eindhoven university of technology master beveiligingen ... · ramp met de challenger op 28 januari...

Eindhoven University of Technology

MASTER

Beveiligingen toegepast in de proces industrie

Verstraete, J.J.A.

Award date:1998

Link to publication

DisclaimerThis document contains a student thesis (bachelor's or master's), as authored by a student at Eindhoven University of Technology. Studenttheses are made available in the TU/e repository upon obtaining the required degree. The grade received is not published on the documentas presented in the repository. The required complexity or quality of research of student theses may vary by program, and the requiredminimum study period may vary in duration.

General rightsCopyright and moral rights for the publications made accessible in the public portal are retained by the authors and/or other copyright ownersand it is a condition of accessing publications that users recognise and abide by the legal requirements associated with these rights.

• Users may download and print one copy of any publication from the public portal for the purpose of private study or research. • You may not further distribute the material or use it for any profit-making activity or commercial gain

https://research.tue.nl/nl/studentthesis/beveiligingen-toegepast-in-de-proces-industrie(9616e02a-f790-449c-be10-ac9781256913).html

Beveiligingen toegepast in de

Stageverslag

Begeleider: Prof. ir. H. Leegwater Vakgroep Systeem- en Regeltechniek

proces industrie

Joris Verstraete NR-2023 (15-7-1998)

Stage: Beveiligingen toegepast in de proces industrie Joris Verstraete

Eindhoven, 7 november 1997

DOEL STAGE:

Uit te voeren opdrachten:

1. Hoofdstuk dictaat schrijven op universitair niveau over beveiligingsystemen toegepast in de procesindustrie. Dit aan de hand van informatie over Fail Safe Control van de firma Safety Management Systems. Het hoofdstuk moet in 1 tot 2 colleges behandeld kunnen worden.

2. Het maken van een uitgewerkt voorbeeld, dat de toepassing van deze systemen verduidelijkt, en kan dienen als demonstratiemodel tijdens de lessen, dit door middel van software SMS.

3. Opdracht voor studenten in practica/ TWAIO- vorm formuleren.

Kandidaat Joris Verstraete: Student verkorte opleiding Werktuigbouwkunde I Sectie Systems and Control aan de Technische Universiteit Eindhoven, Postbus 513, 5600 MB EINDHOVEN Identiteit nr.: 437815 Emaii:[email protected] Adres thuis: Augustijnslei nr.:4,2930 BRASSCHAAT Telefoonnr.: 0032 3 651 65 35

Doel stage pg.l

Stage: Beveiligingen toegepast in de proces industrie

Doel stage Inhoud stage Inleiding

I Ongeval

INHOUD STAGE

Joris Verstraete

1.1. Waarom beveilig je? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2. Het onstaan van een ongeval .................................... 3 1.3. Analyse van een ongeval d.m.v. de ijsbergtheorie .................... 5 1.4. Ongeval reductie door rapporteren van bijna-ongevallen ............... 7

11 Alarmmanagement 2.1. Aanspreekvolgorde beveiligingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2.2. Werking Operator alarmconsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2.2.1. Graphic panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2.2.2. DCS gekoppeld systeem .................................. 3

2.3. Alarminflatie en eerstmeldingssysteem ............................. 5 2.4. Statusmelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.5. Alarmrecorders en -printers ..................................... 6 2.6. Trippen en vergrendelen ........................................ 6 2.7. Alarm overbruggen ............................................ 6

111 Beveiligingssysteem 3.1. Functionele niveaus in procesautomatisering . . . . . . . . . . . . . . . . . . . . . . . . 1 3.2. Onderdelen beveiligingsinrichting (ESD) . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3.2.1. Grenswaarde schakelaars . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3.2.2. Logic solver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3.2.2.1. Besturing met relais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3.2.2.2. Besturing met modulaire elektronica . . . . . . . . . . . . . . . . . . . 7 3.2.2.3. Besturing met PLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3.2.3. Beveiligingsventielen ..................................... 9

IV Begrippen en grootheden 4.1. Defectfrequentie "A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 4.2. "Beschikbaarheid" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 4.3. "Betrouwbaarheid" ............................................. 3 4.4. Actieve zelfmeldende defecten ................................... 3 4.5. Passieve niet-zelfmeldende defecten .............................. 4 4.6. De begrippen hazard, demand en PHA team ........................ 4 4. 7. De fail-safe techniek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Inhoud stage pg.1


V Vereiste interlocks (ESD) 5.1. Kwalitatieve technieken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

5.1.1. Hazard and Operability Analysis (HAZOP) . . . . . . . . . . . . . . . . . . . . 1 5.2. Kwantitatieve technieken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

5.2.1. Capability Assessment .................................... 5 5.2.2. Fault Tree Analysis (FTA) ................................. 6

5.3. Vereiste beveiligingsklasse met voorkomende en verzachtende maatregelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

5.3.1. ESD lntegrity levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

VI Basis voor ESD ontwerp of optimalisatie 6.1. Deenergized-to-trip versus energized-to-trip . . . . . . . . . . . . . . . . . . . . . . . . 1

6.1.1. Deenergized-to-trip ...................................... 2 6.1.2. Energized-to-trip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

6.2. Logische structuren: Redundantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 6.2.1. Redundantie van beveiligingsventielen ....................... 3 6.2.2. 1 oo2 redundantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 6.2.3. 2oo2 redundantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 6.2.4. 2oo3 redundantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 6.2.5. Gecombineerde redundanties .............................. 5 6.2.6. Besluiten redundanties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

6.3. ESD-systeem fout voorkomende/verzachtende technieken ............. 6 6.4. Scheiding van ESD-systeem en DCS-systeem ....................... 7 6.5. Diversiteit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 6.6. Periodiek testen .............................................. 8

6.6.1. Meetsignaalsimulatie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 6.6.2. Het testen van beveiligingventielen . . . . . . . . . . . . . . . . . . . . . . . . . . 9 6.6.3. Zelfdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

VIl Ontwerpen beveiligingssysteem (ESD) 7.1. Volgorde risicoreductie bij ontwerp ................................ 1 7.2. Richtlijnen om beveiligingsketens te ontwerpen ...................... 2

7.2.1. Specificatie van Beveiligingsvereisten ........................ 3 7 .2.1.1. Functionele vereisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 7.2.1.2. Veiligheid integrity vereisten ......................... 4

7.2.2. Analyse voor het volbrengen van ESD vereisten ............... 4 7.2.3. Selectie van de ESD-systeem technologie .................... 5 7.2.4. Selectie van de ESD-architectuur ........................... 5

7.4.2.1. lntegrity level 1 (IL 1) ................................ 5 7.4.2.2. lntegrity level 2 (IL2) ................................ 6 7.4.2.3. lntegrity level 3 (IL3) ................................ 8

7.2.5. Selectie van ESD-uitrusting ............................... 12

Inhoud stage pg.2


VIII Voorbeeld oefening 8010 Opgave 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 8020 Eerste deel 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3

802010Het besturingsprobleem 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3 80201010 Ruststroomprincipe 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3 80201020 Aan- en uitschakelen door een drukknop 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3 80201030 Scenario pomp P1 starten/stoppen 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4 80201040 Scenario inen uitschakelen regeling LV1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 5

802020 Het beveiligingsprobleem 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 6 8030 Tweede deel 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 7

803010 Besturingsprobleem 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 7 803020 Beveiligingsprobleem 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 8

Literatuurlijst

Addenda Addendum A1 :Universele grenswaardeschakelaars Addendum A2: Bijzondere grenswaardeschakelaars Addendum B: De DIN V 19250 norm Addendum C: Tijdaspecten bij het aanspreken van een beveiliging Addendum D: Separation Addendum E 1 : Processchema Addendum E2: Overzicht van de logische functies Addendum E3: Oplossing DSM

Inhoud stage pgo3


INLEIDING

Graag wil ik langs deze weg mijn dank betuigen aan allen die hebben bijgedragen tot de verwezenlijking van deze stage. In de eerste plaats gaat mijn dank uit naar mijn stagebegeleider Prof. ir. H. Leegwater die mij de gelegenheid gaf om onder zijn deskundige begeleiding deze stage tot een goed einde te brengen. Ook wil ik het bedrijf DSM en iedereen die een steentje heeft bijgedragen aan het realiseren van mijn stage bedanken.

Als stage heb ik een dictaat geschreven over beveiligingen toegepast in de proces industrie. Dit dictaat omvat veiligheidsaspacten in verband met de directe en indirecte toepassingen van instrumentatie en besturingsmiddelen die onaanvaardbare procescondities kunnen voorkomen of verzachten. Er worden richtlijnen gegeven zoals:

• wanneer een beveiliging moet worden toegepast; • hoe men het beveiligingssysteem moet ontwerpen als er een vereist is.

Deze richtlijnen zijn niet opgezet voor de nucleaire of militaire industrie.

De hoofdstukken van het dictaat omvatten het volgende: ... Hoofdstuk 1: Ongeval. Het effect van een faling kan een reden zijn om te beveiligen. Door het ontstaan van een ongeval te analyseren kan men interessante conclusies trekken. Men zal alle mogelijke oorzaken die leiden tot falen moeten nagaan. Het rapporteren van bijna ongevallen is een manier om bijkomende oorzaken van falen te identificeren. Het verloop van de faling tot het eigenlijke ongeval kan worden weergegeven in een ijsbergmodeL ... Hoofstuk 11: Alarmmanagement Voordat men een beveiligingssysteem kan ontwerpen moet men weten wat voor infornatie de operator moet krijgen en welke mogelijkheden hij heeft om in het proces in te grijpen. Om deze informatie te verkrijgen heb ik de mogelijkheid gehad om een aantal shifts met operators van plant NAK 4 van DSM mee te lopen . ... Hoofdstuk 111: Beveiligingssysteem. Dit hoofstuk schetst de plaats van het beveiligingsysteem (ESD) tussen de andere geautomatiseerde systemen zoals BIS, SCS, DCS en ESD. Ook worden hier de soorten en de werking van de onderdelen van de beveiligingsinrichting besproken . ... Hoofdstuk IV: Begrippen en grootheden. Enige kennis van begrippen en grootheden is onontbeerlijk voordat men een beveiligingskaten gaat ontwerpen of optimaliseren.

Inleiding pg.1


... Hoofdstuk V: Vereiste interlocks. Dit hoofdstuk beschrijft de verschillende technieken die gebruikt kunnen worden voor het evalueren van de faling. Deze technieken worden onderverdeeld in kwalitatieve en kwantitatieve technieken. Zodra de effecten van faling geëvalueerd zijn kan men met voorkomende of verzachtende maatregelen van de juiste beveiligingsklasse het risico reduceren . ... Hoofdstuk VI: Basis voor ESD ontwerp of optimalisatie. Dit hoofdstuk richt zich op de specifieke technieken gebruikt in het beveiligingssysteem (ESD) die vereist zijn om aan de gewenste procesveiligheid en betrouwbaarheid te voldoen . ... Hoofdstuk VIl: Ontwerpen beveiligingssysteem. Hier wordt een methode gepresenteerd tasamen met richtlijnen die gevolgd moet worden bij het ontwerpen van het systeem . ... Hoofdstuk VIII: Voorbeeld oefening. Deze oefening heb ik gemaakt in het begin van mijn stage periode, na een cursus gegeven door Kees Kemps over het SMSbeveiligingssysteem (Honeywell) als voorbereiding op een bezoek bij SMS.

Inleiding pg.2


HOOFDSTUKI: ONGEVAL

1.1. Waarom beveilig je?

Wet van Murphy: "Anything that can go wrong, wi ll go wrong".

Ramp met deChallenger

Figuur 1.1

Ramp met de Challenger

Op 28 januari 1986 keek de wereld ontsteld toe hoe het Amerikaanse ruimteschip Challenger 73 seconden na de lancering ontplofte. De explosie en het daaropvolgende neerstorten van het toestel in de oceaan, werd op film opgenomen. Het ongeval, dat aan alle zeven bemanningsleden het leven kostte, werd veroorzaakt door een defect rubber zegel, de '0 -ring' die moest voorkomen dat er stuwstof weglekte. Door het ongeluk en het daaropvolgende onderzoek werd het Shuttleprogramma pas weer hervat in september 1988 met de lancering van het ruimteveer Discovery.

NASA/Photo Researchers, lnc. 1

1"Ramp met de Challenger", ® Encarta® 98 Encyclopedie Winkier Prins Editie. © 1993-1997 Microsoft Corporation/ Elsevier. Alle rechten voorbehouden.

Hoofdstuk 1: Ongeval pg1


Met welke risico's heeft een bedrijf te maken? De DIN V 19250 norm gaat bij de definitie van het begrip risico uit van de volgende basisredenering. Risico is de kans op falen maal het effect van de faling. De kans op falen is de frequentie van optreden van deze faling . Het effect van de faling is elke toestand die ontstaat uit activiteiten van een organisatie of onderneming en die mogelijk aanleiding geeft tot verlies, verwondingen, schade, aansprakelijkheid of beperkingen in sociale, morele en financiële termen. Is het risico te groot dan ontstaat de noodzaak om een proces niet alleen adequaat te regelen , maar ook te beveiligen om alle procesgrootheden binnen zekere grenzen te houden zodat ongewenste situaties worden voorkomen. Ook streeft een bedrijf een zo groot mogelijke bedrijfszekerheid na om produktie verlies te beperken. Daarom zullen alle elementen, die invloed uitoefenen op de veiligheid en de bedrijfszekerheid, aan een kritisch onderzoek worden onderworpen.

Voorbeeld: Beperking in sociale term.

Feit is dat in Nederland jaarlijks vijftienhonderd mensen in het verkeer omkomen. Dat gegeven is sociaal geaccepteerd. Een simpele rekensom leert dat er dus dagelijks drie tot vier verkeersdoden te betreuren zijn . Echter wanneer er op een plant van Shell of Akzo een ongeluk gebeurt dat het leven kost aan twee medewerkers, is de wereld te klein. Een onbemande plant mag van iedereen wel de lucht in. Die kun je vervangen. Maar een mens is niet te vervangen, dus moet je er binnen de opbouw- en bedrijfsfase ervoor zorgen dat mensen er veilig kunnen werken en dat er geen calamiteiten kunnen ontstaan door diezelfde mensen.

Bhopal

De ergste ramp in geschiedenis van de chemische industrie gebeurde in Bhopal, in de staat Madhya Pradesh in centraal India, op 3 december 1984. Een lekkage in een chemische plant van methyl isocyanaat (MIC), waar het gebruikt werd als een tussenprodukt in de fabricage van insekticide carbaryl , verspreidde zich in een omgeving om de plant en veroorzaakte de dood door vergiftiging voor meer dan tweeduizend mensen. Daarbij waren er nog 200 000 gewonden. De meeste van de doden en gewonden leefden in een krottenwijk die opgebouwd was naast de plant. De onmiddellijke oorzaak van de ramp was de verontreiniging van een MIC opslagtank door enkele tonnen water en chloroform. De reactie liep uit de hand waardoor de temperatuur en druk stegen. De overdrukbeveiliging trad in werking en loosde MIC damp in de atmosfeer. De beveiligingsapparatuur, welke de lozing moest voorkomen of minimaliseren, was buiten werking of niet volledig in werking: het koelsysteem die de opslagtank moest koelen was niet in werking, het wassysteem (scrubbing system) dat de damp moest absorberen was niet direct beschikbaar, en de afblaasfakkel (flare system) die de overgebleven damp van het wassysteem

Hoofdstuk 1: Ongeval pg 2


moest verbranden was buiten gebruik. De verontreiniging van de MIG was waarschijnlijk het resultaat van sabotage, maar de gevolgen zouden minder ernstig geweest zijn indien er minder MIG opgeslagen was, de krottenwijk niet naast de plant was onstaan en als de beveiligingsapparatuur in volledige werking was.

1. 2. Het ontstaan van een ongeval.

/1êfUQ~ 1 naar )

technisch \,~~ ~ falen I .l ;. fÄ·~ ~a~ .. , / - IJna .

I falen 1--,·gevaarlijkËL~esç~i~~~ (, ongevaJ) I operator I situatie ~~eve1hgm~ ~ I I I . -~/ Ji'ia

I 1

•• 1

/ ynee ~ 1 1orgamsato-· I 'kk 1 · / kan -'-----1 risch falen r o~twl. een l<óperator ingri}>

1 mc1dent 1 ~~en?~ --~-~

ynee /~

(ongeval) ·"'~/

figuur 1 .2: Een eenvoudig model van het veroorzaken van een incident

Figuur 1.2 toont een eenvoudig model van de hoofdcomponenten betrokken bij het veroorzaken van een incident en definieert ook drie basis termen: ongeval, incident en bijna-ongeval. Technisch en organisatorisch falen kunnen de oorsprong zijn van een keten van fouten die aanleiding kunnen geven tot het veroorzaken van een incident, zowel direct als indirect (b.v. aanleiding tot falen van de operator). Er is verondersteld dat maar heel zelden een actueel gevaarlijke situatie afkomstig is van technisch en organisatorisch falen. Zelfs indien deze toch falen, zullen de ingebouwde beveiligingen (b.v. automatische beveiligingssystemen) van het proces meestal geschikt zijn om een ongeval te voorkomen. Indien de ingebouwde beveiligingen toch falen zal het potentieel incident zich verder kunnen ontwikkelen. Het is overgelaten aan de flexibiliteit, ervaring, intuïtie, etc. van de operator om de keten van het ongewenste gebeuren proberen af te breken, en de originele situatie te herstellen, of ten minste schade te voorkomen. Dit (menselijk) ingrijpen zal het ongeval kunnen vermijden indien de mogelijkheid bestaat om het incident, dat zich aan het ontwikkelen is, nauwkeurig in de tijd te detecteren, diagnostiseren en corrigeren. In dat geval wordt het potentieel incident afgebogen worden naar een "bijna ongeval" (ook wel "near misses" genoemd). Dit is een gebeurtenis met mogelijk veiligheidsrelevante effecten waarbij het verder ontwikkelen van het incident tot een ongeval op het einde werd voorkomen. Indien de operator niet aanwezig, te laat was dan wel onjuist handelde zal het potentieel incident zich ontwikkelen tot een "ongeval", dat is een gebeurtenis met ongunstige gevolgen (b.v. gewonden (of erger), materiaal beschadiging, vervuiling van de omgeving, enz.). De term "incident" heeft betrekking op de

Hoofdstuk 1: Ongeval pg3


gecombineerde verzameling van gebeurtenissen van zowel ongeval als bijna ongeval.

Overeenstemmend met bovenstaande figuur 1.2 zijn dus de basisoorzaken van een incident gelegen aan het begin van de keten van gebeurtenissen. Waarbij voor basisoorzaken werd verstaan technisch, organisatorisch, menselijk falen of (zoals meestal) een combinatie van deze drie. Aan de hand van deze aanname zijn er verschillende studies verricht (Van der schaaf, 1989; 1990) in drie chemische plants in Nederland. Deze studies keken naar alle soorten systeemfalingen, met consequenties variërend van nul tot een ramp. In de drie bedrijven werd dezelfde verhouding gevonden tussen de basisoorzaken van een incident: • Technisch falen 30% • Organisatorisch falen 1 0% • Menselijk falen 50% • Overige 1 0%

De hoofdconclusie zou moeten zijn dat de drie factoren belangrijk zijn, met het gedrag van de operator als de belangrijkste. Hoe moeten we de berichten van de krant en andere bronnen interpreteren die beweren dat 90% tot 99% van alle incidenten veroorzaakt zijn door menselijk falen?

Het kan verwijzen naar het gebruik van "menselijk" falen op een gebruikelijke manier wanneer "menselijk" niet alleen verwijst naar de persoon of personen die direct betrokken zijn bij het incident, maar ook naar de ontwerpers, constructeurs en managers die de "operator'' de middelen geven die gebruikt worden tijdens het uitvoeren van zijn taak. Bijna elk ontwerp en management aspect van deze "middelen" en taken kan leiden tot een of andere menselijke handeling of beslissing. Daarom stellen we voor om eenduidig "menselijk" falen te definiëren door een zekere focus of startpunt, voorgeschreven door het doel van het onderzoek. Als iemand geïnteresseerd is in het gedrag van operators in een regelkamer dan zal hun taak tot de indeling in klassen leiden: "menselijk" falen verwijst naar hun gedrag, "organisatorisch" falen verwijst bijvoorbeeld naar de procedures die zij moeten volgen en "technisch" falen verwijst naar hun werkplaats (b.v. lay-out van de controle kamer) en toestellen, enz. Men kan ook geïnteresseerd zijn in de rol van een ingenieur, in dat geval wordt de ingenieur de menselijke/"operator'' component in de analyse; de ingenieurs bedrijfsrichtlijnen zijn een deel van de "organisatorische" factor, enz.

Voorbeeld:

Als gevolg van de technologische vooruitgang is de veiligheid van man-machine systemen meer en meer afhankelijk geworden van de kwaliteit van de menselijke component (operator). Dit feit is heel duidelijk in de transportindustrie, waar de operator (bestuurder) de controle heeft over zijn of haar voertuig. In de luchtvaart, daarentegen, is er reeds een sterke trend naar software besturingen van het vlieg-



tuig, waarbij de operator (piloot) de taak krijgt van supervisor (inspecteur) of monitor van het automatische besturingssysteem en die van probleemoplosser in geval van technisch falen. In dit geval heeft de bemanning van de cockpit een vergelijkbare taak als bijvoorbeeld de operators van een regelkamer van een volledig geautomatiseerde chemische plant. Deze ontwikkelingen willen niet zeggen dat we op weg zijn naar een industrieel systeem zonder produktiepersoneel of transportsystemen zonder bestuurders of piloten. De menselijke operator zal een belangrijke rol blijven spelen in de veiligheid van zulke complexe systemen omwille van verscheidene inherente belemmeringen van software besturingen: 1 . Software kan enkel deze situaties behandelen die voorzien zijn in de ontwerp

fase en voor diegene waarvoor software oplossingen gevonden en geïmplementeerd zijn. Doordat juist een aanzienlijk deel accidenten (Wagenaar en Groeneweg, 1987) gebeuren door onvoorziene of "onmogelijke" omstandigheden, zal de flexibele menselijke operator aanwezig moeten zijn om af te rekenen met zulke omstandigheden.

2. Zelfs de veilige handeling door de software van de voorziene problemen is nooit volledig gegarandeerd, omdat software het resultaat is van complexe menselijke handelingen en er dus kans bestaat op (verborgen) fouten. De menselijke operator zal dan de mogelijkheid moeten hebben om het systeem manueel te bedienen.

1.3. Analyse van een ongeval d.m.v. de ijsbergtheorie.

Een kwalitatief "ijsberg" model zal beschreven worden om bijna ongevallen te onderscheiden van ongevallen enerzijds in orde en anderzijds in gedrag. Regelmatig wordt in de literatuur (b.v. Hydén, 1987) een piramide ("ijsberg") als voorstelling gebruikt voor de opsomming van de gebeurtenissen gerangschikt van normaal gedrag via conflicten en afwijkingen tot uiteindelijke ongevallen.

fataal } / meerdere gewonden ongeval

enkele gewonden enkel beschadiging

- bijna ongeval

- gevaarlijke gebeurtenis

- fouten en afwijkingen

figuur 1.3: Een piramide of ijsbergmodel (naar Hydén, 1987).



Voor het doel van deze paragraaf zullen we de vorige figuur 1.3 vereenvoudigen tot een driehoekige vorm met slechts drie lagen: de bijna ongevallen, gelegen tussen feite I ijk, maar zeldzame, ongevallen aan de top en het grote aantal ingrepen (b.v. fouten en het herstellen daarvan) in de onderste laag, zie onderstaande figuur 1.4.

- Cl) c Cl) (/)

:'2 c ~ Cl) as 0 ... c ::I c

Cl) as - ..0 -Cl) 0) Cl) c

.t::. c 0) Cl)

c E c "0 as Cl) as 'ö > N > c :'2 t:: Cl) c Cl) 0 ~ as ..c 0 c > ... > Cl) as - ::I

(/)

as c I C" Cl)

..0 Cl) Cl) 0 - :'2 A ... 0 ..c - ... 0 0 I \ Q. .N c ·-; \

figuur 1.4: Een kwalitatief ijsbergmodel van de relatie tussen ongeval, bijna ongeval en ingrepen

Het ontstaan van een ongeval zet zich voort van de basis naar de top van de driehoek, wat wil zeggen dat de kansen van vroeg voorkomen van een ongeval afneemt naarmate je dichter bij de top komt. De volgorde van ongeval analyse verloopt van de top naar de bodem, maar met verschillende startpunten in de ijsberg afhankelijk van de soort of niveau van gegevens die de foutdetectie eerst waarnam. Moderne opsporingstechnieken stoppen niet bij een oppervlakkige beschrijving van alleen de naaste gebeurtenissen die leiden tot een ongeval en hun korte-termijn gevolgen maar proberen zo dicht mogelijk bij de bodem van de ijsberg te komen. Verschillende basisoorzaken leiden niet altijd tot een verschillend ongeval. Daarom zal elke basisoorzaak ook geen fundamenteel ander aanbevolen actie hebben om een ongeval te voorkomen. Het startpunt van foutdetectie en analyse van incidenten moet daarom bepaald worden door andere grootheden, zoals "frequentie van voorkomen" en de "zichtbaarheid" van incidenten.

Voorbeeld van bijna-ongevallen en ongevallen: .. kraanbestuurder laat last vallen (gevaarlijke gebeurtenis) .. de last komt op niemand terecht (bijna ongeval : geluksfactoren) .. een medewerker kan de persoon wegduwen (bijna ongeval : menselijk herstellen) .. het gebied onder de kraan is ontoegankelijk gemaakt (bijna ongeval : management geregeld) .. de kraan heeft een automatische rem (bijna ongeval : technische beveiliging) .. de last raakt een onderstaand persoon (een ongeval)



1.4. Ongeval reductie door rapoorteren van bijna-ongevallen.

• Gemeten aan het aantal ongevallen per persoon en per tijdseenheid is de veiligheid in de industrie de afgelopen decennia aanmerkelijk verbeterd. Vooral in de chemische procesindustrie gebeuren relatief weinig ongelukken zo dat trends, statistisch gezien, soms dreigen te verdwijnen in de ruis van toevalsfactoren. Het wordt dan moeilijk een database op te bouwen op basis waarvan verdergaande veiligheidsmaatregelen kunnen worden opgesteld.

• Naast dit kwantitatieve probleem blijft er in zo'n situatie ook zeer waardevolle bedrijfsinformatie onbenut. Immers, door zich te beperken tot de negatieve gevolgen van afwijkingen in de procesbeheersing negeert men de lessen die getrokken kunnen worden uit bestudering van de positieve gevolgen: iedere keer dat de operator of manager, het bedieningsvoorschrift of een technische onderdeel zich op onverwachte wijze "gedraagt" en zodoende een waarschijnlijke systeemstoring voorkomt, zou zo'n positieve afwijking kunnen worden waargenomen, gerapporteerd en geanalyseerd. Hierdoor zou het kwalitatieve inzicht in het functioneren van het gehele produktiesysteem toenemen, waardoor de produktiekwaliteit, milieubeheersing, veiligheid en betrouwbaarheid verbeterd kunnen worden.

• Een derde reden om niet uitsluitend naar feitelijke -maar zeldzame- ongevallen te kijken, is van meer psychologische aard: als men als werknemer al jarenlang niet meer geconfronteerd is met de concrete gevolgen van veiligheidsrisico's op de eigen werkplek zal men er menselijkerwijs minder zwaar aan gaan tillen. Langzaam maar zeker zal men deze ogenschijnlijke veiligheid als iets vanzelfsprekends gaan zien, en zich in gedrag en attitude wat nonchalanter opstellen.

Een belangrijke bijdrage aan de oplossing van de drie bovengenoemde problemen, om zo het aantal ongevallen terug te dringen, kan geleverd worden door het rapporteren en analyseren van bijna-ongevallen. Bijna-ongevallen hebben immers de volgende positieve eigenschappen:

1. ze zijn veel frequenter dan feitelijke ongevallen, waardoor het kwantitatieve probleem (op zijn minst gedeeltelijk) wordt opgelost;

2. ze bevatten waardevolle bedrijfsinformatie met betrekking tot de redenen waarom het uiteindelijk niet tot een feitelijk ongeval, produktiestoring, etc., kwam zodat men meer kwalitatief inzicht krijgt in het werkelijke functioneren van het systeem;

3. ze tonen het werkelijke nut aan van de vele veiligheidsregels, -trainingen, enapparatuur doordat ze vaak beschrijven hoe zulke veiligheidssystemen daadwerkelijk een dreigend ongeval omgebogen hebben tot een near miss. Als zodanig zijn het psychologische overtuigende signalen om veiligheidsbewustzijn steeds weer te benadrukken.



HOOFDSTUK 11:

ALARM MANAGEMENT

In dit hoofdstuk wordt besproken wat de alarmmeldsystemen de operator vertellen en hoe hij er mee moet omgaan. Hoe briljant ook, ieder operator bl ijft een mens die fouten kan maken of omwille van de bedrijfsdoelstelling (profit) gedwongen wordt iterst risicovolle beslissingen te nemen. Daarom moet men in het achterhoofd houden dat operators die informatie moeten krijgen die ze echt nodig hebben.

2. 1. Aanspreekvolgorde beveiligingen.

• Basis regelingen • Zacht alarm ; operator bijstellen of ingrijpen

Hard alarm ; lnstrumenetele beveiligingsinrichtingen

• Mechanische beveil igingsinrichtingen

figuur 2.1 : aanspreekvolgorde beveiligingen

1. Een eerste stap in de bewaking en beveiliging van een produktieproces is de toepassing van de meet- en regeltechniek. De meet- en regeltechniek dwingt bepaalde procesvariabelen binnen een gebied te blijven zodat de gewenste produktkwaliteit blijft gehandhaafd. Zij draagt in belangrijke mate bij tot vermindering van het risico.

2. Een tweede stap in procesbewaking zijn de alarmeringen. Onder een alarmering wordt verstaan een visuele en/of akoestische waarschuwing als gevolg van het overschrijden, van een ingestelde grenswaarde, door een betreffende procesvariabele of bij een statusverandering. Men onderscheidt twee typen alarmen: een zacht en een hard alarm. Bij een zacht alarm krijgt de operator nog enige tijd om manueel bij te stellen om zo het proces weer in normaal bedrijf te krijgen. De operator kan bij een zacht alarm zelf de grenswaarde instellen, en hiermee zelf het niveau bepalen wanneer hij een melding wilt krijgen door een zacht alarm. Bijvoorbeeld bij het opkomen van een "hoog niveau"- alarm van een tank zal de operator, door het verlagen van het setpoint van de debietregelaar, het toegevoerd debiet proberen te verlagen om zo het niveau van de tank te laten dalen.

3. Bij de derde stap, harde alarmen, is het ongewenst of onmogelijk om de procesbeveil iging via alarmering aan de operator op te dragen en wordt in het eenvoudigste geval het procesdeel drastisch, automatisch en onomkeerbaar afgeschakeld. In andere gevallen worden meer complexe operaties gestart zoals koelen,

Hoofdstuk 11 : Alarm management pg .1


spoelen, enz., of worden procesdelen van elkaar losgekoppeld. De operator krijgt in dit geval , via een alarm, de melding dat deze ingreep heeft plaatsgevonden. De grenswaarde zijn bij harde alarmen niet door de operator instelbaar. In het voorbeeld van het hoog niveau in de tank, zal bij verder blijven stijgen, na het opkomen van het zachte hoog niveau alarm, de pomp in de toevoerleiding worden uitgeschakeld en een hard alarm opkomen.

4. De vierde en laatste stap in de procesbewaking doet beroep op zelfwerkende, mechanische beveiligingen wanneer een kritische waarde wordt overschreden. Bekende zelfwerkende beveiligingen zijn breekplaten en veiligheidskleppen.

2. 2. Werking operator alarmconsole.

In de praktijk onderscheidt men twee type alarmconsoles het oudere graphic panel en het nieuwe DCS gekoppeld systeem.

2. 2. 1. Graphic panel

Door middel van eenvoudige symbolen wordt het verloop van het proces afgebeeld op het graphic panel in de regelkamer. Daaronder krijgt men via drukknoppen, die door middel van een ingebouwd lampje oplichtbaar zijn, foutmeldingen van het proces binnen. In de praktijk verloopt een foutmelding in 't algemeen als volgt. Bij het overschrijden van een grenswaarde komen alarm met knipperend licht (zichtbaar) en alarm met zoemer of bel (hoorbaar) op. De operator beoordeelt de gehele procestoestand, doet de nodige ingrepen en kwiteert het alarm. Kwiteren is een operatorhandeling (druk op een knop) waarbij een alarmmelding voor kennisgeving wordt geaccepteerd. Na het kwiteren verdwijnt het storend hoorbaar signaal , doch de zichtbare melding blijft aanwezig, maar gaat over in continue melding. Valt het alarm af voor de kwitatie, dan blijft het alarmlicht branden tot de kwitatie is uitgevoerd. Het behouden van de zichtbare melding is noodzakelijk om kortstondige alarmen te herkennen. Als de grenswaardeoverschrijding, na kwitatie, verdwijnt zal het alarmsysteem opnieuw een hoorbaar en knipperende zichtbare melding op laten komen. Als nu de operator kwiteert zullen beide meldingen, zowel zichtbaar als hoorbaar, verdwijnen.

Een alarmeer- of meldsysteem moet dus: • het "opkomen" van grenswaarde-overschrijdingen zichtbaar en hoorbaar melden • na het kwiteren de zichtbare melding behouden • zichtbare en hoorbare melding geven bij het "afvallen" van de grenswaarde-overschrijding • eventueel alarmen in volgorde van opkomen registreren.

Hoofdstuk 11 : Alarm management pg .2


In de norm IEC 73 zijn volgende kleuren voor zichtbare melders vastgelegd:

!kleur I betekenis verklaring voorbeeld 11

- grenswaarde overschreden onmiddellijk ingreep van de operator - ventiel in een abnormale

rood gevaar, vereist stand alarm - compressor stilgevallen

-enz.

attentie, - bypass geopend geel voorzichtig, wijziging opgetreden -reactor wordt gevuld

waarschuwing -enz.

-stikstof beschikbaar groen veilig normaal procesverloop - ketel op temperatuur

-enz.

- circulatiepomp draait wit informatief in normale bedrijfstoe- - ventielstand open

stand - "status" - batchsturing actief -enz.

- batchsturing wacht op een blauw aanwijzing speciale informatie commando

- pomp startklaar

2.2.2. DCS gekoppeld svsteem

Met eenvoudige symbolen wordt de procesloop met de bijbehorende procesgrootheden weergegeven op het computerbeeldscherm in een graphic. Dit is meestal dezelfde graphic als dat van het DCS-systeem (zie hoofdstuk 111), dus is het voor de operator moeilijk om een onderscheid te maken tussen het besturingssysteem en het beveiligingen- (alarm) -systeem, maar dit is niet van belang voor de operator. De schermbesturing gebeurt m.b.v. een cursor die over het scherm wordt bewogen m.b.v. een trackerball. De graphics zijn zoveel mogelijk kleurloos (zwart) gehouden, zodat elke kleurverandering van een waarde in de graphic direct opvalt en aangeeft dat er een afwijkende situatie optreedt. Figuur 2.2 op de volgende pagina geeft een specifieke graphic weer.

Hoofdstuk 11: Alarm management pg.3


Figuur 2.2: graphic op computerbeeldscherm

Het optreden van één of meerdere alarmen in een graphic wordt gemeld m.b.v. een akoestisch signaal en wordt zichtbaar door het knipperen van de betreffende meting( en). Bij het verloop van een foutmelding , de definities van kleuren en grafische voorstellingen heeft men zich zoveel mogelijk gehouden aan de conventies van het graphic panel.

Overzicht kleurconventies voor metingen (in alarm

Status Bevestigd/ Weergave Achtergrond- Kleur Niet beves- kleur

tigd

OK Bevestigd Statisch Zwart

OK Niet bevestigd Knipperen Zwart

LA Bevestigd Statisch Rood

LA Niet bevestigd Knipperen Rood Rood

HA Bevestigd Statisch Rood

HA Niet bevestigd Knipperen Rood Rood

ONB Bevestigd Statisch Geel

Hoofdstuk 11 : Alarm management pg.4

.


I Overzicht kleurconventies voor metingen {in alarm}

Status Bevestigd/ Weergave Achtergrond- Kleur Niet beves- kleur

tigd

ON8 Niet bevestigd Knipperen Geel Geel

C88 Bevestigd Statisch Geel

C88 Niet bevestigd Knipperen Geel Geel

888 Bevestigd Statisch Geel

BBB NiP.t '"'"' '"""'+iad Kni Geel Geel

2. 3. Alarminflatie en eerstmeldingssvsteem

Bij de besturing van omvangrijke installaties en om het overzicht tussen een groot aantal alarmen te behouden, is wenselijk: 1. alarmsystemen in samenhangende alarmgroepen op te delen. (v.b. voor-fabriek,

midden-fabriek en achter-fabriek) 2. de groep met het opkomend alarm te melden 3. onderscheid te maken met eerst opkomende alarmen.

I

Over het algemeen zijn processen zo sterk geïntegreerd dat bepaalde verstoringen nieuwe verstoringen veroorzaken, waardoor er nog meer alarmen ontstaan. Door dit sneeuwbaleffect kan een alarminflatie ontstaan met honderden alarmen binnen enkele seconden. In een alarminflatie zijn de meeste alarmen niet van direct belang, maar veroorzaakt door andere. Zij maskeren het belangrijkste primaire alarmsignaal. Een eerst opkomend alarm is dus het eerste van een reeks opkomende alarmen. De tijd van opkomen van het eerst opkomend alarm kan nauwkeurig bijgehouden worden in een eerstmeldingssysteem. Dit kan een printeren/of een database zijn. Nadien kan men afleiden welk signaal het primaire signaal was. Het voordeel van deze bijzondere procedure komt tot uiting bij de bewaking van b.v. een grote compressor. Een grote compressorinstallatie wordt d.m.v. met elkaar onderling afhankelijke beveiligingen vergrendeld (interlocks). Na een trip (zie 2.6.), en in het bijzonder na een foutieve trip van een dergelijke beveiliging, wenst men b.v. te weten welk alarm de oorzaak vandeshut-down was.

2.4. Statusmelders

Wanneer een apparaat geschakeld is op een manier die niet de bedoeling is, b.v. pomp loopt niet maar zou wel moeten lopen, ontstaat een alarm. Heeft een apparaat meerdere normaal geschakelde "toestanden", b.v. ventiel (open <-> gesloten), pomp (gestopt <-> loopt), batch (ledigen, spoelen, vullen met component A, ... ),enz., dan worden deze toestanden (statussen) gemeld. Ook tijdens het opstarten en beveiligen kunnen een groot aantal variabelen nog niet bij zijn. Het niet

Hoofdstuk 11: Alarm management pg.S


bij zijn, is een gegeven dat niet met een alarm maar met een status wordt gemeld. Bij gebrek aan een apart "status display" wordt hiervoor het alarm display gebruikt. Zo wenst men, t.b.v. de veiligheid, onderscheid te maken tussen een niet-draaiende machine t.g.v. een storing, en een niet draaiende machine t.g.v. een manuele afschakeling.

2. 5. Alarmrecorders en -printers.

Indien wenselijk, worden alarmen d.m.v. zgn. database, alarmrecorders of printers geregistreerd of uitgeprint. Door registratie of printen bewaart men gegevens i.v.m. het tijdstip van opkomen, afvallen, kwiteren en de tijdsduur van alarmen en trips. Soms worden opkomende meldingen samen met het verloop van het grenswaardeoverschrijdende analoge signaal, d.m.v. een "event recorder" of "-printer" geregistreerd. Ook het verloop van belangrijke grootheden vóór een trip wordt met een event recorder geregistreerd.

2. 6. Trippen en vergrendelen.

Trippen is het uitvoeren van een beveiligingsactie, b.v. het afschakelen van een proces of onderdeel daarvan door een instrumentele beveiliging na een eenmaal gegeven beveiligingscommando, ook al is de meetwaarde door de veiligheidingreep aan de veilige kant van de grenswaarde gekomen. Het automatisch werkende beveiligingssysteem (interlock), brengt zonder menselijke tussenkomst het proces in een veilige, zij het niet produktieve toestand. Een vergrendeling (interlock) belet het automatisch herstarten van de procesvoering na een trip. Het is een beveiligingsingreep die slechts kan worden opgeheven door de operator, nadat de beveiliging deze heeft vrijgegeven. Let wel: naast het vermijden van foute toestanden d.m.v. beveiligingen, moet het de operator mogelijk blijven bij brand, explosie of uitstoot van gevaarlijke stoffen, tijdelijk het proces binnen nietgevaarlijke grenswaarden te sturen. Een dergelijk sturen behelst b.v. het overpompen van brandbare tankinhoud, extra koeling toevoeren, verwarming reduceren, produkttoevoer afsluiten, brandblusinstallatie activeren, enz ..

2. 7. Alarmen overbruggen.

Overbruggen is het tijdelijk buiten werking stellen van de functie van een beveiligingsinrichting of alarmering. Dit kan bijvoorbeeld d.m.v. een overbruggingsschakelaar, aanbrengen van spanning op magneetventiel of door het mechanisch blokkeren van kleppen. Het overbruggen kan noodzakelijk zijn voor: * het opstarten *het controleren van beveiligingsinrichtingen of alarmeringen * het stoppen of opheffen van storingen.

Hoofdstuk 11: Alarm management pg.6


HOOFDSTUK 111:

BEVEILIGINGSSYSTEEM

3.1. Functionele niveaus in procesautomatisering

Hiërarchisch georganiseerde computersystemen zijn opgedeeld in hun functionele niveau. De mogelijke niveaus, zoals te zien in onderstaande figuur, zijn BIS, SCS, DCS en ESD. Op elk niveau worden automatisatiefuncties geïmplementeerd die uitwerkingen hebben op het volgend lagere niveau. De uitvoering van de functies wordt gestuurd en gecontroleerd door het volgend hogere niveau. Bijvoorbeeld het DCS werkt, in met de daarvoor bestemde interface, op de instrumentatie van de plant (b.v. op de geïnstalleerde sensoren en actuatoren). In het DCS worden, als specifieke geautomatiseerde functie van dit niveau, regelalgoritmen geïmplementeerd. De optimale setpointwaarden voor de algoritmen zullen worden voorzien door het "hogere" niveau, dit is het SCS waarin de optimalisering strategieën worden uitgevoerd.

BIS

scs

DCS

i I : ESD : i I I I I ~

! sensoren I i actuatoren!

+ • PROCES

BIS= Business lnformation System

SCS = Supervisor Control System

DCS = Distributed Control System

ESD = Emergency Shut Down system

BIS, is het hoogste hiërarchische niveau van het geautomatiseerde plant systeem. Het BIS is belast met een breed engineering spectrum, economische, commerciele, personele en ander functies. Deze functies zijn geïntegreerd in een software systeem en lossen optimaal het complexe produktie planningsprobleem op onder verschillende veranderlijke condities, voor verschillende materialen en constant opgelegde energie. Op dit niveau moet voor een optimale produktie planning de onderlinge samenhang van de plant met het bedrijfsmanagement, verkoop-, boekhoud- en inkoopafdeling, alsmede met de personeelsafdeling gecoördineerd worden. Typische te automatiseren functies van dit niveau zijn: marktanalyse, statistiek van de orders, verwerken van de gegevens van de klanten, verkoop en produktie planning, enz.

Hoofdstuk 111: Beveiligingssysteem pg.1


SCS, waarin optimalisatie algoritmen geïmplementeerd worden, levert de optimale set-point waarden voor de regelalgoritmen en andere optimale plantcondities van het DCS-systeem. Op dit niveau zijn meestal de volgende automatiseringsfuncties geïmplementeerd:

- optimale procesregeling, gebaseerd op een wiskundig model of proces, en overeenstemmend met de gegeven regeldoelstellingen , die de optimale uitvoering van het proces moeten garanderen, zelfs onder verschillende onverwachte condities.

- adaptieve regelingen, gebaseerd op geschatte waarden van de proces parameters, uit welke de optimale waarden van de digitale regelaars worden berekend.

- optimale plant condities,gebaseerd op de produktie van de plant, onbewerkt materiaal , inventaris, data van energie verbruik en sommige gegeven optimalisatie criteria.

- melden met welke uitvoering de plant bezig is, bijhouden van fouten in het logboek, toestandmelding en stand-by, ondersteunen van het DCS-systeem.

DCS is ontwikkeld op grond van de procesautomatisering. Het DCS-systeem bestaat o.a. uit een operator-interface. Beeldschermen, toetsenborden, printers, enz. van de operator-interface zijn met elkaar verbonden d.m.v. een communicatienetwerk. In onderstaande figuur 3.1 ziet men een voorbeeld van de opbouw van een DCS.

Figuur 3.1: DCS-systeem

Hoofdstuk 111 : Beveiligingssysteem pg.2


DCS heeft de volgende taken:

• Acquisitie van de procesgegevens: d.w.z. het verzamelen van de momentele waarden van de procesvariabelen en statussen van de regelfaciliteiten van de plant (kleppen, pompen, motoren, enz.) die nodig zijn voor efficiënte directe digitale regeling, open-loop regeling, monitoring van de plant, optekenen in het logboek, verslag uitbrengen , enz ...

• Monitoring van de plant, controleren en diagnoseren van het systeem zoals: verwerken van de verzamelde gegevens, controleren of de gegevens aanvaardbaar en toegestaan zijn, een keuze maken welke actie ondernomen moet worden, de werking testen van de hardware van de computer en van het ingrijpend orgaan in het proces, rapporteren van de fouten en diagnoses, enz.

• Gesloten- en open- loop regelingen (b.v. directe digitale en sequentiële regelingen), gebaseerd op de sturing van het "hogere" SCS niveau.

ESD, ook wel Safety Interlock System (SIS) genoemd, is het eigenlijke beveiligingssysteem dat in de rest van dit hoofdstuk uitgebreid besproken wordt. Een beveiligingssysteem bestaat uit een beveiligingsinrichting. Onder een beveiligingsinrichting wordt verstaan een technische voorziening die bij overschrijden van een ingestelde grenswaarde automatisch in het proces ingrijpt ter voorkoming van een ongewenste gebeurtenis. De alarmen afkomstig van het ESD zullen aan de operator gepresenteerd worden via het DCS werkstation. Handelingen zoals resets zullen gestuurd worden vanuit het DCS. De ESD schakelaars, drukknoppen en noodstoppen zijn gemonteerd op een leeg deel van de operatorconsole. Het DCS-systeem zal dus door het ESD gebruikt worden voor het uitvoeren van de alarm handelingen, indicatie-, hulpteksten en het bijhouden van alarmen in de alarmdatabase en op de alarmprinter. Het doel van het ESD-systeem is het volbrengen van de vereiste integrity levels. Daarom wordt het ESD-systeem ontworpen voor een hoge beschikbaarheid en betrouwbaarheid. Doordat deze doeleinden vaak tegenstrijdig zijn, moet een evenwicht in het ontwerp worden bereikt tussen hoge beschikbaarheid en betrouwbaarheid, waarbij aan het vereiste integrity level wordt voldaan. Dit vereist de identificatie en controle van fouten die het falen van het ESD veroorzaken.

ESD-systemen bevatten de volgende functies: • Detectie van de procescondities die een ingestelde waarde overschrijden. • Oplossen van tijden toestand-gebaseerde vergelijkingen om de onveilige werk

gebieden van het proces te identificeren. • Het nemen van correctieve/voorkomende acties. • Monitoring van het ESD-systeem om te verzekeren dat het correct functioneert

wanneer er beroep op gedaan wordt.


Stage: Beveiligingen toegepast in de proces industrie

3.2. Onderdelen beveiligingsinrichting (ESD)

De samenstellende delen van de beveiligingsinrichting (interlock) zijn:

kwitatieE~ rV\ r-!"1 h_oorbaar en • '? ~. Zichtbaar alarm

______ ._ j logic schak~l- Q · 1 solver r-

ventlel -t*} .- VL.s Ü~gang regelaar

1-n grenswaardev schakelaar

/;;> Q transmitter

:-~--~---~-,-:~PROCES .. -------'1 __ ·· beveiligings- l _______ l

afsluiter Figuur 3.2: Onderdelen beveiligingsinrichting

1) een meetsysteem; sensor of transmitter.

Joris Verstraete

2) een grenswaardeschakelaar. Daarmee wordt de grenswaarde ingesteld zodat bij overschrijding door de betreffende procesgrootheid de beveiliging wordt geactiveerd. Daarvoor wordt de te bewaken grootheid gemeten en de gemeten waarde in een schakelaar vergeleken met de ingestelde waarde.

3) een logicasysteem. De logica kan opgebouwd zijn uit elektrische, elektronische of pneumatische componenten, relais, digitale schakelingen, PLC's, enz.. De logica bepaalt de wijze (met logische functies, geheugens en tijdvertraging) waarop een signaal uit de grenswaardeschakelaar wordt doorgegeven aan het ingrijpend orgaan, de beveiligsafsluiter. De logica verwerkt niet alleen de signalen afkomstig van de grenswaardeschakelaars maar ook deze van bedieningsschakelaars, noodstoppen, temperatuursveiligheden, enz. De logica verzorgt ook het aansturen van signaleringen en alarmen en het verwerken van signalen (indien DCS aanwezig is, kan deze aansturing gebeuren via het DCS). Let wel op! Naast het vermijden van foute toestanden d.m.v. beveiligingen, moet het de operator mogelijk blijven bij brand, explosie of uitstoot van gevaarlijke stoffen, tijdelijk het proces binnen niet-gevaarlijke grenswaarden te sturen. Dergelijk sturen behelst b.v. het overpompen van brandbare tankinhoud, extra koeling toevoeren, verwarming reduceren, produkttoevoer afsluiten, brandblusinstallatie activeren, enz ..

4) een ingrijpend mechanisme. Het speelt geen rol met wat voor regelsysteem men te maken heeft, van manueel tot een geautomatiseerd systeem, actie moet er genomen worden door de operator of regelsysteem om de stroom van een bepaald materiaal te veranderen. Dit betekent meestal het manipuleren van de positie van een klep of het veranderen van de snelheid van een pomp of compressor. Bij beveiligingsinrichtingen wordt een ingrijpend mechanisme, b.v. een beveiligingsventiel, een motorschakelaar, aangestuurd door het logicasysteem om de procescondities aan de veilige kant te houden.



3. 2. 1. Grenswaarde schakelaars

De grenswaardeschakelaar kan een apart toestel zijn, soms zijn sensoren en grenswaardeschakelaar één toestel of is de functie van de grenswaardeschakelaar verwerkt in de logica indien een beveiligings-PLC wordt gebruikt. Men kent zowel grenswaardeschakelaars die controleren of de procesgrootheid geen voorop ingestelde minimum grenswaarde onderschrijdt als grenswaardeschakelaars die controleren of de procesgrootheid geen voorop ingestelde maximum grenswaarde overschrijdt. Verder kan men ze in twee typen indelen:

1. universele grenswaardeschakelaars (apart toestel). Het analoge uitgangssignaal ( 4-20 mA of 1-1 OV) van de transmitter wordt in de grenswaardeschakelaar vergeleken met een voorop ingestelde waarde. Indien het uitgangsignaal van de transmitter de voorop ingesteldewaarde, afhankelijk of het een max. of min. grenswaarde detectie is, niet over- respectievelijk onderschrijdt zal de grenswaardeschakelaar bekrachtigd zijn. Indien deze waarde wordt over- respectievelijk onder schreden zal de schakelaar afvallen (zie 4.6.). Zie voorbeelden addendum A1.

2. Bijzondere grenswaardeschakelaars zijn specifiek aan de toepassing. Sensor en grenswaardeschakelaar zijn één toestel. Zo kent men speciale grenswaardeschakelaars voor druk, debiet, temperatuur, niveau, ventielstand en vlamdetectoren. Zie voorbeelden addendum A2.

Grenswaardeschakelaars zijn evenals aan/uitregelaars in principe op te vatten als relais met dode zone (hysterese). Deze zone is noodzakelijk om schakelonrust in een gebied rond de ingestelde grenswaarde te voorkomen. Bij beveiligings-PLC's kan dit probleem voorkomen worden door in het programma een vergrendeling te voorzien. De schakelaar van de grenswaarde schakelaar functioneert:

• elektromechanisch (bimetaal, microswitch, kwikcontact of reedrelais) • elektrisch (inductief of halfgeleider). • pneumatische (schakelaars in speciale gevallen).

3. 2. 2. Logic solvers

Voor de logic solver van de beveiligingensystemen, worden verschillende technieken toegepast. Men kent de besturing met relais, met modulaire elektronica en met PLC. Het realiseren van deze systemen vereist speciale kennis en het verwerven van goedkeurattesten wordt aan gespecialiseerde leveranciers overgelaten.

Hoofdstuk 111: Beveiligingssysteem pg.S


3. 2. 2. 1. Besturingen met relais

Van oudsher werden relais toegepast in de besturingssystemen. Na een aantal jaren van positieve ervaring, werd de relais toegepast voor beveiligingsdoeleinden. Het ontwerpen van relaisschakelingen is relatief eenvoudig en kan ook niet- elektrotechnici worden gedaan. Relaisbesturingen worden gekenmerkt door de beperkte schakelsnelheid en levensduur (ongeveer 1 E6 schakelingen), grote relaiskasten, de potentiaalscheiding tussen inen uitgang en het grote schakelvermogen. Om de relais te activeren gebruikt men elektrische energie. De kinetische energie van de ingebouwde veer, opgebouwd daar het activeren, wordt gebruikt om te de-activeren. Door de eenvoud van het mechanische onderdeel, zal de betrouwbaarheid van het de-activeren (openen van het normaal gesloten contact in een beveiligingssysteem) als heel goed aanvaard worden. De vele voordelen vergeleken met de hydraulische en de pneumatische technologie hebben de reaistechnologie bevorderd. Door verscheidene produkt onderzoeken is de betrouwbaarheid van de relais toegenomen en door de miljoenen toepassingen zijn er gegevens over het faalgedrag verzameld. Als de relais als "enkelvoudig veiligheidsmiddel" toegepast is, is het voor de veiligheid niet enkelvoudig fouttolerant Het niet enkelvoudig fouttolerant zijn wil zeggen falen het relais niet naar een vaste en gekende toestand gaat. Als de relais faalt, zal nu de functionaliteit voor wat het was bedoeld falen en zal zo de betrouwbaarheid op een veilige situatie beïnvloeden.

Voor een FMEA (Failure Modes and Effect Analysis) van de relais zullen de volgende punten onderzocht worden:

• elektrische verbindingen tussen spoel en de contacten; • isolatie van de windingen van de spoel; • spanningniveau gebruikt over de spoel

minimum spanning voor een goede bekrachtiging maximum spanning voor de impedantie van de spoel;

• het juiste aantal windingen van de spoel om het juiste magnetische veld te ereeren

• mechanische bevestiging van het juk met constante wrijving; • de mechanische koppeling van het juk met de contacten met de contacten moet

bevestigd worden op een flexibele wijze; • bij een gesloten contact moet de druk op het contact voldoende zijn voor een zo

klein mogelijke elektrische weerstand; • bij een open contact moet de contactafstand groot genoeg zijn om een opening

van de contacten te garanderen; • het contactmateriaal moet geschikt zijn voor de te schakelen spanning en stroom; • het materiaal van de behuizing van het geheel moet bescherming bieden tegen

corrosie; • trillingen mogen het gedrag van de relais niet beïnvloeden; • temperatuurveranderingen mogen de relais niet beïnvloeden.



Door de hoge kans op falen door lascontacten en andere mechanische oorzaken van falen is het gebruik van de "gewone" relais niet toegestaan voor beveiligingsdoeleinden. Ingenieurs ontdekten dat het laseffect van de contacten veroorzaakt wordt door ofwel te hoge stromen en/of te hoge spanningen over de contacten. De mechanische fouten werden verholpen door specifieke vereisten voor "beveiliging relais", zoals opbouw, afstanden, behuizing en keuze van materialen. In figuur 3.3 is een TÜV goedgekeurde relais configuratie te zien. Een nadeel van deze schakeling is dat deze erg duur is.

IQutput lead I

i- VDC lh Figuur 3.3: TÜV goedgekeurde relais configuratie

* onderdrukkings diode ~

beveiliging tegen te hoge spanning

3. 2. 2. 2. Besturingen met modulaire elektronica

Elektronische beveiligingsmodules zijn opgebouwd met halfgeleider componenten. De hoofdcomponent van zo'n module is de in de jaren vijftig uitgevonden transistor. De elementaire functie van de transistor is de aan/uit schakelfunctie. Zo kan de elektromechanische relais, besproken in de vorige paragraaf, vervangen worden door een transistor. De transistor heeft vele voordelen t.o.v. andere technologieën die op dit moment beschikbaar zijn. Hoewel de modules op print zijn gemonteerd, noodzaken de afmetingen relatief veel printen, wat resulteert in een vrij omvangrijke bedrading. Toch zijn de afmetingen van die besturing nog geen tiende deel van een equivalente relaisbesturing, en het energieverbruik is meer dan een factor 50 lager. Ook schakelt de transistor veel sneller dan een relais. Een nadeel van de transistor is dat deze niet galvanisch gescheiden is. En -evenals de relais- is de transistor niet enkelvoudig fouttolerant en kan zo leiden tot een gevaarlijke situatie.



Hieronder volgt een FMEA van een gewone NPN-junctie transistor:

• kortsluiting tussen de drie aansluitingen collector

(b-e, b-c en e-c); • inwendige onderbroken verbinding tussen de

drie externe b, e en c; bas,_",_is---t---k • versterkingsfactor van de transmitter.

Figuur 3.4: NPN-junctie transistor

De bedrijfszekerheid van elektronische beveiligingsmodules wordt dan ook opgevoerd door gebruik te maken van bijzondere technieken. In figuur 3.5 vindt men een TÜV goedgekeurde configuratie.

\+VOel~ I

1

10kHz osc.h m

~ & I ~ ,-i ----, IN P-=-U T=-------1 til I .0~"

I I I '----+-----

1

h leutput loadj ~ Z'

,-----1 V-D-C---,1

r 1

Figuur 3.5: TÜV goedgekeurde transistor configuratie

Indien aan de ingang een logische "1" verschijnt zal de & poort aan de uitgang een signaal genereren met de frequentie van de oscillator. Dit signaal zal de transistor aan/uit schakelen waardoor er een pulserende stroom gaat lopen van +VDC naarVOC. De zekering is geplaatst om te voorkomen dat deze stroom de transistor kan beschadigen. De transformator zorgt voor een galvanische scheiding tussen de inen uitgang. De oscillerende secundaire spanning van de transformator zal na gelijkrichten gebruikt worden om de output load aan te sturen. Deze is op zijn beurt beveiligd tegen te grote stroom (d.m.v. zekering) en spanning (d.m.v. diode). Om de transistor is nu een volledige "fail safe" (4.6.) schakeling gebouwd. Als één van de componenten faalt zal de uitgang gede-activeerd worden. Dit systeem is nu enkelvoudig fouttolerant Als men de benodigde hardware bekijkt, die de schakelfunctionaliteit van de transistor moet controleren en -indien de transistor faalt- energieverlies aan de uitgang moet waarborgen, moet men besluiten dat deze hardware de beschikbaarheid (zie 4.2.) doet dalen.



3.2.2.3. Besturing met PLC

Na de uitvinding van de transistor werd door nieuwe technologieën verdere miniaturisatie van de hardware mogelijk. Zo kwam men tot de IC-technologie (lntegrated Circuits). Nadat eind jaren zestig de microprocessor uitgevonden was werd het mogelijk een PLC (Programmable Logic Controller) te bouwen.

Voordelen PLC: 3. klein en compact t.o.v. andere technologieën; 4. grote schakelsnelheid; 5. flexibel programmeren met behulp van software; 6. communicatie mogelijk met andere systemen.

Nadelen PLC: 1 . complex door de software; 2. niet enkelvoudig fouttolerant; 3. geen galvanische scheiding zonder toevoegen van speciale hardware.

Nadat de PLC enkel voor besturingsdoeleinden gebruikt werd, werd deze omwillevan de grote en belangrijke voordelen van de PLC een zeer goed alternatief voor alarmeringsschakelingen van met hardware bedrade elektronica. Hiervoor moesten wel de nodige aanpassingen aan de PLC gebeuren. Voorbeelden van speciale PLC's zijn de redundant geschakelde PLC S5-95F en S5-115F van Siemens en de Honeywell FSC-202. Deze zijn door TÜV getest en goedgekeurd en geschikt voor zowel alarmeer- als interlocksysteem. In hoofdstuk 8 is een voorbeeld uitgewerkt van een beveiliging waar gebruik gemaakt wordt van een PLC.

3. 2. 3. Beveiligingsventielen.

Geautomatiseerde ventielen kunnen onderverdeeld worden in twee hoofdcatagorieen: aan/uit ventielen en regelventielen. Aan/uit ventielen zijn meestal bal-, plug-, wig- of vlinderventielen met een pneumatische, elektrische of hydraulische motor. De basis vereiste bij deze ventielen is een klein lekdebiet In de meeste gevallen zijn op de aan/uit ventielen benaderingsschakelaars voorzien (limit switches) zodanig dat de operator of het beveiligingssysteem kan afleiden of de klep volledig geopend of gesloten is. Van regelventielen wordt vereist dat deze het debiet van het fluïdum regelen over een breed bereik van de procescondities en zijn daarom heel gesoficiceerd en met veel variëteiten en opties verkrijgbaar. Een fundamenteel concept dat meestal niet nagekomen kan worden in het ontwerp van het proces, met een regelventiel, is de noodzaak voor een volledige afsluiting en isolatie. Een regelventiel mag gebruikt worden voor afsluitingen als het lekdebiet geenveiligheidsof kwaliteits probleem veroorzaakt.



Een beveiligingsventiel is:

1. een combinatie van een aan/uit "beveiligingsventiel" met een pneumatische aandrijfmotor, gestuurd door een 3/2 ventiel (zie figuur 3.6).

1 O.O. (dig. output)

· afkomstig van be: sturinglogica van het beveiligings

I systeem

I/" "/.p

/ " - J / " ~ Figuur3.6

Fedem

Verbindungsleitung

2. een combinatie van een regelventiel met regelaar en een 3/2 elektromagnetisch ventiel in de toevoer (zie figuur 3. 7).

O.O. afkomstig van I besturinglogica van I het beveiligingssys-i teem

ltJ ~

,--.."/ l 4_._.2_Qr1JAj I/. ~h afkomstigL_fJ u 1

van regel- ~ systeem c--. ,l

1 ~

------1.>~

Figuur 3.7

In figuur 3. 7 is een overdruk-beveiliging op de regeling van produkttoevoer naar een reactor d.m.v. een 3/2 elektromagnetisch ventiel (ruststroomprincipe, zie 4.6.) en regelventiel (fail safe ATO, zie 4.6.) weergegeven. Bij veilige toestand (reactordruk laag) wordt met (PC= pressure controller, drukregelaar) het regelventiel gestuurd. Bij overschrijden van de grenswaarde schakelt de grenswaardeschakelaar (PZ+) af, en via de ontluchting van het 3/2 ventiel sluit deze het regelventiel af.

Beveiligingsventielen met een dubbelwerkende aandrijfmotor (geen fail safe) worden aangestuurd met een 4/2 ventiel. (zie figuur 3.8).



@

Figuur 3.8

I.v.m. de schakelsnelheid in noodsituaties, wordt de stuurschakeling, daar waar nodig, uitgerust met snelontluchters met grote doorstroomcapaciteit In figuur 3.9 is een 3/2 stuurventiel (Samson) voor een explosiegevaarlijke omgeving weergegeven. De voorsturing van het ventiel is een relais (1) dat, i.p.v. contacten, een flapper(3)nozzle (4) activeert. Via een pneumatische versterker (5-6-7) wordt het stuurventiel aangestuurd via poort (A).

7

Zul mcx. 6 bar

Figuur 3.9



HOOFDSTUK IV:

BEGRIPPEN EN GROOTHEDEN

Enige kennis van begrippen en grootheden is onontbeerlijk voordat men een beveiligingsketen gaat ontwerpen.

4. 1. Defectfrequentie A

Beveiligingsketens zijn passieve systemen. D.w.z. beveiligingsketens wachten op een grenswaarde-overschrijding van het proces waarna de gewenste beveiligingsactie wordt uitgevoerd. Beveiligingsketens kunnen echter falen. Defectvrije componenten voor beveiligingsketens zijn in praktijk niet realiseerbaar, alhoewel configuraties met zeer lage defectfrequentie (A) mogelijk zijn. De levensloop van zo'n component is terug te vinden in de zgn. badkuipkromme.

A À.

I i 11

I\

[11

I\ I \ I : I : IJ

Figuur 4.1: badkuipkromme

In deze kromme zijn drie perioden te onderscheiden:

IJl t

• eerste periode: de periode van in bedrijfneming, met een hoge kans op defecten (periode van "kinderziekten").

• tweede periode: na daling van het aantal defecten, een periode van nagenoeg constante gemiddelde defectfrequentie ("kinderziekten" zijn overwonnen).

• derde periode: een periode van toename van het aantal defecten (verouderingsverschijnselen).

Bij de beschouwing van de betrouwbaarheid (zie 4.3), wordt ervan uitgegaan dat alle componenten van het betreffende systeem een constante, zij het ongelijke, gemiddelde defectfrequentie hebben. De gemiddelde defectfrequentie (" failure rate" A), is het gemiddeld aantal te verwachten defecten van een bepaalde component, apparaat of systeem per eenheid van tijd.

Hoofdstuk IV: Begrippen en grootheden pg.1


4. 2. "Beschikbaarheid"

Definitie: De beschikbaarheid A (availability) is de waarschijnlijkheid dat een systeem werkelijk in staat is zijn toegewezen functie uit te voeren wanneer dat vereist is.

Beschikbaarheid is belangrijk voor de ingrijpende organen van het beveiligingssysteem die een beschermende functie moeten uitvoeren. De ESD componenten moeten beschikbaar zijn wanneer abnormale procescondities hun actie vereisen.

De beschikbaarheid kan als volgt berekend worden:

tijd dat een systeem beschikbaar is A=-------_;__ ___ _;__ ____________ _ tijd dat een systeem beschikbaar is + tijd dat een systeem niet beschikbaar is

Voor de tijd dat een systeem beschikbaar is, wordt het begrip "mean time to failures" (MTTF) gehanteerd. De MTTF is de gemiddelde tijd tussen het optreden van opeenvolgende defecten. Zou men er in slagen, gedurende een zeer groot aantal jaren (n), het aantal defecten (N) van een beveiliging te registreren, dan mag men verwachten dat de beveiliging in haar verder bestaan À::;:;; N/n maal per jaar een defect zal vertonen. De MTTF wordt daarmee MTTF=1/X jaar. Voor het berekenen van de tijd dat een systeem niet beschikbaar is, wordt gebruik gemaakt van de volgende begrippen: • de gemiddelde tijd om een onderdeel te herstellen (inclusief storing zoeken),

nadat het heeft gefaald noemt men "mean time to repair" (MTTR). De exacte MTTR van een beveiligingssysteem is zelden bekend; wel heeft men soms enig idee. Is de te verwachten MTTR lang, dan wordt de beveiligingsketen meestal overbrugd (zie 2. 7).

• Bij niet-zelfmeldende fouten (zie 4.5)moet het begrip "mean time to detect" (MTTD) meegenomen worden in de berekening van de beschikbaarheid. De gemiddelde tijd om fouten te detecteren kan verminderd worden door de testfrequentie van het systeem op te voeren.

De beschikbaarheid kan nu geschreven worden als:

MTTF A = ------------------

MTTF + MTTR + MTTD

met MTTD = 0 voor zelfmeldende fouten



4. 3. "Betrouwbaarheid"

Definitie: De betrouwbaarheid R (reliability) is de waarschijnlijkheid dat een component of systeem correct zal functioneren onder gespecificeerde condities gedurende een gegeven tijdsperiode.

Betrouwbaarheid is belangrijk voor componenten die normaal moeten functioneren om aan de produktie-vereisten te voldoen. Betrouwbaarheid is belangrijk bij de selectie van de meest belangrijke procescomponenten. Uitgaande van de defectfrequentie (À=1/MTTF) kan men de betrouwbaarheid uitrekenen. Voor een constante À is de betrouwbaarheid R(t) statistisch af te leiden:

R(t)= e- À .t

t Figuur 4.2: Poisson-waarschijnlijkheidsverdeling

Bij deze beschouwing van de betrouwbaarheid, wordt ervan uitgegaan dat alle componenten van het betreffende systeem een constante, zij het ongelijke, gemiddelde defectfrequentie (À) hebben.

4.4. Actieve zelfmeldende defecten (ook operationele defecten genoemd)

Defecten zijn te onderscheiden in actieve of zelfmeldende defecten en in passieve of niet-zelfmeldende defecten. Een actief of zelfmeldend defect ("fail safe") is een defect aan een beveiliging dat zich kenbaar maakt door een beveiligingsingreep (valse trip). Een valse trip houdt in dat een beveiligingsketen tot actie overgaat zonder dat er een grenswaardeoverschrijding van het proces heeft plaatsgevonden. Het gevolg is het onnodig uitvallen van b.v. een produktieeenheid, hetgeen met produktieverlies gepaard gaat. Als de beveiligingsingreep correct verloopt, leidt dit niet tot gevaarlijke situaties. Een typisch actief defect is de breuk van de meetleidingen indien men gebruik heeft gemaakt van het ruststroomprincipe (zie 4.6), waardoor er een valse trip ontstaat.



4.5. Passieve niet-zelfmeldende defecten

Een passief of niet-zelfmeldend defect ("fail danger") is een defect in een beveiliging, dat slechts door het testen van de werking van de beveiliging te detecteren is. Dit houdt in dat bij het voorkomen van een niet-zelfmeldend defect de beveiligingsketen niet meer kan ingrijpen bij een grenswaarde overschrijding. Zolang geen grenswaarde overschrijding plaatsvindt tijdens deze defecte toestand is er niets aan de hand. Het proces is echter niet beschermd gedurende de tijd dat de beveiligingsketen functioneel niet beschikbaar is. Na een passief defect krijgt het proces alle tijd om tot een gevaarlijke situatie uit te groeien. Een mogelijk passief defect is b.v. het mechanisch blokkeren van een wijzernaald van een meter (zie addendum A1 ). Onopvallend wijst de meter een aanvaardbare waarde aan wanneer een maximale waarde van het proces overschreden wordt. Om een alarm aan te sturen zou in dit geval de naald een instelbare grenswaarde moeten overschrijden, maar door het mechanisch defect ontstaat dus geen alarm en dus geen trip.

Besluiten actieve en passieve defecten:

1. actieve of zelfmeldende defecten beïnvloeden de beschikbaarheid van de beveiligingsketen;

2. passieve of niet-zelfmeldende defecten beïnvloeden de veiligheid van de procesinstallatie;

3. bij passieve defecten is een snelle defectherkenning door middel van testen belangrijk.

4. 6. De begrippen hazard. demand en PHA team.

HAZARD is een chemische of fysische conditie die de mogelijkheid heeft om schade te veroorzaken aan mens, eigendom en omgeving.

DEMAND is een conditie of gebeuren dat een geschikte actie van een beveiligingssysteem vereist om een HAZARD te voorkomen of te verzachten.

Bij de ontwikkeling van een chemisch proces zal een groep aangeduid worden om de procesontwikkeling te leiden. Van het Proces Hazard Analyse (PHA) team wordt kundig deelnemen aan het ontwerpen van het proces, hazard schatting, instrumentatie, werking en onderhoud van de chemische plant vereist. Initiële richtlijnen ( zoals algemene veiligheidsnormen, doelen en speciale vereisten) moeten aan het PHA team gegeven worden door het project- en plantmanagement Een goede communicatie binnen het PHA team is heel belangrijk.



4. 7. De fail-safe techniek

Definitie fait-safe techniek: Een concept dat de richting van falen van een component/systeem definieert als resultaat van specifiek slecht werken. De richting van falen is naar veiligere of minder risicovolle toestand.

De meeste bekende maatregelen i.v.m. het fail -safe maken van het systeem bij het uitvallen van de toegevoerde hulpenergie, is de ATO- en de A TC-werking van een regelventieL Onder invloed van een toename van de stuurdruk zal het ventiel openen of sluiten. Wanneer t.g.v. toename van de stuurdruk het ventiel meer opent, spreekt men van "AIR TO OPEN"-werking (ATO). Wanneer t.g.v. toename van de stuurdruk het ventiel meer sluit, spreekt men van "AIR TO CLOSE"-werking (ATC). De ingebouwde veer zorgt bij het wegvallen van de stuurdruk dat de klep automatisch sluit respectievelijk opent.

ATO regelventiel

_---.\.. k Ingebouwde ~ veer .:=::::;_

aansluiting perslucht

Symbool: ~

ATC regelventiel

aansluiting perslucht

ingebouwde veer

Symbool:-~

Welke van beide werkingen te verkiezen is, is afhankelijk van de fail -safe situatie. Bij fail -safe transmitters leidt het uit- of inschakelen van de hulpenergie tot het schakelen van de grenswaardeschakelaar. Zo zal men b.v. een druktransmitter, toegepast voor hogedrukbeveiliging, voorzien van "reversed action", zodat het uitgangssignaal afneemt met toenemende druk, waardoor uitvallen van de hulpenergie tot een trip leidt. Een andere bekende maatregel is het ruststroomprincipe en arbeidstroomprincipe in elektrische systemen. Beveiligingskringen die opgebouwd zijn volgens het ruststroomprincipe (de-energize to trip) voeren wanneer er geen beveiligingsingreep vereist is stroom. Uitvallen van de hulpenergie leidt dan tot een beveiligingsingreep. Bij relaisschakelingen bijvoorbeeld, heeft een "ruststroomrelais" in rusttoestand een stroomvoerende magneetspoel. Het tegengestelde van ruststroomprincipe is het

Hoofdstuk IV: Begrippen en grootheden pg.S


arbeidstroomprincipe ( energize to trip). Een arbeidstroomrelais heeft in rusttoestand een stroomloze magneetspoel. Het arbeidstroomprincipe wordt in de praktijk voor instrumentele beveiligingen slechts bij uitzondering toegepast. De belangrijkste reden hiervoor is het risico van hulpenergieuitvaL Beveiligingsketens uitgevoerd volgens het arbeidstroomprincipe zijn "fail-danger".

Definitie fail-danger: een fout van de uitrusting welke acties om een veilige operationele toestand te bereiken belet of vertraagt , zal een demand veroorzaken. De fail-to-danger fout heeft een direct en nadelig effect op de veiligheid.

Bij de ideale fail-safe beveiliging komen er alleen actieve defecten voor. Hoewel het ruststroomprincipe de veiligheid verhoogt, neemt het aantal actieve zelfmeldende defecten van de beveiliging toe en daardoor de continuïteit van de produktie af.


Stage: Beveiligingen toegepast in de procesindustrie Joris Verstraete

HOOFDSTUK V:

VEREISTE INTERLOCKS CESDl

Een uiteindelijk aanvaardbaar risico (restrisico) wordt door het bedrijf, normen of overheid vooropgesteld. DSM stelt bijvoorbeeld geen ongevallen met verzuim voorop. De beveiligingsklasse, met bij horende voorkomende en verzachtende maatregelen die gebruikt worden voor het reduceren van het risico tot een aanvaardbaar risico, kunnen pas gespecificeerd worden nadat de kans op en de gevolgen van een HAZARD bekend zijn. Zo maakt de DIN V 19250 norm ook gebruik van kans en gevolgen (effect) voor het bepalen van het vereiste beveiligingsklasse systeem (zie addendum 8). Voor de identificatie van de gevolgen van een HAZARD doet men beroep op kwalitatieve technieken. Voor de berekening van de kans op een HAZARD doet men beroep kwantitatieve technieken. Voorgaande technieken en de vereiste beveiligingsklasse met voorkomende of verzachtende maatregelen voor een HAZARD worden in dit hoofdstuk besproken.

5. 1. Kwalitatieve technieken.

Voordat men de kans op een HAZARD kan berekenen moet men alle mogelijke HAZARDs identificeren. Voor nieuwe technologische toepassingen moeten veiligheidsanalysten "brain-stormen" over mogelijke falingen door gebruik te maken van technieken zoals "what-if' analyse en controle lijsten. Deze technieken worden meestal toegepast in een eerste HAZARD analyse. Zodra het procesontwerp gevorderd is tot een pre-engineeringsniveau zijn meestal meer grondigere evaluatie technieken vereist. Grondigere evaluatie technieken zijn: Mode & Effect Analysis (FMEA) (zie 3.2.2.1 voor een voorbeeld), Hazard and Operability (HAZOP) studies en gelijksoortige technieken worden gebruikt om procesmateriaal en besturingssystemen te beoordelen. Veel toepassingen vereisen een combinatie van technieken. In de volgende paragraaf wordt de HAZOP techniek beschreven als één van de kwalitatieve technieken.

5. 1. 1. Hazards and Ooerabilitv Analvsis.

HAZARD en operationele analyse (E: Hazards and QQerability analysis (HAZOP)) is ontwikkeld door lmperial Chemical Industries in Engeland in het begin van de jaren zestig en is later verbeterd en gepubliceerd door de Chemicallndustries Association in Londen. Volgens Ozog, gebruikt zowat de helft van de chemische proces industrie HAZOP voor alle nieuwe voorzieningen (Henry Ozog Hazard identification, analysis and controL Hazard Prevention, pages 11-17 May/June 1985). Zoals de naam doet

Hoofdstuk V: Vereiste interlocks (ESD) pg.1


vermoeden zal deze techniek zich niet alleen richten op veiligheid maar ook op efficiënt produceren. HAZOP is een kwalitatieve techniek die als doelstelling heeft alle mogelijke afwijkingen van het ontwerp (verwachte werking en alle HAZARDs in verband met de afwijkingen) te identificeren. Voor het inschatten van de risico's is een HAZOP-studie een belangrijk hulpmiddel bij het afwegen van risico's en keuzes van alternatieven in de ontwerpfase. Gevaarlijke stoffen en gevaarlijke situaties kunnen beter in het begin uit het ontwerp worden geëlimineerd, dan door additionele maatregelen en instrumentele beveiligingen te worden gereduceerd. De techniek bevordert creatief denken over alle mogelijke invalshoeken waarlangs risico's of werkingsproblemen kunnen ontstaan. In vergelijking met HAZARD-identificatietechnieken zoals controlelijsten, is HAZOP niet alleen bekwaam om HAZARDs aan het licht te brengen in nieuwe ontwerpen maar ook HAZARDs aan het licht te brengen die voordien niet beschouwd werden. Om de kans te verminderen dat een mogelijkheid wordt vergeten, wordt HAZOP systematisch volbracht, waarbij elke proceseenheid in de plant (zoals pijpleidingen, tanken en reactoren) en elk HAZARD op zijn beurt wordt bekeken. Een kleine groep van specialisten ontwikkelen vragen over het onderwerp. Ofschoon vlotjes door een lijst van gidswoorden toe te passen de vragen creatief ontstaan uit de samenwerking van de groepsleden. Door gebruik te maken van de beschrijving van de plant zal een HAZOP team (samengesteld uit experts op verschillende gebieden van het systeem en een onafhankelijke teamleider die expert is in de HAZOP techniek) denken over:

1. de vooropgestelde ontwerpdoeleinden van de plant, 2. eventuele afwijkingen van de vooropgestelde ontwerpdoeleinden, 3. de oorzaken van deze afwijkingen van de vooropgestelde ontwerpdoeleinden, 4. en gevolgen van zulke afwijkingen.

De gidswoorden voor HAZOP zijn:

I gidswoorden 11 betekenis I geen, niet, nee Het voorgenomen resultaat is niet volbracht, maar er is ook

niets anders gebeurt (zoals geen voorwaarste stroming die er had moeten zijn).

meer Meer van elke relevante fysische grootheid dan er zou mogen zijn (zoals hogere druk, hogere temperatuur, groter debiet of grotere viscositeit).

minder Minder van de relevante fysische grootheid dan er zou moeten zijn.

zowel als Een activiteit vindt plaats naast wat had moeten gebeuren of net zo goed als meer componenten zijn aanwezig in het systeem dan er mogen als ook zijn (zoals extra dampen, vaste stoffen of onzuiverheden zoals

lucht, water, zuren, corrosieve produkten).



een deel van Slechts enkele van de beoogde ontwerp doeleinden zijn volbracht (bijvoorbeeld als er maar 1 van de 2 componenten van een mengsel aanwezig is).

omgekeerd Het logische tegengestelde van wat was bedoeld is gebeurd (zoals teruggaande stroming in plaats van voorwaartse stro-ming).

anders als Het vooropgestelde resultaat is niet volbracht en er is iets volle-dig anders gebeurd (zoals een flow van een verkeerd materi-aal).

De gidswoorden die op een proces gebruikt worden, zijn te zien in bovenstaande tabel. Zij worden toegepast voor elke variabele zoals stroming, temperatuur, druk, concentratie en tijd. Elke lijn, van alle tekeningen van de plant, moet op zijn beurt onderzocht worden door de gidswoorden toe te passen. Als elke procesafwijking is beschouwd zullen de teamleden alle mogelijke oorzaken veronderstellen (zoals als een klep sluit foutief of een filter is verstopt) en het effect daarvan op het geheel van het systeem (bijvoorbeeld een pomp die oververhit geraakt, de reactie die wegloopt of een verlies in de output). De gidswoorden brengen vragen voort.

Bijvoorbeeld de toepassing van het gidswoord 'geen' op de stroming wil zeggen dat, indien er een voorwaartse stroming moet zijn, er geen stroming is. Dit zal de volgende vragen voortbrengen:

• Kan er geen stroming zijn? • Als dat zo is, hoe kan er geen stroming ontstaan? • Hoe zullen de operators weten dat er geen stroming is? • Zijn de gevolgen risicovol of voorkomt het de doeltreffende werking? • Als dat zo is, kunnen we "geen" stroming voorkomen (of beschermen tegen de gevolgen) door verandering in het ontwerp of methode van werking? • Als dat zo is, verantwoort het risico of probleem de extra onkosten?

Figuur 5.1 toont een gedetailleerde flowchart van dit HAZOP proces. In de onderstaande tabel vindt men al vast het mogelijk resultaat terug van de analyse van de flowchart.

Gidswoord afwijking mogelijke oorzaak mogelijke gevolgen

geen geen stroming 1 . pomp defect 1. oververhitting in 2. aanzuigfilter pomp warmtewisselaar

verstopt 2. voedingsverlies 3. isolatieklep pomp naar reactor

gesloten



Selecteer lijn in processchema

... I Selecteer afwijking, b.v. geen stroming

!Ga de volgende 1! ~N~ee~--k~;;;-,-;;~·~;-;;,~ii;?--i lafwijking na. 1411( I Is 'geen' stroming mogelijk? [411(--------.

I

Y Ja I j1s het risicovol of voorkomt het de doeltreffen- ~Veronderstel andere oorzaken I le:.:de"-'w,._,e~rk"-'-'in""'g_,_? __ --,-

1

______ __JI I van 'geen' stroming I

JJa jwelke veranderingen j411( Nee !zal de operator weten dat er geen stroming is?

I in de plant zullen het 1 ~

1 hem/haar vertellen?

1 'Ja

I 1

1

w elke veranderingen in de plant of methoden '---· -----ll·~,.zal de afwijking voorkomen, deze minder la

jten lijken of beschermen tegen de gevolgen?

I_.., !veronderstel andere veranderingen ~of overeenkomst om het risico te

I 1 j aanvaarden. • 'ls_d_e_k_os-tv_a_n-de_v_e-ra~nd-e-rin-g-en-v-er-an_M_o_o_ro_?l-=Ne=e~---~

i Ja

!Iedereen moet akkoord zijn de veranderingen. lovereenkomen wie er veranMoordelijk is voor de actie.

i ! Controleer of de actie heeft plaatsgevonden.

Figuur 5.1: Flowchart HAZOP-proces

De procedure verschilt voor continue en batch processen. De HAZOP voor een continue plant is hierboven beschreven. Niet alleen in normaal bedrijf zal de studie beschikbaarheid en veiligheid te weeg brengen maar ook tijdens de oplevering, opstart en shutdown. Voor een batch plant zullen niet alleen de flowcharts maar ook de bedieningsprocedures onderzocht worden. Bij batch processen zullen de gidswoorden ook toegepast worden op instructies geschreven voor de operator of die uitgevoerd worden door een computer. Als computer instructies worden onderzocht zal een software ingenieur deel moeten uitmaken van het HAZOP-team. Tijd is belangrijk in batch bewerkingen. Bij toepassing van de gidswoorden op de tijd kunnen factoren zoals frequentie, absolute tijd en sequentie relevant zijn.

HAZOP gebruikt procesbeschrijvingen, flowsheets, logische regelschema's, P&ID, een plant lay-out, metingen, noodprocedures, veiligheid- en trainingsmanuals, chemische gegevens,enz. Op het moment dat al deze informatie beschikbaar is, is het meestal te laat om grote veranderingen in het ontwerp aan te brengen om het risico te reduceren. Daarom worden risico's eerder gereduceerd door het toevoegen van beveiligingsapparatuur dan door verandering in het ontwerp. Om deze reden gebruiken veel bedrijven voorafgaande HAZOP's op conceptuele flowcharts en op voorafgaande lay-out diagrammen (alleen veiligheid aspecten, geen beschikbaarheid problemen). In dit stadium bijvoorbeeld is het mogelijk om ontvlambare onderdelen te vervangen door niet-ontvlambare onderdelen. In een later stadium, wanneer het ontwerp bijna af is, is het alleen mogelijk om het risico te verlagen door vuurisolatie, lekdetectoren, enz.



5.2. Kwantitatieve technieken.

Voor systemen met de mogelijkheid op grote HAZARDs zal het nodig zijn om een kwantitatieve analyse uit te voeren boven op de kwalitatieve analyse zoals beschreven in de vorige paragraaf. De kwantitatieve analyse kan gebruikt worden voor nieuwe ontwerpen, vernieuwing van bestaande systemen of om bestaande installaties te evalueren. Kwantitatieve technieken zijn: Capability Assessment, Reliability Database Analysis, Fault Tree Analysis (FTA), Event Tree Analysis (ETA), Reliability Bleek Diagrams (RBDs), Incident Analysis, Quantitative Risk Analysis (QRA), Markov Models, Monte Carlo (MC) simuiatien en Nondestructive Insartion Testing (NDFIT). In de volgende paragrafen wordt capability assessment en de FTA techniek besproken.

5. 4. 1. Capabilitv Assessment

Eens dat het ontwerp van een beveiligingssysteem is ontwikkeld dan zal er een Capability Assessment (bekwaamheid vaststelling) worden gemaakt (d.w.z. een evaluatie van de bekwaamheid van het systeem om aan de veiligheidvereisten te voldoen, rekening gehouden met de nauwkeurigheid en de dynamica van de gebruikte apparatuur). In addendum C is aandacht besteed aan de tijdsaspecten bij het aanspreken van de beveiliging. Indien de reactiesnelheid van de beveiligingskaten te laag is, zal er een calamiteit ontstaan.

procesgrootheid . -I /_/ 111 ~ _ -~~ ___ ~alamiteitswaarde

I /r' ~~

I /~ grenswaarde r---F- - - - - - - - -~ - - -I I ~-Ij I

I

I

Figuur 5. :Reactiesnelhied van drie verschillende processen

tijd

Capability assessment zal problemen van dit type identificeren zodat ontwerpveranderingen aangebracht kunnen worden om de geïdentificeerde gebreken te corrigeren. Meestal zal een volledige en gedetailleerde capability assessment van elk ontwerp gemaakt worden voordat er een capability assessment van het systeem wordt gedaan.

Hoofdstuk V: Vereiste interlocks (ESD) pg.S


5.2.2. Fault Tree Analysis (FTA)

Een foutenboom (Fault tree) is een logisch diagram dat systematisch de volgorde van falen weergeeft, van zowel het proces als van de procescontrole apparatuur, dat leidt tot een gedefinieerd "top event". Ze helpen de analist om de kans (frequentie) op het top event te evalueren als functie van de omvang van de gevolgen. Top events worden in het algemeen geselecteerd door te kijken naar de draagwijdte van de mogelijke serieuze ongevallen. Bijvoorbeeld serieuze top events kunnen geselecteerd worden uit de events die door een "What-if' studie, een FMEA of een HAZOP analyse geïdentificeerd zijn. Typische top-events zijn: • brand in een opslagtank; • vrijkomen van een vluchtige toxische damp gedurende 10 minuten; • vluchtige, erg giftige damp vrijgekomen uit een apparaat; • explosie van een tank; • toxisch of ontvlambaar gas ontsnapt uit een ontluchtingsklep;

Het top event wordt gedefinieerd door de hoeveelheid en graad/duur van vrijkomen van een bepaald schadelijk materiaal dat dan kan worden gebruikt om een mogelijk HAZARD zone te bepalen gebaseerd op HAZARD schattingsmodellen. Voor elk geselecteerd top event wordt een foutenboom opgesteld die alle combinaties van falingen van de systeemcomponenten, die aanleiding geven tot het top event, weergeeft. Initiële fouten vindt men op de bodem van het diagram. Simpele logische poorten, meestal Booleaanse EN- en OF-poorten, worden gebruikt bij het ontwikkelen van elke tak van de boom. Meestal zijn er veel onafhankelijke paden die de topgebeurtenis kunnen veroorzaken. Door toekenning van faalfrequenties of voorwaardelijke kansen op falen voor elke component van de boom, kan een schatting van de kans, op het voorkomen van een top event, gemaakt worden. Verder kan men uit de foutenboom de hoofdpaden afleiden die bijdragen aan de kans van het optreden van een top event. Vervolgens kan men deze informatie gebruiken om met geschikte verzachtende maatregelen de kans op of de gevolgen van het top event te reduceren als het risico niet aanvaardbaar was. Een voorbeeld van en foutenboom is gegeven in figuur 5.2.

1

top event, restrisico ~ (x per jaar)

~~~~~i~~i~~ti~ig ~~-E.Ni~ I het niet doet~,

,----i----, kans dat het proces I OF I 1_ .. :?"uit de hand loopt

~ l a= veerveiligheid I EN I I I OF I b= hogedruk schakelaar (PSH) ~j I I I c= breekplaat al bi cl dl TTT d= afblaasfakkel

de mand

b.e;iligi~s ~acts 1nnchtlng

Figuur 5.2: Foutenboom



Bovenstaande foutenboom bevat geen numerieke waarden, maar deze kunnen berekend worden door het toekennen van faalkansen of voorwaardelijke faalkansen voor elke component van de boom. Hierna kan, door gebruik te maken van Boole algebra, de kans op het top event uitgerekend worden. Als het risico verder verminderd moet worden, dan zal meestal van de tak van de boom die het grootste risico oplevert, aangepast worden. Er moet bij de analyse van foutenbomen veel aandacht besteed worden aan systemen die de mogelijkheid hebben om op een gemeenschappelijke manier te falen, dit omdat dan bij de kansberekening rekening gehouden moet worden met de correlatiecoëfficiënt. Zoals bij de andere technieken, die ontworpen zijn voor de evaluatie van procesveiligheid, moet de FTA analyse aangevuld worden met ander kwantitatieve technieken voor ESD systemen. Let wel, foutenbomen modelleren geen tussentoestanden van het systeem (b.v. klep gedeeltelijk gesloten) en zeggen niets over de dynamische toestand van het systeem (d.w.z. tijden/of sequentie van een top event zijn niet gemodelleerd) omdat de foutenboom het systeem beschrijft op een bepaalde toestand, meestal steady-state. Foutenbomen zijn in toenemende mate een algemeen deel van kwantitatieve risicoanalyse studies.

5. 3. Vereiste beveiligingsklasse met voorkomende en verzachtende maatregelen.

Nu de kans op en de gevolgen van een risicovolle gebeurtenis gekend zijn kunnen de voorkomende en verzachtende maatregelen die geschikt zijn voor elke risicoreductie gespecificeerd worden. Een kwalitatieve methode, om de ernst van een risicovolle gebeurtenis en de kans op het gebeuren ervan te koppelen met integriteit-(E:integrity)vereisten voor een instrumentele bescherming, wordt in deze paragraaf besproken. Er wordt een classificatiesysteem voor het ontwerpen van interlocks besproken waaruit de vereisten voor de ESD-uitvoering volgen. De ontwerprichtlijnen voor het ESD-systeem, die volgen uit deze classificatie, worden besproken in hoofdstuk VIl.

5. 3. 1. ESD lntegritv levels

In dit werk worden drie verschillende niveau's in beveiligingsuitvoeringen, integrity level1, 2 en 3 (IL 1, IL2 en IL3), geïdentificeerd. In sommige normen vindt men hogere interlock integrity levels (level 4 voor luchtvaart en nucleaire industrie) maar deze levels worden niet gebruikt in de chemische industrie. Elk niveau heeft zijn eigen kwalitatieve ontwerprichtlijnen voor het ESD systeem. Redundante componenten (zie 6.2) en het uitgebreid gebruik van actieve diagnosen (zie 6.6) zijn voorbeelden van technieken die gebruikt kunnen worden bij het ontwerp van interlocks. Het al dan niet toepassen van deze technieken leidt tot de verschillende graden van beveiligingssystemen. De verbanden, die in dit werk gebruikt worden, tussen de verschillende integrity levels en de ESD architectuur zijn in figuur 5.3 op de volgende pagina weergegeven (later in 7.2.4. komen we hier uitgebreid op terug).


Stage: Beveiligingen toegepast in de procesindustrie

Interlock lntegrity Level Sensors

Joris Verstraete

loglc Solver Actuator

'IC>\ _ LOGIC \C:JF - - - SOL VER r- - - - - - I = 1

2 Q\ .. r ··LOG IC \j'~)r - - - .. 1_ SOLVER

®...,,. Note 1 ;• - •

--- ~ LOGIC SOLVER

Nole2 Note2

LOGIC

3 ;; SOLVER t-

. . LOG IC - t-SOLVER

Figuur 5.3

Vele petrochemische bedrijven gebruiken al verschillende jaren een interlock integrity identificatie systeem voor interne ontwerpprocedures. Deze identificatieprocedures verschillen van bedrijf tot bedrijf. Men kan verwachten dat sommige bedrijven integrity level 0 toekennen aan interlocks die bestuurd worden door het DCS systeem. Veel bedrijven nummeren hun hoogste integriteit als level 1 of als integrity level A en laagste als integrity level 4 of 5 (Dof E) (zie addendum 8). Hier zal een nummering van het interlock systeem gebruikt worden die toeneemt met de interlock integrity, omdat deze structuur consistent is met andere ontwikkelde normen, in de Verenigde Staten (ISA-SP84) en in Europa (IEC SC65A secretariat 122 en 123). De groepering van de drie integrity levels geeft een duidelijke scheiding in systeemarchitecturen, eigenschappen van de componenten en vereisten van de systeemondersteuning. De risicoreductie, voorzien door een interlock, neemt toe met het



integrity level. Een IL3 interlock zoals te zien in figuur 5.3 blijkt opgebouwd te kunnen worden uit een redundant IL 1 ESD systeem. Echter een IL3 interlock vereist ontwerp en onderhoud toepassingen welke de specificatie van IL 1 interlocks overschrijdt. De prestatie van twee identieke IL 1 beveiligings-PLC's is niet gelijk aan de prestatie van één IL3 beveiligings-PLC. Bij lntegrity level 1 interlocks is de mogelijkheid tot het beletten van falen op gemeenschappelijke manier groter dan bij IL3 interlocks, IL 1 interlocks hebben niet het niveau van actieve diagnose zoals vereist voor IL3 interlocks en hebben een lager onderhoudniveau nodig dan IL 3 interlocks.



HOOFDSTUK VI:

BASIS VOOR ESD-ONTWERP OF OPTIMALISATIE

Dit hoofdstuk detineert een basis, die te overwegen is bij het ontwikkelen of optimaliseren van een ESD-systeem voor de gegeven toepassing. Beveiligingssystemen hebben over het algemeen twee voorname functies te vervullen: 1. enerzijds de bescherming van het bedieningspersoneel en de omgeving tegen

gevaarlijke situaties. 2. anderzijds de bescherming van de apparatuur zelf, die in grote installaties een

aanzienlijke investering vertegenwoordigen. Deze beide functies moeten door het beveiligingssysteem vervuld worden met een minimum aan produktieverlies, als gevolg van een ongewenst uitschakeling. M.a.w. beveiligingsketens: *mogen niet falen wanneer zij in werking moeten treden

*mogen slechts dan in werking treden wanneer dat nodig is. Daarom zal het ontwerpen of optimaliseren van een ESD-systeem, om de betrouwbaarheid te bevorderen en het aantal falingen in beveiligingsketens te verminderen, zich richten op: • de de-energized ta-trip versus energized-to-trip fail-safe aspecten; • logische structuren: redundantie; • ESD fout voorkomende/verzachtende technieken; • scheiding van ESD- en DCS-systeem; • diversiteit; • periodiek testen.

6. 1. De-energized-to-trip versus energized-to-trip

Beveiligingssystemen kunnen ontworpen zijn voor de-energized-to-trip of energizedto-trip werking. ESD-systemen ontworpen als deenergized-to-trip systemen worden in de chemische industrie het meest gebruikt. Deenergized-to-trip heeft de volgende voordelen t.o.v. energized-to-trip:

• Eenvoudiger in ontwerp; • Fail-safe compatibel; • Ontwerpaanpak met de grootste werkingservaring.

Een overzicht van de belangrijkste eigenschappen van elk type volgt.

Hoofdstuk VI: Basis voor ESD-ontwerp of optimalisatie pg.1


6. 1. 1. De-energized-to-trip.

In het algemeen moet bij falen van de apparatuur, gebruikt in ESD-systemen, de toestand veilig blijven. In de meeste ESD-ontwerpen zullen de outputs de-activeren (de-energize) of zal het backup systeem de controle overnemen bij het falen van een logicacomponent of -schakeling die is geassocieerd met een bepaalde output, als die faling het ESD-systeem zou verhinderen om te reageren op een demand. Daarom zal bij het optreden van een faling het systeem naar een veilige toestand gaan. Een systeem dat ontworpen is om te werken op "normally-energized" wijze kan failsafe ontworpen worden door verlies van energie. Een voorbeeld is een mechanisch werkende laag-debiet-grenswaardeschakelaar met normaal open (NO) contacten. Deze schakelaar die zal sluiten als het debiet boven de grenswaarde komt (bij normale werking) en opent wanneer het debiet onder de grenswaarde komt (shutdown), wordt in veel toepassingen fail-safe beschouwd. De componenten gebruikt in het ESD-systeem moeten niet alleen falen naar een veilige toestand wanneer de component faalt, zij moeten ook zo geselecteerd worden dat zij falen naar een veilige toestand wanneer de systeemvoeding (b.v. elektrische energie, instrumentatie lucht) uitvalt.

6. 1. 2. Energized-to-trip.

Energized-to-trip ESD-systemen moeten de volgende punten bevatten: • Diagnoses om de fouten te detecteren in de bedrading tussen de sensor en de

logica en tussen de logica en het ingrijpend orgaan. • Noodenergie voorziening (b.v. batterijen) om het systeem naar een veilige toe-

stand te brengen bij falen van de energievoorziening. • Alarmering bij verlies van ESD-energievoorziening. • Frequent testen en actieve diagnose monitoring van de totale ESD-voorziening. • Manuele noodstopmiddelen die onafhankelijk zijn van de interlocks ( noodstopmid-

delen afkomstig van het proces). Goed ontworpen energized-to-trip systemen mogen als "veilig" voor het verlies van energie beschouwd worden indien er geschikte uitwendige middelen voor het nemen van corrigerende acties beschikbaar zijn, die bovendien van het PHA-team gebruikt mogen worden.

6. 2. Logische structuren: Redundantie

Redundantie heeft het verbeteren van de betrouwbaarheid en/of beschikbaarheid tot doel. Redundantie is het meervoudig uitvoeren van beveiligingen of delen daarvan. Door niet slechts één enkelvoudige beveiligingketen toe te passen, maar twee of meer ketens tot een meervoudig systeem samen te stellen, kan men zowel het aantal actieve defecten (valse trips) als passieve defecten (niet beveiligd) drastisch verminderen. Als nadeel daar tegenover staat dan een grotere technische complicatie en hogere kosten.



Men spreekt van redundante systemen met m Qut Qf n redundantie, waarbij m het aantal deelsystemen vannis dat noodzakelijk is om de veiligheid te waarborgen. In de procesautomatisering is n steeds kleiner of gelijk aan 3, terwijl m 1, 2, of 3 kan zijn. Gebruikelijke redundantie zijn: zonder redundantie 1 oo1, voor passieve defecten 1 oo2 en 1 oo3, voor actieve defecten 2oo2 en voor actieve en passieve defecten 2oo3 (ook 3oo3, maar zelden).

te bewerken procesgrootheid A B C

transmitte~à -0..,....---0.,--1-0,....--

grenswaarde.fl schaKelaarL___j

' ' ' ' ' '

000

A B

0~ DO

---1~ -i~ ~ ~~~~ ~f---1-gemanipuleerde procesgrootheid

1oo1

Figuur 6.1: redundantie

A2B2C A&B 1oo3 2oo2

6.2.1. Redundantie van beveiligingsventielen

A B c

ti I~ ~ ~'f-A&B2B&C2A&C

2oo3

Afhankelijk van de gegeven situatie, moet een beveiligingsventiel bij dreigend gevaar een toevoerstroom naar het proces afsluiten dan wel openen. Een belangrijk gegeven daarbij is de fail-safe (zie 4.6) van het ventiel. In de volgende figuur 6.2 zijn de mogelijke combinaties van redundante ventielen ATO en ATC weergegeven:

ATO g ® j:', ,?~ ,TA ,?A ,:rA ~'î/l " r,~/lc -v~r- ~\r ~[_Àj-

YC

v~H>',i 1oo1 1oo2 1oo3 2oo2 2oo3

1oo1 1oo2 1oo3 2oo2 2oo3 Figuur 6.2: redundantie ventielen

Opmerking: Alhoewel hier (en ook verder) steeds sprake is van beveiligingsventielen, zijn deze beschouwingen evenzeer van toepassing op motorrelais als op ingrijpende organen. Uiteraard is daarbij hetarbeids-en ruststroomprincipe bepalend voor de fail-safe.



6.2.2. 1oo2 redundantie

In de beveiligingsketen van onderstaande figuur 6.3 voert één zelfmeldend defect, b.v. leidingbreuk, tot een valse trip; één niet-zelfmeldend defect, b.v. blokkeren van de wijzernaald leidt niet tot een valse trip. T.o.v. een enkelvoudige beveiliging (1 oo1) is van een1 oo2 redundant beveiliging, t.g.v. zelfmeldende defecten, het dubbele aantal valse trips te verwachten. Het gevaar dat ontstaat met niet-zelfmeldende defecten neemt daarentegen af.

I~ I I l G··~'·~·~·~·±·r~· ·~'.J·==~~ I I

: i ! '0JI l r-----jSturing[\c,l I I

. I I I I

i : ; r~\ ~I I~ \TCj~~l I I il 6 I LA.J~-~ï< I• -

Figuur 6.3: 1 oo2 redundantie Figuur 6.4: 2oo2 redundantie


Bovenstaande figuur 6.4 voert slechts een zelfmeldend defect (b.v. leidingbreuk) in beide ketens tot een valse trip. Een niet-zelfmeldend defect (b.v. blokkeren meetwerk) zal beletten dat de beveiliging nog gaat trippen. Het aantal valse trips t.o.v. 1 oo2 redundantie neemt drastisch af.


Een twee out of drie redundantie wordt verkregen d.m.v. een vergelijkingssysteem waarbij drie separate beveiligingssystemen één en dezelfde grootheid bewaken. De installatie wordt uitgeschakeld wanneer tenminste twee beveiligssystemen hiertoe een bevel geven. Een 2oo3 redundantie verenigt de voordelen van de 1 oo2 met die van de 2oo2 redundantie. In figuur 6.5 ,op de volgende pagina, is een 2oo3 redundante beveiliging van een reactorafvoer weergegeven. 3 beveiligingsketens met 5



beveiligingsventielen zijn zo met elkaar gekoppeld, dat bij falen van één keten de reactor niet onnodig wordt getript.

I I (, i I

I

I : : : I I Overdrukbeveiliging1r -:- -f- ...J l I I ';:=========:' I r: I I I

Overdrukbeveiliging _...__"_- ___ ..J 1

I Overdrukbeveiliging~---L----___ j I

l-~~-----------J Figuur 6.5: 2oo3 redundantie

6. 2. 5. Gecombineerde redundanties

Om het beveiligingssysteem niet te ingewikkeld te maken en de kosten te beperken is het praktisch om de delen van de keten redundant verschillend uit te voeren.

1 1 1 1 ! 1 1 1 1 1 bewaakte procesgrootheden d 1::-::J c~-- ~-o grenswaardeschakelaars ~ ~ l100j _m __ 12_~ met gecombineerde redundantie

I I I _____ _1, m V n I besturingslogica met

c____,------,-,--- -~~-~ gecombineerde redundantie

I i I .~.I I ~"~ ? procesmanipulatie met YXf- --t'~':}- gecombineerde redundantie

Figuur 6.6

In onderstaande figuur 6. 7 is de overdrukbeveiliging van een reactor met gecombineerde redundantie weergegeven. De grenswaardeschakelaars zijn 2oo3 redundant, de besturingslogica en de beveiligingsventielen (fa i I-safe ATC) zijn 1 oo2 redundant.

Figuur 6.7: gecombineerde redundantie



6. 2. 6. Besluiten redundanties:

1. Redundantie verhoogt de betrouwbaarheid en/of beschikbaarheid. 2. Het bevordert de flexibiliteit. Wijzigingen in het programma kunnen door ontkop

peling van redundante elementen, systematisch worden doorgevoerd. 3. Een extra voordeel van het redundant uitvoeren van beveiligingen, is het gemak

kelijker testen en vervangen zonder bedrijfsonderbreking. 4. Redundante systemen hebben echter een grote investering, complexe gehelen en

hogere exploitatiekosten tot gevolg.

6. 3. ESD-svsteem fout voorkomende/verzachtende technieken

De gevolgen voor het systeem, door het falen van een component, kunnen voorkomen of verminderd worden door toepassing van ontwerpprincipes zoals foutvermijding, fail--safe, en fouttolerante. De keuze van de volgende benadering moet voor iedere toepassing apart bekeken worden om de verlangde betrouwbaarheid en beschikbaarheid te bereiken.

1. Foutvermijding is het gebruik van ontwerptechnieken die het optreden van fouten vermijdt. Foutvermijding wordt bereikt door middel van prestatie grenzen te specificeren die de kans op nadelig falen verminderen. Bijvoorbeeld een relais dat gebruikt wordt voor beveiligingsteepassingen is zodanig ontworpen dat de fail-todanger modus wordt geminimaliseerd. Dit betekent het gebruik van een goedgekeurd veiligheidsrelais (zie 3.2.2.1.).

2. Fait-safe ESD-ontwerp omvat het kenmerk dat slecht functioneren van signalen, van ESD-componenten of van een energiebron, een actie tot gevolg hebben die leidt naar een veilige of minder risicovolle toestand. Wanneer het falen van een component of een energiebron is gedetecteerd, kan het ESD-systeem: • de faling signaleren maar is niet in staat het proces te begeleiden, totdat de

fout is gecorrigeerd, naar een situatie die geen veiligheidsprobleem veroorzaakt.

• initiëren van veranderingen in procescondities naar een niet risicovol gebied, terwijl het ESD-systeem in falende toestand is.

• Initiëren van acties die automatisch de faling signaleren, de falende component vervangen en het proces continu blijven volgen.

3. Fout tolerantie is die eigenschap van het systeem dat toelaat om zijn opgedragen functie uit te voeren, zelfs indien er één of meer fouten in de hard- of software aanwezig zijn.



6. 4. Scheiding van ESD-svsteem en DCS-svsteem.

Er moeten twee aspecten van scheiden beschouwd worden: fysisch en functioneel. Fysische scheiding betekent dat de DCS-Iogica en de ESD-Iogica uitgevoerd zijn in gescheiden hardware. Functionele scheiding wordt verkregen door eliminatie van gemeenschappelijk falen in de uitvoering van DCS- en ESD-functies. Dit eist mogelijk scheiding van sensoren, uitvoerende organen en andere componenten, scheiding van de hardware gebruikt voor het uitvoeren van de logische functies, scheiding van de systeemsoftware en scheiding van uitvoeringsprogramma's. Bepaalde communicatie tussen componenten en systemen is toegestaan zolang geen gemeenschappelijk falen kan ontstaan. Een bijkomende discussie over scheidingstechnieken in ESD-ontwerp is bijgevoegd in addendium D.

Indien klasse 3 of hoger (zie 5.5.1.) van toepassing is zal het ESD-systeem onafhankelijk functioneren van het DCS-systeem zonder enige gemeenschappelijke beïnvloeding. Zo wordt er zoveel mogelijk naar gestreefd dat het beveiligingssysteem een eigen meetinstrument heeft om in het proces te kijken. Bij gemeenschappelijk gebruik van de sensor of transmitter door het ESD- en het DCS-systeem zal bij falen van de sensor of transmitter, niet alleen het proces oncontroleerbaar zijn maar bestaat ook de kans dat het ESD-systeem niet functioneert. Dit heeft tot gevolg dat er geen beveiligingsingreep kan plaatsvinden.

6. 5. Diversiteit

Wanneer het DCS- en ESD-systeem met dezelfde hard- en software zijn geïnplementeerd (d.w.z. hetzelfde besturingssysteem) of wanneer dezelfde technologie voor het DCS- en het ESD-systeem gebruikt is (d.w.z. een ander besturingssysteem maar dezelfde hard-/software technologie) ontstaan gemeenschappelijke mannieren van falen. Sommige scheidingsschema's (zie addendum D) verminderen de mogelijkheid op bepaalde gemeenschappelijke manieren van falen. Een belangrijk punt zijn gemeenschappelijke hard- en/of software fouten, in zowel het DCS- als het ESD-systeem, als resultaat van het gebruik van gemeenschappelijke hardware componenten en/of het gebruik van identieke software. Diversiteit verwijst hier naar de factoren die twee componenten (b.v. toestellen, systemen, softwaresystemen, communicatiesystemen, sensoren en ingrijpende organen) verschillend maakt om zo de gemeenschappelijke manier van falen te verminderen. Voorbeelden van hoe men diversiteit toepast, zijn: • Verzeker de betrouwbaarheid van de elektrische stroom door een enenderbreek

bare elektrische energievoorziening, met omschakelmogelijkheid op een batterijen- en op een wisselstroombron. Een belangrijke factor in dit beschermingsschema is dat de wisselstroombronnen gescheiden en divers zijn.

• Het opvolgen (monitoring) van het proces met diverse sensor technologieën om de betrouwbaarheid van de sensorinformatie te verzekeren waar de betrouwbaarheid van één sensortechnologie onvoldoende is.

• Gebruik maken van twee beveiligings-PLC's met verschillende hardware, systeem



software en toepassingsprogramma's om de gemeenschappelijke manieren van falen in hard- en software te minimaliseren.

• Meten met verschillende fysische parameters om een zelfde gebeurtenis af te leiden.

Wanneer een diversiteit in een beveiligings-PLC gebruikt is, kan het toegepast zijn op alleen de hardware (b.v. twee of meer beveiligings-PLC's van verschillende fabrikanten), op alleen de software (b.v. twee of meer implementaties van de software door verschillende teams die gebruik maken van verschillende ontwerp en testtechnieken) of op beide.

6. 6. Periodiek testen

Bij de meeste continu werkende procesinstallaties zal het uitvoeren van testen, reparaties en eenvoudige onderhoudswerkzaamheden nodig zijn tijdens normaal bedrijf. Men herkent een passief defect trouwens slechts voortijdig door het testen van de beveiligingsketen. Door de beveiligingskaten regelmatig aan een functionele test te onderwerpen vermindert de faalkans. Gedurende de testperiode is het betreffende procesdeel niet beveiligd, omdat men om een test uit te voeren de beveiliging buiten werking moet stellen. Vaak testen is dus niet altijd goed! Uit deze paragraaf zal blijken dat, indien men rekening houdt met het geval dat niet alle fouten te testen (detecteren) zijn, de optimale testperiode bij passieve defecten kan men afleiden uit de betrouwbaarheid.

De laatste jaren is veel aandacht gestoken in het reduceren van de defectfrequentie A.. Hierdoor kan de betrouwbaarheid geoptimaliseerd worden.

RA I *~-~ R(t)= e-A..t

~~~--------------===::-:_-===-=-_ )> min. verlangde I \ -~ betrouwbaarheid

I \ ----------1 -~ --

1 -~ I -~

I ---------- ~t 0 Figuur 6.8: reduceren defectfrequentie

Op tijdstip 0, is de betrouwbaarheid als verwacht (zoals in de beschreven specificaties). Na verloop van tijd daalt de betrouwbaarheid. Als de kwaliteit beter is, zal het langer duren voordat de betrouwbaarheid de minimum verlangde betrouwbaarheid snijdt, maar snijden doen ze altijd. In principe is de hardware op het moment dat men onder het minimum verlangde niveau duikt niet meer betrouwbaar genoeg.



RA

15~~rs;;JÇJ;: I

l., min. verlangde

1

betrouwbaarheid

t Figuur 6.9: periodiek testen

Door nu periodiek testen van die onderdelen waarvan de faling gedetecteerd kan worden, kan de betrouwbaarheid terug opgeschroefd worden. Door de onderdelen waarvan de faling niet gedetecteerd kan worden nemen de pieken in de bovenstaande figuur 6.9 exponentieel af. Zo wordt de betrouwbaarheid:

R( t) = e - "d .t. e - "u .t

met Àd en Àu de defectfrequentie van respectievelijk de detecteerbare en de niet detecteerbare fouten.

Eenvoudige beveiligingketens zijn relatief gemakkelijk te testen, complexe ketens niet. Maar bij de ideale fail-safe beveiliging komen er alleen actieve defecten voor en zou periodiek testen overbodig zijn.

6. 6. 1. Meetsignaalsimulatie

Wanneer t.b.v. het testen de bewaakte procesgrootheid niet kan of mag gevarieerd worden en men de werking van de transmitter of grenswaardeschakelaar met het aansluitend deel naar de beveiliging wil testen, dan kan dit gebeuren door het afsluiten van de procesaansluiting van de eerst genoemden en daarvoor in de plaats een aansluiting met een testsignaal aan te brengen.

6. 6. 2. Het testen van beveiligingsventielen

Bij een 1 oo n configuratie is het eigenlijk onmogelijk om een bevredigende testprocedure zonder bedrijfsonderbreking voor het beveiligingsventiel te vinden. Andere configuraties bieden die mogelijkheid wel. Zo is het testen van beveiligingventielen zonder bedrijfsinterruptie soms alleen mogelijk door toepassing van "Bypass"ventielen in de vorm van handbediende of automatische ventielen.



Opmerking: Vanwege de mogelijke risico's dient men zoveel mogelijk het toepassen van "bypasses" (vooral handbediende) te vermijden. Deze "bypass"-ventielen dienen bij voorkeur te worden voorzien van passende status- of alarmmelders en eventueel van tijdsafhankelijke uitschakelingen of andere passende beveiligingsmaatregelen.

6. 6. 3. Zelfdiagnose

Zelfdiagnose of "self-check" is een ingebouwde functie in het systeem om zichzelf (periodiek of continu) op goede werking te controleren. Zo zal een zelfdiagnose bij besturingen met modulaire elektronica worden verkregen door de schakeling vanaf de ingang af te tasten door een periodiek pulsvormig signaal en aan de uitgang automatisch de correlatie met het ingangsignaal te controleren. Over het algemeen maakt dit principe gebruik van de doorlaateigenschap van dynamische signalen.



HOOFDSTUK VIl:

ONTWERPEN BEVEILIGINGSSYSTEEM tESD)

7. 1. Volgorde risicoreductie bij ontwerp:

Het restrisico wordt door het bedrijf, normen of overheid vooropgesteld. DSM stelt bijvoorbeeld geen ongevallen met verzuim voorop. Om tot een aanvaardbaar restrisico te komen zal men de ontwerpvolgorde, zoals geschetst in onderstaande figuur 7.1, volgen. Let wel: dit is een andere volgorde dan de aanspreekvolgorde van de beveiligingen (2.1.)!

t Effect (E)

I

I Ontwerp, keuze

Risico zonder protectie

L~~rialen en stofbalansen

I --~-i ~~ I -~ I Mechanische beveiligingen~' i '~

I ."' I --- --------__ \ ~~-i .. "- \ ~/

i Instrumentele "- ~~-- Risico reductie · beveiligingen'\ ~ \

~~/ \ I Rest risico ~~- \ \ I k- \ \ Kans (H)

Figuur 7.1: ontwerp volgorde

Eerste stap: Ontwerp, keuze materialen en stofbalansen, bijvoorbeeld.: • Het ontwerpen van processen die in grote mate zelfregelend zijn. • Het zodanig ontwerpen van de desbetreffende installatie-onderdelen dat deze

bestand zijn tegen extreme procescondities (zoals het ontwerpen van een dikkere reactor of het aan elkaar lassen van leidingen, zodat het gebruik van kwetsbaardere flenzen of pakkingen kan worden voorkomen);

• het zoeken naar alternatieven voor gevaarlijke chemicaliën.

Hoofdstuk VIl: Ontwerpen beveiligingssysteem (ESD) pg.1


Tweede stap: Mechanische beveiligingen: Dit zijn zelfwerkende beveiligingen zoals veerveiligheden, breekplaten, veiligheidskleppen, ont- en beluchtingskleppen, vlamdavers en afblaasfakkels.

Laatste stap: Instrumentele beveiliging (interlocks): Dit zijn automatisch werkende beveiligingen die bij dreigende overschrijding van de vooropgestelde grenswaarde het proces weer in een aanvaardbare toestand proberen te brengen of te houden. Een instrumentele beveiliging onderscheidt zich van een zelfwerkende beveiliging doordat zij is opgebouwd uit een aantal afzonderlijke delen die door signaalleidingen met elkaar zijn verbonden en daarbij ieder hun eigen functie in de beveilingsketen hebben.

Samenvattend:

Men zal dus eerst proberen het risico zo laag mogelijk te houden door goed ontwerp, keuze van materialen en stofbalansen en vervolgens door het toepassen van mechanische beveiligingen. Als het risico nu nog te hoog is zal men proberen, door het toepassen van instrumentele beveiligingen, het risico te reduceren tot een aanvaarbaar restrisico. De beveiligingsinrichting kan echter ook falen, reden waarom door het gebruik van een dergelijke inrichting het restrisico nooit naar nul gebracht kan worden.

7. 2. Richtlijnen om beveiligingsketens te ontwerpen

Richtlijnen om beveiligingsketens te specificeren en te ontwerpen zijn bepaald in overeenstemming met drie integrity levels (1 ,2 en 3) beschreven in hoofdstuk 5. De lntegrity levels varieren in beschikbaarheid van ongeveer 0, 99 voor niveau 1 tot 0.9999 voor niveau 3.

De eerste vereisten voor het toepassen van de richtlijnen die ontwikkeld worden in dit hoofdstuk zijn: • Identificeer de risico's van het proces en schat de mogelijke gevolgen in (5.1. en

5.2). • Bereken de nood voor interlocks (7.1 ). • Stel de lntegrity level vereisten op voor elke beveiligingskaten (5.3).

Figuur 7.2 op de volgende pagina toont de bijzonderheden met betrekking tot het ontwerpen van het ESD-systeem, hetgeen behandeld wordt in de volgende paragrafen.



I Onmogelijk om betrouw+ en beschikbaarheidseisen na te komen

I Ontwikkel het vereiste I '----~~~'-'--'-----~5 . 1 . I beveiliging integrity level I 5.2

figuur 7.2

I Probeer I '-- --------11 ESD ontwerp f---------1 o nieuw t-! -----<y·- . richtlijnen

1

1

Begin metde analyse \

I

van de ESÇD vereisten

1

5.3. . . 1 Vervolledig ESD I

'I betrouw-/beschik

K·es s t m baarheidseisen 1 ys ee ~---'=======r----'

I technologie 17.2.3.

l I I'

Selecteer uitrusting I /ontweP' ESD !7.2.5.

* Verifieer de ; beveiliging integrity

I _ __1~~..--.---.

)COntroleer de juistheidl 1

van het ontwerp 1

I

Vervolledig installatie 1

tekeningen :

Valideer door het 1

testen van de plant 1

/)"'~ Nee ././. ~ .. ,"" ---~ Test plant . .:

~ .. OK?/·/ ·~/y

. Ja ~~~

./ÊSD ontwèrp'. ( en installatie ) ~ .. volledig/

~------------

7. 2. 1. Specificatie van beveiligingsvereisten

Een basisset van informatie is nodig voordat het ontwerp en selectie van een ESDsysteem kan beginnen. Deze informatie is voorgeschreven door de specificatie van veiligheidvereisten die opgesteld worden door het Process Hazard Analysis (PHA) team. De specificatie van de veiligheidvereisten is verdeeld in functionele en veiligheid lntegrity vereisten.



7.2. 1. 1. Functionele vereisten

Typische functionele ESD-systeem vereisten zijn: • welke procesparameters opgevolgd moeten worden, • de acties die ondernomen moeten worden bij het ingrijpen van een beveiliging, • het gekend zijn van de grenswaarden, • de minimaal aanvaardbare testfrequentie en • de omgevingsomstandigheden waaraan het ESD-systeem is blootgesteld.

7. 2. 1. 2. Veiligheid integritv vereisten

De veiligheid integrity vereisten (dat is het integrity level van elke interlock) worden gebruikt om een aanvaardbare systeemarchitectuur vast te leggen voor het bereiken van het uitvoeringsniveau, veiligheid en integrity die vereist zijn om de nodige ESDfuncties uit te voeren. Het systeem bestaat uit sensoren, processoren, inpuUoutput (1/0), ingrijpende organen, verbindingen, mens/ machine interfaces, enz. Het aantal beveiligingsingrepen en hun integrity level hebben een direct effect op de geselecteerde ESD-technologie. Bijvoorbeeld als een groot aantal beveiligingsingrepen vereist zijn, is een beveiligings-PLC een goede keuze voor een ESD-systeem. Voor kleine ESD-systeem toepassingen, zijn meestal elektromechanische relais een goede keuze. Een richtwaarde voor betrouwbaarheid en beschikbaarheid van het ESD-systeem is nodig als kwalitatieve validatie van het aan te wenden ESD-systeem. De berekende betrouw- en beschikbaarheid, van het ontworpen ESD-systeem, wordt vergeleken met de richtwaarden. Als deze controle faalt, dan moet men het ESD-systeem opnieuw ontwerpen.

7. 2. 2. Analvse voor het volbrengen van de ESD vereisten analvse

Het ontwerpen van een ESD-systeem begint met de specificatie van de veiligheidvereisten, welke voorbereid wordt door het PHA-team (zie hoofdstuk 5). Dit document: • specificeert elke interlock welke vereist is voor risicoreductie, • kent een integrity level classificatie toe aan elke interlock, • definieert het kritische alarm en grenswaarde voor elke interlock, • definieert kwantitatieve beschikbaarheid- en betrouwbaarheidparameters, • specificeert elke ongebruikelijke installatie of testvereisten. De praktische toepassing van de ESD-technologie om risicovolle gebeurtenissen te voorkomen/verzachten, resulteert per interlock integrity level in interlockvereisten. Dit betekent niet dat er een nood is voor drie verschillende ESD-systemen, één voor elk integrity level. Als er een klein aantal interlocks vereist zijn, zal één ESD-systeem voor alle drie integrity levels het goedkoopst zijn. Hierbij moet wel opgemerkt worden dat de logic solver van het ESD-systeem moet voldoen aan het hoogste



integrity level van de toegepaste interlocks. Bijvoorbeeld als een ESD-systeem ontworpen is voor drie interlocks met een vereist integrity level 3 en voor vijf interlocks met vereist integrity level1 en 2, moet voor de vereiste logic solver van de acht interlocks een integrity level 3 (IL3) gekozen worden, terwijl voor de sensor en actuator het respectievelijk vereiste integrity level gekozen wordt. Als er meer laag integrity level interlocks zijn zal de ontwerper een bijkomend ESD-systeem kiezen met een gemeenschappelijke logic solver voor IL 1 en IL2 of een individuele logic solver voor IL 1 en IL2.

7.2.3. Selectie van de ESD-svsteem technologie

Er kunnen een aantal technologieën geselecteerd worden voor ESD-systemen (zie 3.2.2.). Het gekozen ESD-systeem moet het eenvoudigste en meest betrouwbare systeem zijn dat aan de toepassingsvereisten voldoet. Het zal moeten voldoen aan alle omgevingsomstandigheden (zoals het voldoen aan een hoge omgevingstemperatuur). De geselecteerde technologie moet in staat zijn de vereiste fail-safe, betrouw- en beschikbaarheidscriteria na te komen. De technologie die geselecteerd is voor het DCS-systeem beïnvloedt de keuze van de technologie van het ESD-systeem. Bijvoorbeeld wanneer een PLC geselecteerd is als DCS-technologie, is het mogelijk om voor het ESD-systeem ook een beveiligings-PLC te kiezen, in het bijzonder wanneer een hoge graad van DCS/ESD communicatie vereist is.

7. 2. 4. Selectie van de ESD-architectuur

Dit deel identificeert de vereiste elementen om de ESD-architectuur te bepalen zodat plantontwerpgroepen, bedrijfengineeringsgroepen en contractor organisaties effectieve, consistente en veilige ESD-systemen kunnen implementeren die voldoen aan de vereisten van integrity levels 1, 2 en 3.

7.2.4.11ntegritv level1 (IL 1)

ESD-systemen die gebruikt worden voor integrity level 1 interlocks vereisen meestal geen redundantie. Toch kan redundantie gewenst zijn voor de minst betrouwbare toepassing.

Sensor voorIL 1 interlocks.

Discrete sensoren zijn aanvaardbaar voor IL 1 interlocks. Redundantie en diversiteit in sensoren is meestal niet verlangd. Indien redundantie van de input van de IL 1 systemen wordt toegepast, zijn berekende of afgeleide metingen aanvaardbaar.

Hoofdstuk VIl: Ontwerpen beveiligingssysteem (ESD) pg.S


Beveiligings-PLC inputmodules voor IL 1 interlocks.

Wanneer redundante sensoren gebruikt worden dan hoeft men de twee sensoringangen niet te lokaliseren op gescheiden kaarten, gescheiden input-rekken of gescheiden 110 communicatiekanalen. Het gebruik van inputs met een lage fail-todanger mode gecombineerd met het gebruik van software signaalvergelijking minimaliseert de noodzaak voor het testen van de inputmodules.

Logic solver voor IL 1 interlocks.

Een enkelvoudige logic solver voorzien van een goedkeuring voor beveiligingstaapassingen is aanvaardbaar voorIL 1 interlocks.

Beveiligings-PLC outputmodules voorIL 1 interlocks.

Falen van de outputmodule kan resulteren in een onveilige conditie. Daarom moet de outputmodule voorzien zijn van de nodige fail-safe eigenschappen om een veilige werking te verzekeren.

Ingrijpende organen voor IL 1 interlocks.

Redundant ingrijpende organen zijn meestal niet vereist. Kleppositie-terugmeldschakelaar (d.w.z. grenswaardeschakelaars) kunnen noodzakelijk zijn als het ingrijpend orgaan een regelklep is. Een regelklep die goedgekeurd is voor beveiligingstoapassingen is aanvaardbaar als het enige ingrijpend orgaan zolang het voldoet aan de vereiste lekkagekarakteristieken en het is uitgerust met kleppositie-terugmeldschakelaars. Daar waar tweevoudig ingrijpende organen gebruikt zijn (b.v. een regelklep van het DCS-systeem is gebruikt als back-up voor de automatische afsluitklep of daar waar redundant automatische afsluitkleppen nodig zijn om te voldoen aan de beschikbaarheidvereisten) zijn er geen vereisten voor de signalen van de controle kaarten van de ingrijpende organen. Dit wil zeggen dat zij geen gescheiden kaarten, gescheiden outputrekken of op gescheiden 110 communicatiekanalen vereisen.

7.2.4.2. lntegritvleve/2 (IL2).

ESD-systemen die gebruikt worden voor integrity level 2 interlocks vereisen meestal geen volledige redundantie. Redundantie kan alleen verlangd zijn voor sensoren en/of ingrijpende organen en/of de logic solver. Alle componenten van het ESDsysteem moeten goedgekeurd zijn voor beveiligingstoepassingen. Scheiding tussen DCS- en ESD-systeem is noodzakelijk (6.4.). Diversiteit in hardware, systeemsoftware en toepassingprogramma's van de logic solver is aanbevolen (6.5.). De beschik-



baarheid kan verbeterd worden door het DCS-systeem continu te vergelijken met de resultaten van de logic solver en/of met de metingen verkregen door het ESD-systeem. Als deze niet overeenstemmen moet het probleem gecorrigeerd worden of het proces moet veilig uitgeschakeld worden.

Sensoren voor IL2 Interlocks.

Er is de voorkeur gegeven aan analoge sensoren voor IL2 interlocks, maar discrete sensoren zijn aanvaardbaar als bepaalde middelen aanwezig om de werking van de discrete sensoren te onderzoeken (d.w.z. periodiek te testen). Typisch voor discrete sensoren is dat ze een hogere testfrequentie vragen dan analoge sensoren. Diversiteit in sensoren moet overwogen worden wanneer dat de kans op een gemeenschappelijke wijze van falen minimaliseert t.o.v. gelijksoortige sensoren die de betrouwbaarheid negatief zouden beïnvloeden. Berekende of afgeleide metingen zijn voor IL2 systemen aanvaardbaar als back-up input. Scheiding van sensoren zal doorgevoerd moeten worden tot de actuele verbinding met het proces. Bijvoorbeeld als twee druktransmitters gebruikt zijn, zullen zij beide apart op het proces worden aangesloten (zie figuur 7.3). Het zelfde principe zal gevolgd worden voor andere metingen (b.v. debiet-, niveauen temperatuurmetingen).

Druk-transmitter

I \ ~ lv 'l" I _j_ .,. ~

I /i I /I y I/ I ~

i I & \7

A 1\

T T ") I

"' I

< PROCES < Figuur 7.3

Beveiligings-PLC inputmodules voor IL2 interlocks.

Indien realiseerbaar moeten de twee sensorinputs moeten aangesloten worden op een gescheiden kaart, gescheiden input-rekken en 1/0 communicatiekanalen.



Logic solver voor IL2 interlocks.

Verschillende typen ESD-technologieën zijn geschikt zoals PLC, DCS, fail-safe solid state logic, relais, enz. (zie 3.2.2.). Hybride schakelingen kunnen noodzakelijk zijn (b.v. beveiligings-PLC en logic relays system).

Beveiligings-PLC outputmodules voor IL2 interlocks.

Daar waar redundant ingrijpende organen vereist zijn (b.v. een regelklep van het DCS-systeem is gebruikt als back-up voor de automatische afsluitklep of daar waar redundant automatische afsluitkleppen nodig zijn om te voldoen aan de beschikbaarheidsvereisten) zullen de ingrijpende organen -indien realiseerbaar- geplaatst moeten worden op gescheiden kaarten, gescheiden output-rekken en gescheiden 1/0 communicatie. De outputmodules moeten ontworpen worden met diagnose mogelijkheden om een veilige werking te verzekeren.

Ingrijpende organen voor IL2 interlocks.

Kleppositie-terugmeld-schakelaars (d.w.z. grenswaardeschakelaars) zijn vereist als het ingrijpend orgaan een klep is. Als een PHA-team goedgekeurde regelklep van het DCS-systeem beschikbaar is, kan deze gebruikt worden als back-up voor de automatische afsluitkleppen om de beschikbaarheid van het systeem te verbeteren. Een regelklep mag niet gebruikt worden als ingrijpend orgaan tenzij het voor beveiligingstoapassingen en door het PHA-team goedgekeurd is.

7.2.4.3. lntegritv leve/3 (IL3J

ESD-systemen die worden gebruikt om IL3 interlocks te implementeren moeten volledig redundant zijn, van sensor via de logic solver tot het ingrijpend orgaan. Voor continue en sommige batchprocessen zijn beschikbaarheid en betrouwbaarheid beide belangrijk. Alle componenten van het ESD-systeem moeten goedgekeurd zijn voor beveiligingtoepassingen. Scheiding tussen DCS- en het ESD-systeem en tussen elk ander ESD-systeem is noodzakelijk (6.4.). Diversiteit in hardware, systeemsoftware en toepassingsprogramma's van de ESD-systemen is aanbevolen (6.5.). Testen kan vereist zijn om de verlangde beschikbaarheid te bereiken. De beschikbaarheid kan ook verbeterd worden door continu de logische oplossingen van het DCS-systeem met die van de ESD-systemen te vergelijken, maar ook door het vergelijken van de sensoren en ingrijpende organen van beide systemen.



Sensoren voor IL3 interlocks.

Sensoren gebruikt voor IL3 interlocks zullen eerder analoog zijn dan discreet, omdat analoge processignalen gebruikt kunnen worden om actieve diagnose op redundante sensoren in de ESD-controller te implementeren. Diversiteit in sensoren zal overwogen moeten worden wanneer er de mogelijkheid bestaat tot gemeenschappelijke falen. Diverse sensoren moeten zorgvuldig geselecteerd worden zodat negatieve gevolgen voor de betrouwbaarheid vermeden worden. Berekende of afgeleide metingen mogen met voorzichtigheid gebruikt worden als back-up ingangen voor IL3 systemen, bovendien moet dit dan door het PHA-team goedgekeurd zijn. Scheiding van sensoren moet, waar realiseerbaar, uitgebreid worden naar een bijkomende verbinding met het proces. Bijvoorbeeld wanneer twee druktransmitters gebruikt worden, zullen zij gescheiden verbonden zijn met het proces (zie figuur 7.3). Dit zelfde principe moet gevolgd worden voor andere metingen (b.v. debiet-, niveauen temperatuurmetingen).

Beveiligings-PLC ingangmodules voor IL3 interlocks.

Indien realiseerbaar moeten de twee sensoren met de logic solver verbonden zijn op gescheiden kaarten, gescheiden ingangsrekken en gescheiden 110 communicatiekanalen.

Logic solver voor IL3 interlocks.

Verschillende typen technologieën zijn geschikt voor IL3 interlock (zie 3.2.2.). Velen beschouwen elektromechanische relais als aanvaardbare logic solver voor level 3 interlocks. Maar toch, relais vereisen stroom/spanning grenswaardschakelaars om de analoge signalen, afkomstig van de analoge sensoren, om te zetten naar discrete signalen. Dit maakt het moeilijk om diagnoses uit te voeren op analoge sensoren. Dit vermindert de beschikbaarheid en de betrouwbaarheid van het systeem. Als de sensoren analoog zijn, hebben beveiligings-PLC's een aantal voordelen t.o.v. andere technologieën (b.v. over range, under range en vergelijking tussen twee of meer ingangen). Hybride systemen (b.v. een beveiligings-PLC gecombineerd met een relais-logica-systeem) kunnen gewenst zijn omdat dit een toepassing van diversiteit van de logic solver is en zij de mogelijkheid bieden om de complexiteit te minimaliseren voor toepassingen met weinig of enkele IL3 interlocks. Een alternatief om parallelle ingangssensoren telkens met beide beveiligings-PLC's te verbinden, is om sensor 1 met beveiligings-PLC1 en sensor 2 met beveiligings-PLC2 te verbinden en een communicatie tussen de twee beveiligings-PLC's of met het DCS-systeem te gebruiken om de informatie van de andere sensoren te voorzien. Let wel: de communicatie tussen de twee beveiligings-PLC's kan een oorzaak zijn van falen waardoor de beschikbaarheid vermindert. Namelijk als de communicatie faalt dan is de sensorinformatie niet meer voor beide beveiligings-PLC's beschikbaar.



Beveiligings-PLC outputmodules voor IL3 interlocks.

Indien realiseerbaar moeten de redundante uitgangen aangesloten zijn op gescheiden kaarten, gescheiden output-rekken en met gescheiden 1/0 communicaties. Indien realiseerbaar moeten actieve diagnoses (testen) gebruikt worden op de outputmodules.

Ingrijpende organen voor IL3 interlocks.

Wanneer de ingrijpende organen kleppen zijn, wordt de voorkeur gegeven aan gescheide automatische afsluitkleppen. Kleppositie-terugmeld-schakelaars (d.w.z. grensschakelaars) of een andere indicaties van de kleppositie (b.v. overeenstemming met debiet van debietmeting) zijn nodig. Een regelventiel van het DCS-systeem mag gebruikt worden als één van de automatische afsluitkleppen, wanneer zijn lekkagekarakteristiek aanvaardbaar is voor de toepassing en goedkeuring van het PHA-team is gekregen.

Redundante solenoid ventielen worden in serie geschakeld (zie figuur 7.4) wanneer het falen van een solenoid ventiel de klep niet mag activeren. In deze figuur moet maar één van de solenoid ventielen geactiveerd worden ( de-energized) om de lucht uit het pneumatische actuator te laten lopen.

Separate Outputs from theSIS

Figuur 7.4

Separate Outputs from theSIS

{--------, ---, I

{--------, ---, I

De effectiviteit van de redundante solenoid schakeling van de bovenstaande figuur 7.4 kan in gevaar komen als het solenoid ventiel het dichtst bij de klep ingrijpt, maar de lucht niet uit de uitlaatpoort van het solenoid ventiel kan lopen, hetgeen kan gebeuren als de uitlaatpoort verstopt is. Hierdoor kan de klep niet ontluchten en daardoor niet de-activeren. Voorzorgsmaatregel moeten genomen worden wanneer deze schakeling gebruikt wordt om verstoppen van de uitlaatpoort van het solenoid ventiel tegen te gaan.


I 0 0 ët (/) -c

"' :S 0 :J

~ (!) ..., "0 (!) :J 0" (!) < ~ cö" 5" co (/) (/)

~ (!) (!)

3 ....... m en 0 -

"0 co :..... ......

" ü5" c !:; ..._. <.n 7-----,

Separate Outputs from theSIS Instrument "t-:H-cii!IID~---~r-+-.

-~-~ir 5" 0. c !!l. ..., (j)

c_ 0 ::::!. (/)

< (!) ..., !!l. ..., fl) (!) -(!)


De schakeling met redundante solenoid ventiel met beide solenoid ventielen parallel in figuur 7.5 kent dit probleem niet. Zelfs indien een van de uitlaatpoorten van de solenoid ventielen verstopt raakt, is het andere ventiel direct verbonden met de actuator en kan de lucht uit dat solenoid ventiel lopen. Echter als één solenoid ventiel in deze schakeling ingrijpt en het andere niet, dan zal het ene solenoid ventiel lucht op de actuator proberen te zetten en zal langs het andere solenoid ventiel de lucht ontsnappen. Het resulterende effect van de actuator is niet te bepalen. Afhankelijk van de lengte van de pijpen (buizen, uit- en inlaatopening, de druk van de luchtvoorziening, enz.) zal de klep openen of sluiten. Deze schakeling met redundante solenoid ventielen is toegestaan voor IL2 ESD-systemen maar mag niet gebruikt worden voor IL3 systemen.

7. 2. 5. Selectie van ESD-uitrusting.

Alle elementen van de uitrusting die gebruikt worden voor het ESD-systeem moeten goedgekeurd zijn voor beveiligingstoepassingen.



HOOFDSTUK VIII:

VOORBEELD OEFENING

8.1. Opgave

Het processchema in addendum E1 geeft een eenvoudig procesje weer. Het proces wordt met een simpele analoge regelaar geregeld. Een PLC wordt ingezet om het proces te beveiligen, maar ook alarmeringen en indicaties (middels lampjes aangesloten op de uitgang van de PLC) te verzorgen en de pomp handmatig te kunnen aan- en uitzetten (middels drukknoppen, aangesloten op de ingang van de PLC). Indicaties zijn: regelklep en pomp in of uit bedrijf en het in overbrugging staan van een beveiliging. Tevens moet worden aangegeven middels een lampje of er een trip (= beveiligingsactie) heeft plaats gevonden.

Gebruikte terminologie: eerste letter: V vessel

L level P pomp F flow

volgletters: S A R I

switch (schakelaar die iets in of uitschakelt) alarm (lampje dat aangaat) recorder indicatie voor analoge waarde

laatste letter: H L

hoog laag

Dus: LSAH Level switch met alarm op hoog niveau

Opmerking: voor de vertaling tussen symbolen in de tekst en op logicaschema's versus het processchema zie onderstaande verklaring.

H LSAH 1 = LSA-1

H LAH 1 = LA-1

Hoofdstuk VIII: Voorbeeld oefening

FSAL 1 = FSA-1

LAL 1 = LA-1 L

L

pg.1


Procesbeschrijving eerste deel:

Vanuit een voor deze opgave als oneindig groot te beschouwen voorraadtank wordt een vloeistof die niet gevaarlijk is voor mens en milieu opgepompt naar tank V-1. Deze tank is op enige hoogte geplaatst om volgens natuurlijke afloop een aantal afnemers te voeden. Het niveau wordt geregeld met LIC-1. Als het niveau te hoog wordt en de tank V-1 dreigt over te lopen moet de pomp P-1 worden gestopt en de niveauregelklep LV-1 worden gesloten, hiertoe is de niveauschakelaar LSAH 1 geïnstalleerd. Een signalering van het hoog niveau in V-1 wordt gegeven door LAH 1, laag niveau door LAL 1. Niveauregelklep LV 1 moet via drukknoppen gesloten, respectievelijk op regeling kunnen worden gezet. Pomp P1 moet via drukknoppen gestart en gestopt kunnen worden. Voor het eerste deel van de opgave hoeft u geen rekening te houden met FSAL 1.

Opgave eerste deel:

Ontwerp en teken het beveiligings-, het digitale besturings- en alarmeringsschema van het beschreven proces. Configureer dit vervolgens met het SMS configuratieprogramma.

Procesbeschrijving tweede deel:

De vloeistof waar het om gaat heeft nu een zodanige samenstelling dat het kan voorkomen dat met de gegeven pomp en een te lage flow de vloeistof in de pomp zodanig wordt opgewarmd dat cavitatie zal optreden. Om dit te voorkomen wordt een laagdebietschakelaar FSAL 1 geïnstalleerd die er voor zorgt dat de pomp P1 wordt afgeschakeld indien het debiet onder de grenswaarde komt.

Opgave tweede deel:

Hoe kan het proces met FSAL 1 opgestart worden? Ontwerp en teken als aanvulling op de opgave van het eerste deel het complete beveiligings-, digitale besturings- en alarmeringsschema. Configureer dit vervolgens met het SMS configuratieprogramma.

Hoofdstuk VIII: Voorbeeld oefening pg.2


8. 2. Eerste deel

De uitwerking van het eerste gedeelte van de opgave is op zijn beurt opgesplitst in twee delen een digitaal besturingsprobleem en beveiligingsprobleem.

8. 2. 1. Het besturingsprobleem:

8.2.1.1. Ruststroomprincipe:

LAH1/LSAH~- ------------- -~ ! TANK V-1 I Il

LAL1 l-- . __ _

1 1

L ____ ____J 0

status: LAL1 LSA 1 /LAH 1

Kabelbreuk en dergelijke worden nu direct opgemerkt door een valse trip. Dit geeft een grotere betrouwbaarheid van het alarmsysteem maar een lagere beschikbaarheid.

8. 2. 1. 2. Aan- en uitschakelen door een drukknop:

Belangrijk om te weten is dat een drukknop enkel en alleen een logische "1" genereert op het moment dat deze ingedrukt wordt. Er wordt gebruik gemaakt van een geheugen (flip-flop) om het pulserend signaal afkomstig de starUstop drukknop om te zetten in een continu signaal (aan-/uit schakelaar). Bij de opbouw van digitale besturingsschema's is gebruik gemaakt van de logische functies die men achteraan in het addendum E2 vindt. De werking van een flip-flop kan men afleiden uit de volgende waarheidstabel:

s R Q Opmerkingen

0 0 x bij S=O en R=O behoud Q de vorige toestand

0 1 0 de uitgang wordt gereset

1 0 1 de uitgang wordt gesel

1 1 1 Q=1 bij flip-flop met dominerendeS-ingang

1 1 0 Q=O bij flip-flop met dominerende R-ingang

Hoofdstuk IX: Voorbeeld oefening pg.3


8.2.1.3 Scenario porno P1 starten/stoppen:

Uit de opgave kan het scenario afgeleid worden: De pomp kan alleen gestart worden door de operator. Voor het stoppen van de pomp kan enerzijds een bevel komen van de operator of anderzijds door het nul worden van LSAH1 wat wil zeggen dat het niveau van tank V-1 te hoog is. Om aan de voorwaarde te voldoen dat de operator op elk moment, dus ook wanneer een beveiligingsactie is ondernomen, de pomp moet kunnen uitschakelen moet LSAH1 overbrugd kunnen worden.

De logica van het van het besturingsschema kan hieruit afgeleid worden, en door toepassen van de Boole algebra kan het aantal bewerkingen verminderd worden.

SET = STARTBEVEL -:-=-:-:-:-7

RESET= STOPBEVEL+ LSAH1* overbruggenLSAH1

= STOPBEVEL+ LSAH1* overbruggenLSAH1 = STOPBEVEL+ LSAH1 + overbruggenLSAH1

Starten/stoppen POMP P1

starten ' I r I I stoppen ~ r I i overbruggen pomp P1 E-~ t-jpomp P1 LSAH~ ~::- 1 LSAH1

I ~ ~----~ --+1_ ril S..-------..l.R I I I L-';'1 9.__________-o=-_)1 I i 3'--"11 ~~

I i I 0 I , , I I ~ 1 1 I I fOMPP~ ' I ~pomp Pf 0--;;:,overbrugging y aanges!jl_urd ::r:: ingeschakeTd

Hierbij dient opgemerkt te worden dat voor het overbruggen van LSAH1 een drukknop gebruikt wordt waarvan het pulsvormige signaal ook d.m.v. van een flip-flop wordt omgezet in een continu signaal. De flip-flop wordt gereset door middel van het wegvallen van het alarm LSAH1, LSAH1 wordt een logische 1.

Ook zijn twee indicatie lampjes aanwezig: 1. POMP P1 aangestuurd 2. Overbrugging LSAH1 ingeschakeld



2. 1. 4. Scenario inen uitschakelen regeling L V1:

Voor het inen uitschakelen van de regeling LV1 geldt het zelfde als het voorgaande maar hierbij dient opgemerkt te worden dat de actieve stap de regeling uit- en niet inschakelt.

In- en uitschakelen niveauregeling LV1

~egelklep L V1, I I regelklep L V1 ~ loverbruggen

~LSAHI I mschakelenE-1 E-juitschakelen E-\ LSAH1

1.? 11 I I I I T I i------+-----.

I s RI I Is I ~ Q I I iB'--T--------=--"

llff,u;~f:c:i~~~ 1 ~r 11 1 rO,regelklep LV1 -----" R,overbrvgging y ingeschj_ke/d yingeschakeld

Ook hier zijn twee indicatie lampjes aanwezig: 1. REGELING LV1 ingeschakeld 2. Overbrugging LSAH1 ingeschakeld

Voorgaande besturingschema's zullen vervolgens vertaald worden naar de SMSIogica.

Hoofdstuk IX: Voorbeeld oefening pg.S


8. 2. 2. Het beveiligingsprobleem:

Een signalering van een te hoog niveau in tank V1 wordt gegeven door LAH1, te laag niveau door LAL 1. Een hoog niveau melding wordt ook gegeven door LSAH1. Bij het overschrijden van een van deze grenswaarde komen alarm met rood licht en alarm met zoemer op. De operator beoordeelt de gehele procestoestand, doet de nodige ingreep en kwiteert het alarm. Kwiteren is een operatorhandeling (druk op een knop) waarbij een alarmmelding voor kennisgeving wordt geaccepteerd. Na het kwiteren verdwijnt het storend hoorbaar signaal, doch de zichtbare melding met rood licht blijft aanwezig. Het behouden van de zichtbare melding is noodzakelijk om kortstondige alarmen te herkennen. Valt het alarm af voor de kwitatie dan blijft het alarmlicht branden tot kwitatie is uitgevoerd.

LAL1 LAH1

I ! kwiteren I ! kwiteren LAL1Y H LAL1 LAH1\ E~ LAH1

~-~ I ;=:L::; ~I I I I -1 i I & 11 I . . L_j. l

I .::r:! Y I I I C-L-~---- l --- I - !I Ril I

IS Riil S Ril I IS Rjil S lo ~]!? Qj! I I? RIJ!? olj

! I I I

I

G] I I I ~11 I I

I I I LAL 1 zoemer i wAlarm !LAH 1 zoemed @Alarm

l LAL1 I

l_ LAH1

LSAH1

I ! kwiteren LSAH1~ E\ LSAH1

j ;=:t:::; ~ I I I -11 I & 11 I i YYI i I I S R I llrlS;;;---__,Ril I lo )?!]19 rJII M I ~ I

I LSAH 1 zoemeri Cf f~ÁlJJ 1

Voorgaande drie beveiligingschema's zullen vertaald worden naar de SMS-Iogica.



8.3. Tweede deel

Ook de uitwerking van het tweede gedeelte van de opgave is op zijn beurt opgesplitst in twee delen een digitaal besturingsprobleem en beveiligingsprobleem.

8. 3. 1. Besturingsprobleem:

De vloeistof waar het om gaat heeft nu een zodanige samenstelling dat het kan voorkomen dat met de gegeven pomp en een te lage flow de vloeistof in de pomp zodanig wordt opgewarmd dat cavitatie zal optreden. Om dit te voorkomen wordt een laagdebietschakelaar FSAL 1 geïnstalleerd die er voor zorgt dat als het debiet onder de grenswaarde komt de pomp P1 zal worden afgeschakeld. Om het proces op te starten, lage flow aanwezig, zal men tijdelijk de laagdebietschakelaar FSAL 1 moeten overbruggen. Dit tijdelijk overbruggen kan men oplossen door een timer waar de aanlooptijd van de pomp op voorhand is ingesteld. De aanlooptijd van de pomp is de tijd die de pomp nodig heeft om een bepaald minimum debiet te bereiken.

Dit is een bijkomende voorwaarde in de in de besturingslogica van de pomp P1. De pomp P1 zal stoppen van zodra er een te laag debiet is en de pomp niet aan het opstarten is.

SET = STARTBEVEL RESET= STOPBEVEL+ TIMER*FSAL1+ LSAH1+ overbruggenLSAH1

Het opstarten wordt gesimuleerd door middel van de timer die het startcommando van de pomp vertraagd.

starten , I , , I stoppen J ~ I overbruggen pomp Pt-'\l c-~pomp P1 FSAL 1\ LSAH~ [-'I LSAH1 r I i I

I I ~ 11 I i i--I -----t---1 ---------,

I~ ~lil I I IS I I I In I I I '---'"1 :-o,c:~--=-.J

\ S1 t--------? L.... l I I ~ 1 IPO~PPtl ~ •• ".I ~ I I' r'

1 J pomp P.1 . L_j (Xpverbrugging ~ aanges!l!_urd ::C mgeschakef(:J

Het voorgaande besturingsschema zal vertaald worden naar SMS-Iogica.



8. 3. 2. Het beveiligingsprobleem:

Wanneer een te laag debiet, FSAL 1, aanwezig is zal er een alarm gegeven worden net zoals in het eerste deel van de opgave.

FSAL1

I kwiteren E\ FSAL1

GJ~ i

Is RII,........IS~R\l~

. ? 9!)!9 <:L/ c I L ___ ___J

i z11 I i,--F~S_A_L..L..1 -zo_e_m_e...,r!~ Alarm . j_ FSAL1

Het voorgaande beveiligingschema zal vertaald worden naar SMS-Iogica.

In addendum E3 vindt men een mogelijke oplossing zoals deze bij DSM toegepast zou worden.



LITERATUURLIJST:

1. Near miss reporting in the chemica! industry; Tjerk W. Van der schaaf; Bibliotheek Technologie Management APA 92 SCH.

2. Tijdschrift petrochem; issue 10, october 1995, pg. 44-47

3. What went wrong?; Trevor Kletz ; BibliotheekWen T QYH 94 KLE.

4. Guidelines for Safe Automation Of Chemica! Processes; center for chemica! process safety of the american institute of chemica! engineers; 345; Bibliotheek W enT QYH 93 GUl.

5. Safeware, system safety and computers; Nancy G. Leveson; Centrale leeszaal DAG 95 LEV.

6. Distributed Computer Control for lndustrial Automation; Dobrivoje Popovic and Vijay P. Bhatkar. Bibliotheek Elektrotechniek ORB 90 POP.

7. Cursus Honeywell Safety Management Systems (SMS)

Literatuurlijst pg.1


ADDENDA

Addenda


Addendum A 1: Universele grenswaardeschakelaars

In figuur A 1.1 is een universele grenswaardeschakelaar met inductieve detectie weergegeven. Het meettoestel is een draaispoel-mA-meter welke gekoppeld is aan het uitgangssignaal van de transmitter. De wijzernaald is voorzien van een aluminium vaantje. Het vaantje onderbreekt bij het overschrijden van de instelbare grenswaarde de elektromagnetische koppeling van een ingebouwde benaderingsdetector. Het onderbreken van de koppeling doet de schakelaar afvallen.

I

I I

l I

I I Menw•rk,-;;-

1

Figuur A1.1

--r I

~ --r~-~ I I I I I

:

In figuur A 1.2 is het blokschema van een elektronisch werkende grenswaarde schakelaar van DIGITABLE weergegeven met:

(1) scheidingsversterker voor de 2 elektrische ingangssignalen

(2) versterker (3) (4) breuk-en/of 0-puntsbewaking (5) maximum waarde schakelaar (6) en (7) grenswaarde- en fail safe schakelaar (8) galvanische scheiding

Figuur A1.2

Addenda A

(9) digitale signaalindicator (1 0) en (11) selectieschakeling van het uit te

lezen signaal op indicator

(12),(13) e aluminium n (14) voedingsblok LED's 1 ,2 en diagnosemelding K1 en K2 grenswaarderelais W1 en W2 grenswaarde instelling

pg.1


Addendum A2: Bijzondere grenswaardeschakelaars

In minder veeleisende beveiligingssystemen (b.v. semi-industriële installaties), wordt uit economische overwegingen gebruik gemaakt van grenswaardeschakelaars en sensoren in één toestel.

A2. 1. Grenswaardeschakelaars voor druk ("pressure switch")

In figuur A2.3 is een bourdonbuis-manometer met reed-relais weergegeven. Aan de buis is een permanent magneet gekoppeld, welke bij het bereiken van een grenswaarde het reed-relais bekrachtigt.

Figuur A2.3 Figuur A2.4

In figuur A2.4 schakelt de bourdonbuis een micro-switch. Afhankelijk van de uitvoering van de bourdonbuis, is het toestel van de firma BETEA geschikt voor drukken van 3.5 tot meer dan 1000 bar!

Bij het toestel in figuur A2.5 ver-vormt een elastisch membraan (sensor) onder invloed van het druksignaaL Met een stift wordt een microswitch geschakeld. De grenswaarde wordt ingesteld door een terugroepveer aan te spannen. Het toestel van de firma BETEA bestaat in verschillende drukklassen gaande van 6 mbar tot 500 bar

Addenda A

Figuur A2.5

pg.2

Stage: Beveiligingen toegepast in de proces industrie Joris Ve;straete

In figuur A2..6 is een pneumatisch schakelende bourdonbuismanometer t.b.v. de explosieveiligheid weergegeven.

A2. 2. Grenswaardeschakelaars voor debiet

Het toestel in de onderstaande figuur A2.7 geeft een debietschakelaar met zuiger weer. Een permanent magnetisch zuigertje, wordt tegen de kracht van de veer in, door de stuwkracht van het doorstromend fluïdum in het schakelaarshuis verplaatst. De verplaatsing van het zuigertje activeert een uitwendig gemonteerde reed-relais. De schakelwaarde van het debiet is enigermate instelbaar door het instellen van de doorstroomopening.

Figuur A2.7

Typical flow diagram showing switch actuated.

Een variantie hierop is weergegeven in figuur A2.8.

Addenda A pg.3


fixed set point

~~-~-1:. = .. "\ I .

;J I .·

SJt.-1;:::

adj. set point (by-pass)

·~· ____a~ I "\ -~~~~~ .-::::.'ar qur~ ~

Figuur A2.8

Twee uitvoeringen zijn beschikbaar: een uitvoering met vaste schakelwaarde en een uitvoering met instelbare schakelwaarde. De instelling van de schakelwaarde bij dit laatste type, gebeurt aan de hand van een by-pass instelling. Deze instelling is langs de buitenzijde van het toestel met een schroevendraaier bereikbaar.

De vaan in de debietschakelaar van figuur A2.9 activeert het reed-relais door de uitwijking van een permanent magneet. De magneet rust daarvoor tegen het excentrische opgehangen vaantje.

) r· • • .J "---·.,

!C~~J. : I

! I ~...--.....r-~,_,______.

I

I de-actuated (no flow)

Figuur A2.9

A2.3. Grenswaardeschakelaars voor temperatuur

D.m.v. een bimetaal wordt in de thermostaat een microswitch geschakeld. Zie figuur A2.1 0.

Addenda A

Figuur A2.1 0

1 Soliweetspindel 2 Ausdehnungsrohr 3 Mikroschalter 4 lnvarstab 5 Wippe 6 Schutzrohr

pg.4


De in figuur A2.11 weergegeven temperatuurschakelaars, maken gebruik van een microswitch die wordt geschakeld door een vloeistofgevulde sensor.

RUIOTliUlB AND CAI'IWBT TfPE

Figuur A2.11

A2. 4. Grenswaardeschakelaars voor niveau

Veel niveauschakelaars maken gebruik van een vlotter met magnetische koppeling om een niveau-grenswaarde te schakelen.

In figuur A2.12 verplaatst de vlotter zich langs een buis waarin zich het reed-relais bevindt. Verschillende vlotteruitvoeringen zijn beschikbaar.

electr. conneetion I lead wires or cabl,

stem I I

float

magnets

V?--- reed switch

clip

Figuur A2.12

In figuur A2.13 is de vlotter aan de zijwand van de tank bevestigd.

Addenda A pg.S


... -----vlotter

Figuur A2.13

Een niveauschakelaar van het type "trillingsdemper" (zie figuur A2.14) heeft een tril-of stemvork met membraan, welke in lucht in resonantie ge bracht wordt. Op het membraan zijn twee piëzo-kristallen gemonteerd. Eén kristal wordt door een oscillator aangestuurd (400Hz bij vloeistoffen en 80Hz bij vaste stoffen). Indien de vork vrij van produkt is (in lucht), wordt deze door de oscillator in resonantie gebracht. De dimensienering is dusdanig dat wanneer de vork in de tank of silo in contact komt met het produkt, de resonantiefrequentie tot ca. 20% (80Hz) verschuift. Door een tweede kristal (ontvangkristal) wordt de eigen resonantiefrequentie opgenomen en via een vergelijkingsschakeling wordt een frequentieverschuiving gedetecteerd. De methode is universeel toepasbaar, relatief goedkoop en vergt geen afstelling (de

Figuur A2.14 montagehoogte is de grenswaarde). Ze is echter niet geschikt voor korrels of vaste suspensie groter dan 10 à 12 mm (blijft

tussen de vork zitten). De methode is eveneens geschikt voor droogloopbeveiliging van pompen.

In figuur A2.15 is een toepassing met niveauschakelaar van het type "rotatieremming" weergegeven. Deze methode maakt gebruik van een door een elektromotortje aangedreven vaantje. Wordt de rotatie van het vaantje afgeremd door het produkt, dan wordt de kantelbare ophanging met motortje van de ene eindpositie naar de andere eindpositie geduwd. Deze laatste beweging doet een microswitch omschakelen. Dit type niveauschakelaar wordt ingezet in eenvoudige processen en vereist geen afstelling.

Addenda A

Figuur A2.15

pg.6


De geleidbaarheids-methode (zie figuur A2.16) kan uitsluitend voor niveauschake

~:-r- Ez --~~- - ---------

Figuur A2.16

laars in tanks waarin zich een geleidende vloeistof bevindt, worden toegepast. Hierbij wordt het verschil in geleidbaarheid gemeten van een elektrode al of niet bedekt door de desbetreffende vloeistof. Als massareferentie wordt de metalen tankwand, een vulpijp, een montagebeugel of een tweede elektrode benut. Om elektrolyse aan de elektrode(n) te voorkomen wordt wisselspanning gebruikt. D.m.v. een instelbare selectieve versterker kan het verschil in weerstand gedetecteerd worden en via een relais (aan-uit) t.b.v. alarmering of regeling worden aangeboden. Deze meting is relatief eenvoudig en goedkoop. Zij wordt tevens als droogloopbeveiliging bij pompen gebruikt. Een nadeel is de mogelijke vervuiling van de elektrode door vet of aanslag.

Standaard geleidbaarheidsschakelaars hebben een instelbereik van ca. 0 - 40 kO. De parameters, contact-oppervlak en afstand, maken dat de opgave van de specifieke geleidbaarheid van het produkt (in IJS) geen goed keuze criterium is. Om na te gaan of een produkt voldoende geleidend is om deze methode toe te passen, kan dit als volgt snel worden nagegaan. Via een transformator wordt een kleine wisselspanning op een metalen staafje (elektrode simulatie) en de tank aangebracht. Dit bij voorkeur op die plaats en afstand tot de tankwand, waar de definitieve elektrode geplaatst wordt. Door nu nu het staafje ca. SOmm onder te dompelen kan men de stroom en spanning meten en de weerstand berekenen (R=U/1).

Frequent worden ook radiometrische en sonore (echo) niveauschakelaars toegepast.

A2.5. Grenswaardeschakelaars voor ventie/stand.

Om de grenswaarde van een ventielstand te schakelen, wordt gebruik gemaakt van de "NAMUR" inductieve schakelaar. NAMUR-naderingschakelaars zijn primair bedoeld voor gebruik in ruimten waar men rekening moet houden met explosiegevaar. Hiertoe bevat de schakelaar alleen een oscillatortrap en wordt het uitgangssignaal gevormd door een verandering in opgenomen stroom. In geactiveerde toestand loopt een stroom ~ 2,1 mA. Wanneer de schakelaar niet is geactiveerd daalt de stroom tot ~ 1 ,2 mA. Met deze schakelaar is een schakeling verbonden die de signaalstroom verwerkt tot een signaal dat al dan niet het relais bekrachtigt. In de figuur A2. 17 bovenaan de volgende pagina zijn de samenstellende delen van een grenswaardeschakelaar voor ventielstand van de firma Pepperi & Fuchs weergegeven.

Addenda A pg.7

'

~~.! l,J ' ; __ __... SchwtngltanS1StQf , r?", .-- r--' \b.; I

0.~,., ' 8 ----S•ebkond•nsatot

I I

~~ I ~s""'"" : I L- r-----: -~ ~~l, . -, HekiiOI"IIac)ftt<rS<hU

!

I

I I

+

~"" se.".., .....

~r I

Figuur A2.17

A2. 6. Vlamdetectoren

Het na een korte onderbreking van de brandstoftoevoer, wat vlamdoving tot gevolg heeft, terug inspuiten van brandstof in ovens en ketels kan leiden tot explosies. De hete ketelwand veroorzaakt immers zelfontbranding van de ingespoten brandstof. Vlambewaking van branders geschiedt op foto-elektrische wijze. De detector moet onderscheid maken tussen de vlamstraling en de warmtestraling van ketelelementen. Een gasvlam bevat veel UV-straling. De UV-vlamdetector op gasbranders heeft een kijkvenster met kwartslens welke UV-straling doorlaat. De sensor zelf bevat een gasontladingsbuis (±600V) waarvan de elektrische weerstand wijzigt onder invloed van de UV-stralen. Doorgaans wordt via een gelijkrichter direct een schakelrelais gestuurd. Onder invloed van stof e.d., wordt het kijkvenster vertroebeld. Vele vlamdetectoren voeren daarom een zelfdiagnose uit, welke bestaat uit een vaantje, dat periodiek (b.v. elke 2 sec.) de stralen onderbreekt, waarbij gelijktijdig de werking van het relais wordt getest. Een olievlam bevat overwegend IR-straling en weinig UV-straling. De vlamdetector op oliebranders is van het type "flikkerdetector'' en bezit een fotocel. Om onderscheid te maken tussen warmtestralen, afkomstig van de vlam en warmtestralen afkomstig van de ketelelementen, wordt alleen de wissellichtcomponent van de flikkerende vlam als meetsignaal verwerkt. Verder onderscheidt de technische uitvoering van de flikkerdetector (zelfdiagnose, enz.) zich niet van de UV-vlamdetector.

Addenda A pg.8


Addendum B: De DIN V 19250 norm.

Risico (R) is gedefinieerd als de kans (H) op falen maal het effect (E) van de faling (R=H*E). De kans op falen is de frequentie van optreden van deze faling en het effect van het falen is de omvang van de schade die het falen kan veroorzaken (omvang die gaat van het verlies van mensenlevens, via gekwetste, via milieuschade tot economisch verlies). o.a. de DIN V 19250 norm gaat uit van deze basisredenering (zie paragraaf 3.1 in dit hoofdstuk). De Duitsers werken sinds '89 aan een nieuwe norm ter bepaling van het risico. Deze (Vör-) norm is van toepassing in de M8R-techniek. Het risico wordt objectief met "risicoparameters" a.d.v. van een "riscograaf' bepaald.

W3 W2 W1 81 m 1-.l ~ I

A1 /~ ~ I

~ /_ 82 /~!3~ ~ //' ~A2 /G3 4 ~~~

~ ~ ' 83

A1 6 ~ ( A2 lZJ ~ ~ 84

~ ~

De risicoparameters die hierbij gehanteerd worden zijn de volgende:

Omvang van de schade: 81 : licht gekwetste 82: meerdere zwaar gewonden of dood van één persoon 83: dood van meerdere personen 84: ramp met zeer veel doden

Duur van blootstelling aan het risico:(iemand bij het proces aanwezig?) A 1: zelden tot meerdere malen A2: dikwijls tot voortdurend

Ontsnappingsmogelijkheid:(zie je het ongeval aankomen?) G1: onder bepaalde omstandigheden mogelijk G2: vrijwel onmogelijk

Waarschijnlijkheid van gebeuren: W1: zeer klein (1 x in de 100 jaar) W2: klein (1 x in de 10 jaar) W3: relatief hoog (1 x of meer per jaar)

Rechts in de risicograf vindt men de vereiste beveiligingsklasse.

Addenda B pg.1


Vergeliiking met andere normen:

DIN V TÜV- IEC pr EN menselijk risico voorbeeld beveiliging 19250 veilig- 65A 954-1

heids- niveau catago-klasse rie

1 5 0 B lichte verwondingen klemmen van de hand volgens de geldende tussen luik stand van de techniek

2/3 4 1 1/2 zware blijvende verwon- geautomatiseerde afza- veiligheidstechnische dingen bij meerdere per- kinstallatie beproefde elementen

sonen of de dood van één persoon die zich

zelden in de gevarenzo-ne bevinden

4 3 2 2 zware blijvende verwon- procesinstallatie redundantie met zelfdi-dingen bij meerdere per- agnose indien technisch

sonen of de dood van mogelijk één persoon die zich

dikwijls in de gevarenzo-ne bevinden

5/6 2 3 4 dood van meerdere per- industriële stoomketel volledig redundantie met sonen die zich zelden in hoogwaardige zelfdiag-de gevarenzone bevin- nose

den

7/8 1 4 - dood van meerdere per- kerncentrale volledige redundantie en sonen die zich dikwijls in hoogwaardige zelfdiag-de gevarenzone bevin- nose met diversiteit in den of rampen met veel hard- en software

doden

Addenda 8 pg.2


Addendum C: Tijdsaspecten bij het aanspreken van een beveiliging

Een belangrijke opdracht bij het ontwerpen van een beveiligingsysteem is het vastleggen van de grenswaarden. Aan de basis hiervan ligt procestechnologische kennis en de kennis over meetmethoden.

Deze grenswaarde kan afgeleid worden uit de procesdynamica (b.v. reactiesnelheid van het proces) en de tijd (safety time) die nodig is om het proces weer aan de veilige kant van de grenswaarde te krijgen na het overschrijden van grenswaarde plus een zeker tijdmarge. Daarom is het van belang dat de factoren die deze tijd beïnvloeden aan een kritisch onderzoek onderworpen worden.

0011111( VIII ...

(Ä:l ~ ,1

1

1, ~ ~ ~ ~ ~ ~ I \B) (C) \Dj (E) (F) (G) I

I I T 11 T 111 T IV T V T VI T __ \II_I ___ L~ Figuur C.1

A= grenswaarde in een proces wordt overschreden 8= detectie van de grenswaarde overschrijding C= schakelactie is aan logica doorgegeven D= logische acties zijn uitgevoerd E= "final element"wordt aangestuurd F= "final element" heeft de aktie adequaat uitgevoerd G= proces is weer aan de veilige kant van de grenswaarde H= optreden calamiteit indien niet beveiligd wordt

I Reactietijd van de detectie-keten:

Tijdas

Wanneer een grenswaarde in het proces wordt overschreden, zal de meetsonde pas een tijdstip later de grenswaardeoverschrijding detecteren. Dit tijdverschil, de reactietijd, is afkomstig van de dynamica van de meetsonde en heeft als gevolg dat bij detectie de werkelijke waarde van het proces nog hoger kan zijn. De reactietijd is dus o.a. een maat voor de onnauwkeurigheid van de detectie-keten.

Zo moet men bijvoorbeeld bij een thermokoppel zonder huls, geplaatst in een luchtstroom van 1 m/s, rekening houden met een tijdconstante, T van 25s en bij plaatsing van een thermokoppel met huls, onder dezelfde condities, met een tijdconstante, T

=90s. Hierbij is T de tijdconstante van het eerste orde proces waarmee de dynamica van het thermokoppel benaderd is.

Addendum C pg.1


AProcesparameter X I I / I . . d ~----------------7-------ca am1te1tswaar e

I / werkelijke . J · · ··· 4·· · detectiewaarde

onnauwkeunghe1 · LlXmax d · k g~---- .. --------'--------proces-grenswaarde

etectle- etlnl / . det.keten

I

Figuur C.2

dtsatety = tijd tussen overschrijden grenswaarde en optreden calamiteit dtdet.keten = tijd tussen overschrijden grenswaarde en detectie dt max = stijging proceswaarde bij maximale procesgradiënt

tijd

Om dus te voorkomen dat men met het meetprincipe een calamiteit ziet terwijl die in het proces al lang is opgetreden, is het van belang om na te gaan of men met het meetprincipe kan voldoen aan de voorop gestelde safety time.

11 Verwerkingstijd van de detectie-keten

Deze wordt bepaald door de responstijd/aanspreektijd van de detectie keten in relatie tot de maximale snelheid waarmee het proces verandert. Dit is inclusief de tijd dat een eventueel ingebouwd relais nodig heeft om af te vallen en tijd benodigd voor signaal overdracht naar de "logic solver''.

111 Verwerkingstijd van de "logic solver"

Indien een relaisbord wordt gebruikt, is dit de tijd dat alle sequentiele relais nodig hebben om af te vallen. Indien de "l.ogic solver'' een PLC is, is dit de cyclustijd van de PLC plus de tijd dat een eventueel interface relais is afgevallen.

IV Signaaloverdracht van logica tot "final element"

Dit is de tijd die nodig is om het "final element" aangstuurd te krijgen vanuit de "logic sol ver''. Hierin is bijvoorbeeld opgenomen de tijd die een magneetventiel nodig heeft om om te schakelen.

Addendum C pg.2


V Reactietijd "final element"

De reactie tijd van " final element" is b.v. de looptijd van een klep van volledig open tot volledig dicht.

VI Responsietiid van het oroces

Dit is de tijd die het proces nodig heeft om, na de ingreep door "final element", weer onder de veilig geachte grenswaarde te komen. Deze tijd is in hoge mate afhankelijk van de kwaliteit van de beveiligingsketen en met name het "final element".

VI/ Tiidsmarge

Dit is de tij die rest tussen de beveiligingsingreep en het moment waarop een calamiteit zou zijn opgetreden indien niet werd ingegrepen.

VIII"Process safetv time"

Dit is de tijd die het proces zonder ingrepen, na het overschrijden van de grenswaarde, nog zonder optreden van een calamiteit voortschrijdt.

Addendum C pg.3


Addendum 0:

SEPARATION

Separation can be accomplished by a number of methods. These include no connectivity, direct-wired connedivity, read/write communication, read only communications, configurable read only communication, and memory mapping. Figures B.l thru B.6 are provided to illustrate these schemes. Application considerations are discussed with each figure to assist in selecting the correct separation scheme for an application.

No interconnectivity (see Figure B.l) is frequently used in processes where there is no need for information transfer between the BPCS and SIS.

Howevet most PES-based BPCSs require some degree of interconnectivity to theSIS.

Direct-wired connectivity, shown in Figure B.2, is the traditjonal method of communicating between a BPCS and SIS that do nothave digital communieation capability (e.g., electromechanical relays and non-microprocessor based electronic systems). Direct-wiring is the communication methad used when the SIS is relay-based. Direct-wirlng is an altemate communication methad somelimes used between PES-based BPCSs and PES-based SISs. This is used when minimal information inten:hange is required (because of the impracticality of using this approach for large amounts of intermation interchange) or serlal communications do notoffer satisfactory speed and security.

Figure B.3 uses serlal communications and should only be used when the SIS application program cannot be altered by the read/write communications (e.g., FSSL, or ROM) and the serlal communication is point-ta-point (i.e., no network), User-Approved Safety.

Addendum D

BCPS No Jnterconnectivlty

Ffgura 8.1. Separation-no lnterconnectlvlty.

BCPS I· Dlrsct-wiredconnectivity

through lndivlduall/0

Flgure B.2 Separatlon-dlrect-wlred connectivity.

SIS

SIS

pg1


BCPS Serial communlcation

(Resc/IWrite) SIS

Flgure 8.3. Separation-serlal communication (read/write).

Figure B.4 is the scheme recommended for communication between PESbased BPCSs and SISs. The communication is point.to-point, user-approved safety, serlal and read-only. "Read only" means the SIS program cannot be altered from the BPCS during normal process operation. This ensures that unintentional changes to theSIS program do not occur. "Read only" does allow commands (e.g., stop, run) to be transmitted from the BPCS to the SIS during normal operation.

This is accomplished with a User Approved Safety gateway ("G" in Figure B.4) that communieales to the BPCS. This same gateway also communieales to theSIS. The BPCS can read/write to the gateway (similar to Figure B.3), but it cannot write directly to the SIS. This gateway prevents direct BPCS/SIS information interchange via its hardware architecture and I or application program and provides the overall read-only communications between the BPCS and SIS. Therefore, the overall communication between the BPCS and theSIS functions effectively as read only. Because of the read-only communieation conducted at the BPCS, the SIS application program cannot be altered on-line, and only with appropriate secutity off-line, from the BPCS. The read-only communication is used totransport the status of theSIS and its program to the BPCS controller and HMI; the BPCS may use this infonnation

Addendum D

"Read Only" See Note

eadlwrlte area in theSIS

Note Software secure write fundion utlllzes

passwords, keys, selective configuration, etc. methods to achleve •raad only" security.

Flgure 8.4 Separatlo~serlal communicatlon (read only).

pg2


BCPS

Software proteetion measures in BPCS

Serlal communication

(ReadtWrite) SIS

Software •read only" proteetion measures

Agure 85. Separation-"soft" read only.

for diagnostic purposes and for operator infonnation interface fundions (e.g., alanns, diagnostics).

There is a need for communication between logic systems in safety applications. The most common need is between the BPCS and SIS. In some applications, there may only be a need for the BPCS to be able to read data from the SIS (e.g., the status of safety interlocks within theSIS so they can be displayed on a HMI in the BPCS). Figure B.4 addresses this need. The main requirement is that the BPCS be able to accomplish this "read" without corrupting the memory of the SIS.

A method that may be acceptable is called "Soft Read Only'' (Figure B.S). Here the BPCS and SIS offer software security (e.g., passwords, key locks) to proteet against inadvertent changes to the SIS. Consider this method for low-integrity SISs and for higher integrity SISs where supplemented by hardware "write" proteet feature. PHA team approval is required.

The PHA team will review the risk reduction strategy to understand if the SIS is the only IPL protecting against the hazard. If other IPL(s) exist understand their separntion, diversity, independence, capability to be audited, risk reduction capabilities, and if they have any common mode faults with the BPCS and the SIS. If these non-instrumented IPLs can provide suitable risk reduction and do not have common mode faults with other IPL(s), then the PHA team may accept "soft read only" separntion techniques and minimal hardware diversity.

This method isacceptable for ILl and for 112 with PHAapproval. Hardware "write" proteet is required for IL3. The hardware "write" proteet prevents programming of the SIS with the ''hardware" write proteet set in a defined physical position.

Figure B.6 illustrates an infrequently used separation concept found in some packaged safety systems. This approach integrntes the BPCS and SIS logic into a single SIS. The BPCS program is partitioned from theSIS program to minimize the potential for inadvertent changes to the SIS program while werking on the BPCS program. The BPCS portion should adhere to all the rules that are applied to the SIS. Note: This does not praaide the same degree of separation as the previous techniques, and may not be acceptable for the highest integrity level systems. PHA approval is required.

Addendum D pg3


SIS controller

BPCS SIS

Flgure 8.6. Separation---SIS with embedded BPCS functions.

Addendum D pg4

----, I

:.A .L

I I I I I I

r---- ---------------- _J I I I I

POI'IP P-1

" LA-1 L.\·1

L

TAHIC V-1

~--AFNEMERS

VOOIIRAAOT Ar«


Addendum E2: Overzicht van de logische functies

Logische Algebraïsche Internationaal Pneumatisch Elektrisch Elektronisch functie vorm sym_bool (hydraulisch)

Yes a DM a~ t.l(-a) ....

:~ M=a __./': __ M{•a) (Ja)

maakcontact ......... goolot .. 3-2 ..... ,

~-~~- :~1 M a b

:BM ... ... M{-a.b) And M=a.b -é-b ___;..-__;...: __ (En)

nor1NIIgM- 2 maakcontacten in serie 2vent ift •••

-~ U(4••

~ i•<~·· +

M b Or M=a+b afiM a -@:tb ~~~~ (Of) b = 2 -'~Miolo•

3-2-l in po.-

2 maakcontacten in paralel

Not a-E}M ·~ M(.:i) ... a -

~~ (Nee) M=a --:..c- t.l(-a)

verbreekcoolact """.,....,..3-2-1

~~ ·;·· ~ + ' )

Nand :8-M 1

M=ili ·~ --liJ_ (Niet-En)

b ·-= ~ 1 M(-a.b) bRH)-

b- M

~-~~ ~ +

Nor M (=a+b) a~M a"..._ --11!.._

(Nlet..Qf) b "' 1 b ·-~ , ~ M(..ä.b)

~ b~

b-• ... I

M -+ I I ·~ h/a . ·~ @o h/a

Opkom· T

~JD~~ vertra- ~.M1/a ~a ging T=a

.~ •J:ll (~M-11/a I - ..... +

+ I ·~ a/la I Afval- T

~.$ . ·-alla

vertra- M=8/t2 ~b T=a ging ç ~~M-alta ~r:tl I

"t -

'i_h + oö I

Geheu- ·na ! .. niXL~ ~ä a b 1 gen b ~ 0 ö Q

..at aat

Een aatp&Aa gaell wn blijvend lignul 0. Een ruetpiAI geeft 88n blijvend ligrul Q.

Addendum E pg.2

Q)

Q) !!! ~ Q)

> (/) ·;:: 0 ..,

Q) ·;::

ti ::I "0 .!: (/) Q) (.)

E c. Q) "0

.!:

""-... ~

,.._.__ ... J_

-Q.) ~

~ ~ ~ Q.) Q.) I ~

.... ..

LV 1 J -~PI

TAIIK VI ) TAIIK VI auomo -· J SlQIO ST lUIT

' l a I a 4 • • I , • • to ft , . I q t4 " " I t1 ,. • _I l I I l I

LZAN1 0 0 0 0 I L.ANI I LAl. I I .. ..

-------------- X'!,__ !!'-- 11!!. __________ &g __ •.u_- ----------------- l!O!_ ___ !lU_--- -------

r- .__ - _l lOl _j lOl

I .I I "' s

' I t •

--------- y"j6 _____ .sr-------------- nr--------- ------- ------- ri1------- Yü---------

::oo I LV I r,'oo " =~ J :oo I ;oo - SM SN

20 I lt la 23 14 • • ., at 21 30 ~ 32 31 M u - :17 I 31

WATIA LU -LUHI PCW PI .. LAII I LAL 1 "' ...... _" IN MEiliJP

w E ::I "0 c: Q)

"0

~

Q) ·;:: ti ::I "0 .5 IJ) Q) 0 0 ....

LV I I _,.,

I'E\.">lllb ~L1. , .... VI TAIIIC Yt

I) 1'01111 ~"\. e> .. u .. SUilrul -· 11111' STUIT 1!,\l.h(,~

~ 1 2 a 4 I I I ' L I I 10 11 ,. 11 I 14 11 11 I " 11 I • .. I l I I I

' lt-":.,..ül I I LZAM I I 0 0 0 0 I Ulll L LM. I ... "" MP

f-- - ~1. ... __ ;=.'i __ ----- JU!.._ !t.4_- X!!. _____ ----- !.!1 __ I!!__ ·----------------- p ____ ~---------

>-

~hfl1--~ I - i.-.

r-!- 1-----L-;,- Jol .J

. - '--" L ...

~

Al s 111 s

T \

1 I I I

,j_ - y-,------ iitj(- YStJ- v$4-------------- Yss----------------- -------- Yh------ Yii---------

t~~:=J ==~ ..1~11 LV I I =roo I PI I :roo - ;~ .J :lXI I - SM ... ..... 10 11 12 23 24 11 • 17 21 21 30 11 32 • M 31 31 17 I 31 I"'L

"l'~AL1 WATlilt UI -"i~Al 1 0!li'c\'t.o

LlAH'I. 1'0*'1'1 I.AH t LAL 1 TOEwa ...... INKIJU# .---

""=': Cl a.

w E ::I "0 c Q) "0

~

eindhoven university of technology master beveiligingen ... · ramp met de challenger op 28 januari...

Documents