en/of intrinsiekveilige maatregelen en foutdetectie (sleutelwoorden: hardware fouttolerantie, geheel van veiligheidstoringen, diagnostisch gegevensbereik)
  • Berekeningen maken om de waarschijnlijkheid van storingen te kwantificeren op basis van occasionele storingen (sleutelwoorden: PFD/PFH-berekening)

De praktische implementatie van deze drie punten bepaalt de mate van risicobeperking op de veiligheidsapparatuur. Over het algemeen zal de werklast die het plannen, implementeren en bedienen van de veiligheidsapparatuur met zich meebrengt, afhangen van de SIL die men moet bereiken. De normen EN/IEC 61508, EN/IEC 61511 en VDI/VDE 2180 beschrijven de exacte correlatie tussen het ontwerp van de veiligheidsapparatuur en de te realiseren SIL.

Bij het ontwerpen van veiligheidsapparatuur moeten storingspreventie, storingsmanagement en de frequentie of waarschijnlijkheidsgraad van storingen in aanmerking worden genomen om een zekere graad van risicobeperking te bereiken. Rekening houden met de waarschijnlijkheid van storingen is op zichzelf niet voldoende om de vereiste SIL-classificatie te bereiken. In werkelijkheid kan een veiligheidstechnisch systeem een specifieke SIL slechts bereiken wanneer zowel de structuur (redundantie, diagnostiek, intrinsiek-veilig ontwerp) als de waarschijnlijkheid of frequentie van storingen (PFD/PFH) aan de vereisten van de norm voor de relevante SIL voldoen. Bovendien moet een FSM-systeem worden gebruikt voor de implementatie. Enkel dan kan worden verwacht dat systematische storingen in de gewenste mate zullen worden vermeden.