1. Safety Integrity Level en Performance Level bepaling
Risicobeoordeling voor het ontwerp van automatische systemen met een
veiligheidsfunctie voor machines en procesinstallaties
G.D. Schmitz
2. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Safety Integrity Level en Performance Level bepaling
Risicobeoordeling voor het ontwerp van automatische systemen met een
veiligheidsfunctie voor machines en procesinstallaties
Auteur: dhr. G.D. Schmitz
Charlotte Ruysplantsoen 1
1705 NE Heerhugowaard
schmitz@alyes.nl
Werkzaam bij: TripleM Consultants & Engineers
Nijverheidsweg 27
2031 CN Haarlem
www.triplem.nl
gert.schmitz@triplem.nl
Functie: Manager Industriële Automatisering / KAM Manager
Scriptie ten behoeve van de PHOV opleiding Hogere Veiligheidskunde:
Cursusgroep: U27
Mentor: dhr. H.F. Dolleman Handtekening:
Datum: 27 september 2007
Verklaring van openbaarheid:
Op dit rapport is het auteursrecht van toepassing. Openbaar maken is toegestaan.
De auteur aan het werk:
Pagina II Revisie: A, 27 september 2007
3. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Samenvatting
Momenteel staat de techniek om automatische systemen met een veiligheidsfunctie,
beter bekend als de SIL techniek, volgens de normen IEC 61508, 61511, 62061 en
ISO 13849 te ontwerpen, volop in de belangstelling.
Door de vrij recente updates van de normen en een toenemende aandacht voor deze
techniek, ook vanuit de controlerende overheid, bestaat er veel behoefte aan extern
advies en ondersteuning. Dat geldt voor de uitvoering van risicobeoordelingen, het
bepalen van het juiste SIL of PL niveau (de SIL/PL classificatie) als ook het ontwerp
van een instrumenteel beveiligingssysteem volgens deze normen.
Het is te verwachten dat toepassing van deze techniek voor procesinstallaties maar
vooral ook voor machines in de nabije toekomst een sterke groei zal doormaken.
De huidige stand van zaken en ervaringen bij klanten zijn de redenen waardoor dit
rapport tot stand is gekomen:
- Onduidelijkheid en ontevreden gevoel bij klanten m.b.t. de risicoclassificering.
Onvolledige motivatie en onvoldoende klantbetrokkenheid leidt tot de veelgehoorde
klacht dat het classificatieresultaat te zwaar is.
- Te technisch beoordeelde classificaties, veelal uitgevoerd door technici. Situatie-,
gebruiker- en cultuurgerelateerde invloeden worden over het algemeen niet
meegenomen.
- De laatste update van de PL (Performance Level) norm ISO 13849 en de SIL
(Safety Integrity Level) normen IEC 61508, 61511 en 62061.
- De classificatie van veiligheidsfuncties van machines volgens de PL systematiek
kan leiden tot een andere waardering dan volgens de SIL systematiek.
In dit rapport worden risicobeoordelingsinstrumenten uitgewerkt voor het bepalen van
het SIL en PL van een zogenaamde Safety Instrumented Functie. Voor klanten van
TripleM leidt het advies op basis van het resultaat van het onderzoek tot:
- Risicoclassificatie passend bij de installatie en de gebruiker c.q. installatie-eigenaar.
- Een correct veiligheidsniveau van machines en procesinstallaties.
- Een goede onderbouwing van de classificatie met gerichte aanbevelingen, waardoor
begrip en acceptatie ontstaat voor het resultaat en de te nemen maatregelen.
Dit doel wordt bereikt door:
- het uitwerken van risicografen voor het beoordelen van risico’s van
procesinstallaties en machines;
- het selecteren van één risicograaf voor het bepalen van zowel het SIL als het PL
van een machine;
- een handleiding uit te werken voor het correct toepassen van de risicografen.
Het resultaat komt voort uit ervaringen uit contacten met klanten, leveranciers van
veiligheidsinstrumenten en externe adviseurs. Bestudering van de normen ISO 13849,
IEC 61508, 61511 en 62061 en aanverwante normen. Onderzoek naar relevante
literatuur. En ervaringen uit de eigen organisatie bij het uitvoeren van
risicobeoordeelingswerkzaamheden en SIL/PL classificaties.
De belangrijkste conclusies en aanbevelingen zijn:
- Het aanpassen van het ontwerp heeft de voorkeur boven het toepassen van een
instrumentele beveiliging. Beter een veilig ontworpen installatie dan beveiligd door
aanvullende instrumentele maatregelen. Dit is een aandachtspunt in de ontwerpfase
van machines en installaties.
- De kwaliteit van het bepalen van een PL of SIL wordt verbeterd door het toepassen
van de in hoofdstuk 6 beschreven risicografen.
Pagina III Revisie: A, 27 september 2007
4. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
- Gebruik de gemodificeerde en gecombineerde risicograaf uit Bijlage I voor het
bepalen van zowel een PL (ISO 13849) als een SIL (IEC62061). Dit om een
eenduidig beoordelingsresultaat met een consistente onderbouwing te verkrijgen.
- Zorg voor acceptatie van het SIL of PL resultaat door klanten te betrekken bij de
uitvoering van een SIL of PL bepaling.
- Een volledige rapportage met een goede onderbouwing van de SIL en PL
bepalingen is essentieel.
De volgende acties worden geadviseerd om de kwaliteit van de SIL en PL bepalingen
te borgen binnen de organisatie:
- De bevindingen uit dit rapport dienen te worden verwerkt in de standaard rapportage
en het bijbehorende classificatiesheet.
- De betrokken adviseurs op de hoogte brengen van de bevindingen uit dit rapport.
Pagina IV Revisie: A, 27 september 2007
5. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Inhoudsopgave
1 Inleiding.............................................................................................................. 1
1.1 De organisatie TripleM Consultants & Engineers......................................................1
1.1.1 De positie van de auteur binnen TripleM......................................................2
1.1.2 Het profiel van de klanten van TripleM Industriële Veiligheid.......................2
1.2 Het doel en de doelgroep van het rapport.................................................................2
1.3 De aanpak van het onderzoek...................................................................................2
1.4 Leeswijzer..................................................................................................................3
2 Afbakening van het rapport en probleemstelling ............................................ 4
2.1 Risicobeoordeling van machines en procesinstallaties .............................................4
2.2 Risicoreducerende maatregelen................................................................................5
2.3 Automatische systemen met een veiligheidsfunctie..................................................6
2.4 Specifieke normen voor het ontwerp van automatische systemen met een
veiligheidsfunctie .......................................................................................................7
2.5 Definitie van automatische veiligheidsfunctie en automatisch veiligheidssysteem...8
2.6 Risicobeoordeling en classificatie van een SIF; de doelstelling van dit rapport........9
2.7 Probleemstelling en het effect op een SIL of PL bepaling ......................................10
3 Wat is het wettelijk kader voor functionele veiligheid .................................. 12
3.1 Veiligheidswetgeving ...............................................................................................12
3.2 Milieuwetgeving .......................................................................................................13
3.3 Economische schade ..............................................................................................13
4 Het belang van een gedegen risicobeoordeling van een SIF ....................... 15
4.1 Het effect van fouten tijdens het ontwerpproces van SIFs ......................................15
4.2 De vereiste nauwkeurigheid van de risicograaf.......................................................16
4.3 Wie past een risicograaf toe ....................................................................................17
5 Het risico van een procesinstallatie versus het risico van een machine..... 19
5.1 De invloed van een machine op veiligheid ..............................................................19
5.2 De invloed van een procesinstallatie op veiligheid..................................................20
5.3 Verschil in risicografen voor de beoordeling van het veiligheidsrisico van machines
en procesinstallaties ................................................................................................20
5.4 Een machine met een procesrisico en een proces met een machinerisico ............21
6 Het bepalen van het Safety Integrity- of Performance Level met behulp van
een risicograaf ................................................................................................. 22
6.1 Het toepassen van een risicograaf voor machines .................................................22
6.1.1 De keuze van de risicograaf .......................................................................22
6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid....24
6.1.3 Bepaling van de kans op schade met een bepaalde ernst.........................25
6.2 De risicograaf voor procesinstallaties......................................................................28
6.2.1 De keuze van de risicograaf .......................................................................28
6.2.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid....28
6.2.3 Bepaling van de kans op schade met een bepaalde ernst.........................29
7 Implementatie van het scriptieresultaat en ontwikkeling van functional
safety binnen de TripleM organisatie. ............................................................ 32
Pagina V Revisie: A, 27 september 2007
6. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
8 Conclusies en aanbevelingen......................................................................... 34
9 Literatuur.......................................................................................................... 37
9.1 Boeken.....................................................................................................................37
9.2 Artikelen...................................................................................................................37
9.3 Normen ....................................................................................................................37
10 Lijsten............................................................................................................... 38
10.1 Verklarende woordenlijst .........................................................................................38
10.2 Lijst met afkortingen ................................................................................................39
Bijlage A Scriptievoorstel en akkoord verklaring
Bijlage B Relatie tussen Safety Instrumented Functions (SIFs) en andere
besturingsfuncties
Bijlage C Registratie van ervaringen en stellingen van derden die een verkeerd beeld
geven van functional safety
Bijlage D Risicograaf ISO 13849
Bijlage E Risicograaf IEC 62061
Bijlage F Risicograaf IEC 61511
Bijlage G Overzicht risicografen 61511, 62061 en 13849
Bijlage H Vergelijking risicobeoordeling volgens ISO 13849 en IEC 62061
Bijlage I Gemodificeerde en gecombineerde risicomatrix IEC 62061 en ISO 13849
Bijlage J Het effect van een onvolledig classificatierapport
Bijlage K Klantenmailing ‘Risicoreductie van productie-installaties’
Pagina VI Revisie: A, 27 september 2007
7. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
1 Inleiding
Vanuit met name de petrochemische- en chemische industrie zijn al vele jaren
technieken bekend om automatische systemen met een veiligheidsfunctie te
ontwerpen. De omvang van de schadelijke effecten voor de gezondheid van grote
groepen mensen en enorme economische schade bij calamiteiten vormden de
noodzaak om een hoge mate van betrouwbaarheid bij dergelijke systemen te
realiseren.
De IEC ontwikkelde de basisnorm IEC 61508, inmiddels de meest bekende standaard
om automatische systemen met een veiligheidsfunctie te ontwerpen. De laatste uitgave
van deze norm is in 2002 geharmoniseerd als Nederlandse- (NEN) en Europese
normstandaard (EN). In 2003 volgde de, van de IEC 61508 afgeleide, norm NEN-EN-
IEC61511, specifiek gericht op de procesindustrie. De introductie van deze norm
zorgde in Nederland voor verhoogde aandacht voor deze ontwerptechnieken bij
diverse procesindustrieën. Inmiddels is de norm uitgegroeid tot een wereldwijd
bekende en toegepaste standaard.
Behalve een aantal, vooral (petro)chemische, procesindustrieën worden de normen in
Nederland nog niet overal toegepast. Er is wel veel behoefte aan informatie.
In 2005 werd de NEN-EN-IEC 62061 geïntroduceerd. Deze norm is ook afgeleid van
de IEC 61508 en specifiek gericht op het ontwerpen van automatische systemen met
een veiligheidsfunctie voor machines.
Een jaar later, in 2006, wordt de norm NEN-EN-ISO 13849 geïntroduceerd. Deze
norm, afkomstig van een normcommissie onder de ISO vlag, heeft dezelfde
doelstelling als de IEC 62061.
Na harmonisering van beide machinenormen met de machinerichtlijn dringt ook de
noodzaak bij machinebouwers door om de normen toe te passen.
Door de brede aandacht en wereldwijde toepassing van genoemde normen wordt
tegenwoordig ook door veiligheids- en milieu-inspectiediensten van de overheid
gevraagd om borging van de integriteit van beveiligingssystemen middels het
toepassen van de normen.
1.1 De organisatie TripleM Consultants & Engineers
TripleM Consultants & Engineers B.V. (www.triplem.nl), kortweg TripleM, is een
multidisciplinair ingenieursbureau met klanten voornamelijk binnen de industriële
branches farmacie, proces, zware industrie en machinebouw. De activiteiten bestaan
in hoofdlijn uit ontwerp en realisatie van procesinstallaties en machines. TripleM is
opgericht in 1992, gevestigd in Haarlem en er werken circa 75 medewerkers. Vanaf
april 2007 maakt TripleM deel uit van de Iv-Groep in Papendrecht (www.iv-groep.nl).
De diverse vakgerelateerde afdelingen van TripleM leverden al jaren
veiligheidsadviesdiensten. Sinds enige tijd zijn deze diensten ondergebracht in de
afdeling ‘Industriële Veiligheid’. De diensten van deze afdeling bestaan onder andere
uit: veiligheid t.b.v. machine en installatieontwerp, werkplekveiligheid (bijvoorbeeld ook
ATEX studies) en bouwplaatsveiligheid.
Belangrijke diensten in relatie met het kader van dit rapport is het uitvoeren van
risicobeoordelingen van procesinstallaties (bijv. HAZOP studies) en machine-
installaties, het classificeren van integriteitniveaus van veiligheidsfuncties (SIL en PL
classificaties) alsmede het ontwerp en de verificatie van de instrumentele
beveiligingssystemen. De uitkomst van dit rapport draagt bij aan de verdere
ontwikkeling van deze diensten.
Pagina 1 van 39 Revisie: A, 27 september 2007
8. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
1.1.1 De positie van de auteur binnen TripleM
Als KAM manager ben ik verantwoordelijk voor het kwaliteitssysteem (ISO9001), de
veiligheid van onze medewerkers en op bouwplaatsen (VCA**) en de naleving van
milieueisen, m.n. van toepassing op bouwplaatsen.
Als manager Industriële Veiligheid ben ik verantwoordelijk voor de uitvoering van onze
veiligheidsadviesdiensten, specifieke veiligheidsgerelateerde projecten en de
ontwikkeling en sturing van de afdeling Industriële Veiligheid.
1.1.2 Het profiel van de klanten van TripleM Industriële Veiligheid
Het grootste percentage klanten van TripleM bestaat uit eigenaren van industriële
proces- en machine-installaties. Veel van deze klanten hebben geen jarenlange
ervaring met de ontwerpnormen voor systemen met een veiligheidsfunctie, zoals
bijvoorbeeld het geval is bij een aantal (petro)chemische industrieën. Door de vrij
recente updates van de normen en een toenemende aandacht voor de materie, ook
vanuit de controlerende overheid, worden sommige van deze klanten geconfronteerd
met de materie. Er bestaat veel behoefte aan extern advies en ondersteuning bij de
uitvoering van risicobeoordelingen, het bepalen van het juiste SIL of PL niveau en het
ontwerp van een SIS.
Sommige klanten worden geconfronteerd met kostbare aanpassingen aan hun
installaties naar aanleiding van een SIL classificatie. Regelmatig laat de onderbouwing
van de classificatie te wensen over. En soms wordt de classificatie ronduit slecht
uitgevoerd of is onvoldoende toegespitst op de specifieke situatie.
1.2 Het doel en de doelgroep van het rapport
De primaire doelgroep waarvoor dit rapport is opgesteld, zijn de adviseurs en
engineers uit de TripleM organisatie die betrokken zijn bij risicobeoordelingen voor het
bepalen van het SIL of PL.
In dit rapport worden risicobeoordelingsinstrumenten uitgewerkt voor het bepalen van
het SIL en PL van een Safety Instrumented Functie. Voor klanten van TripleM moet het
advies op basis van het resultaat van het onderzoek leiden tot:
- Risicoclassificatie passend bij de installatie en de gebruiker c.q. de installatie-
eigenaar.
- Een correct veiligheidsniveau van machines en procesinstallaties.
- Een goede onderbouwing van de classificatie met gerichte aanbevelingen,
waardoor begrip en acceptatie ontstaat voor het resultaat en de te nemen
maatregelen.
Dit doel wordt bereikt door:
- Het selecteren van één risicograaf voor het bepalen van zowel het SIL als het PL
van een machine.
- Het uitwerken van risicografen voor het beoordelen van risico’s van
procesinstallaties en machines.
- Een handleiding voor het correct toepassen van de risicografen.
1.3 De aanpak van het onderzoek
Het onderzoek bestaat uit de volgende fasen:
1. Basiskennis opdoen:
Het bestuderen van de direct gerelateerde normen: ISO 13849, IEC 61508, 61511
en 62061. Onderzoek naar relevante literatuur.
2. Inventariseren van ervaringen:
Pagina 2 van 39 Revisie: A, 27 september 2007
9. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Er zijn gesprekken gevoerd met de volgende bronnen om ervaringen met de
uitvoering van risicobeoordelingen te inventariseren: klanten, leveranciers van
veiligheidscomponenten, externe adviseurs en leden van de NVVK werkgroep
WESP. Daarnaast zijn de ervaringen van collega’s en uit projecten van de eigen
organisatie meegenomen.
3. Verzamelen en analyseren van oplossingsgerichte data:
Inventarisatie en studie van, aan het onderwerp, gerelateerde normen. Bruikbare
ervaringen uit de literatuurstudie inventariseren.
De meeste gesprekken zijn gevoerd door de auteur zelf. Een enkel gesprek met een
adviseur is door een collega gevoerd in het kader van een machinebeveiligingsproject.
Alle studies zijn uitgevoerd door de auteur.
1.4 Leeswijzer
In HOOFDSTUK 2 wordt relatief veel aandacht besteed aan het ontwerpproces voor
risicoreducerende maatregelen. Duidelijk wordt wat de plek is van de risicobeoordeling
om het SIL of PL van een SIF te bepalen. Tevens wordt aangegeven wat de relatie van
deze risicobeoordeling is tot de risicobeoordeling van een machine of procesinstallatie.
Van toepassing zijnde normen en definities worden toegelicht. Dit hoofdstuk geeft de
minder geïnformeerde lezer een basiskennis die nodig is om het rapport te kunnen
begrijpen. Uiteindelijk wordt de specifieke probleemstelling toegelicht.
HOOFDSTUK 3 laat zien hoe functionele veiligheid binnen de Nederlandse
veiligheidswetgeving een rol kan spelen. Tevens wordt de relatie met milieuwetgeving
en economische effecten kort toegelicht.
HOOFDSTUK 4 gaat in op het nut en de noodzaak van een gedegen risicobeoordeling
van een SIF. Het verschil in het effect van een waardeoordeel tussen de
risicobeoordeling van een SIF en die van een machine of procesinstallatie wordt
toegelicht. Evenals het effect van de achtergrond van degene die een risicograaf
toepast.
In HOOFDSTUK 5 wordt het verschil tussen risico’s van machines van
procesinstallaties toegelicht. Bij combinaties van machines en procesinstallaties is het
van belang om de juiste norm te selecteren voor het ontwerpen van een specifiek SIS.
In HOOFDSTUK 6 wordt een risicograaf voor het bepalen van zowel het SIL als het
PL voor machines vastgesteld. Vervolgens is een uitgebreide toelichting op het gebruik
van zowel de machine- als de procesrisicograaf uitgewerkt.
Tot slot wordt in HOOFDSTUK 7 de implementatie van de uitkomsten uit dit rapport
binnen de TripleM organisatie aangegeven.
Pagina 3 van 39 Revisie: A, 27 september 2007
10. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
2 Afbakening van het rapport en probleemstelling
Vanuit de diverse wetgeving wordt de eis gesteld om risico’s te inventariseren,
evalueren en risicobeperkende maatregelen te nemen. Dat geldt ook voor de risico’s
bij het toepassen van arbeidsmiddelen als machines en procesinstallaties (zie ook H3).
Figuur 1 laat een model zien van een risicoreductieproces voor arbeidsmiddelen,
bestaande uit een risicobeoordeling en het nemen van risicoreducerende maatregelen.
Risicobeoordeling
Ontwerpproces risicoreducerende maatregelen
Risico analyse
- bepaling grenzen van machine / proces
- identificatie van de gevaren
- inschatting van het risico
Risico evaluatie
- beoordeling risicoanalyse
- besluitvorming noodzaak tot risicoreductie
Risicoreducerende maatregelen
Het ontwerpen van maatregelen om voldoende
reductie van het risico te bereiken (ALARP).
Validatie risicoreductie
Beoordeling of de maatregelen de gewenste
risicoreductie tot gevolg hebben.
Figuur 1 Ontwerpproces risicoreducerende maatregelen
2.1 Risicobeoordeling van machines en procesinstallaties
Voor het uitvoeren van een risicobeoordeling van machines of procesinstallaties
worden diverse tools toegepast. Voorbeelden van dergelijke tools zijn:
• HAZOP – Hazard & Operability Study (procesinstallaties)
• FME(C)A – Failure Mode and Effects (and Criticality) Analysis (machines)
• What-If analyse
• NEN1050
• Checklist machinerichtlijn
Bij het uitvoeren van een risicobeoordeling is het noodzakelijk om rekening te houden
met de veiligheid van de machine/installatie gedurende alle fasen van zijn levensduur,
inclusief fabricage, transport, installatie en ontmantelen. Dat geldt ook voor de diverse
gebruiksstadia, zoals: opstart, schoonmaken, onderhoud, storingzoeken, en dergelijke.
Het besluit om een specifieke risicoreducerende maatregel te nemen is een resultaat
van de risicobeoordeling.
Pagina 4 van 39 Revisie: A, 27 september 2007
11. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
2.2 Risicoreducerende maatregelen
Het nemen van risicoreducerende maatregelen kan, op basis van effectiviteit, in twee
mogelijkheden worden ingedeeld:
• inherent veilige maatregelen – preventieve maatregelen, voorkomen van het
gevaar
• beschermende maatregelen – beheersing van het risico en controleren van de
effecten
Bij inherent veilige maatregelen worden de gevaren weggenomen of de risico’s
afdoende verkleind door het wijzigen van het ontwerp, zonder gebruik te maken van
beschermende maatregelen. Anders gezegd: de machine of installatie wordt dusdanig
gewijzigd dat het gevaar niet meer bestaat of het risico tot een acceptabel niveau is
teruggedrongen. Extra beschermende maatregelen kunnen bij falen of bij aanspreken
het proces verstoren. Of er ontstaat en risicovolle situatie door falende
veiligheidsmaatregelen. Hierdoor hebben inherent veilige maatregelen de eerste keus.
Een voorbeeld: de druk in een drukvat kan bij een verstoring van het proces dusdanig
oplopen dat het drukvat openbarst. Als beschermende maatregel zouden beveiligingen
kunnen worden toegepast om de druk te bewaken, te regelen of eventueel af te blazen.
Als inherente beveiliging kan de ontwerpdruk van het vat dusdanig worden gekozen
dat deze te allen tijde bestand is tegen de maximaal voorkomende procesdruk.
Een andere inherent veilige oplossing kan wellicht gevonden worden in een andere
procesvoering (mogelijk zelfs gebruik van andere grondstoffen of fysische waarden),
zodat de procesdruk niet kan oplopen tot boven de ontwerpdruk van het vat.
Inherent veilige maatregelen hebben vaak principiële ontwerpwijzigingen tot gevolg.
Het is daarom van belang om in een vroegtijdig ontwerpstadium van procesinstallatie
of machine een risicobeoordeling uit te voeren. Het is niet uitzonderlijk om in de
ontwerpfase op meerdere momenten een risicobeoordeling uit te voeren.
Door invoering van de RI&E in de Arbo-wet worden momenteel van veel bestaande
procesinstallaties risicobeoordelingen, vaak een HAZOP studie, uitgevoerd. Van veel
van deze installaties is nooit eerder een risicobeoordeling uitgevoerd. Door de
invoering van de machinerichtlijn, al in 1995, geldt dit in mindere mate voor machines.
Voor inherente veiligheidsmaatregelen wordt bij bestaande installaties nauwelijks
gekozen. Argumenten hiervoor zijn de hoge kosten die principiële proceswijzigingen
met zich meebrengen en het wijzigen van registraties van gevalideerde
procesvoeringen (geldt met name in de farmaceutische industrie en in mindere mate in
de voedingsmiddelenindustrie).
De ervaring leert dat in de ontwerpfase onvoldoende aandacht is voor het nemen van inherent
veilige maatregelen. Oorzaken hiervoor zijn:
- Een risico-analyse wordt in een te laat stadium uitgevoerd
- Er is onvoldoende aandacht voor inherent veilige alternatieven
De procesengineering is gedaan, de procesflow is bekend en de equipment in grote lijnen
bepaald. Om in dit stadium een stap terug te gaan en aan de basis van het procesontwerp te
sleutelen blijkt nog geen normale gang van zaken te zijn. Er wordt te vanzelfsprekend gekozen
voor aanvullende beschermende maatregelen.
Voor bestaande procesinstallaties zijn principiële wijzigingen zo goed als niet bespreekbaar.
Machinebouwers kiezen eerder voor inherent veilige maatregelen. Vaak omdat extra
aangebrachte veiligheidmaatregelen ook extra kosten met zich meebrengen.
Meer aandacht voor inherent veilige maatregelen in het risico-analyse en –reductietraject is
wenselijk.
Het zogenaamde ‘layer of protection’ model uit Figuur 2 geeft een beeld van de
mogelijkheden van beschermende maatregelen. In het model zijn de volgende
Pagina 5 van 39 Revisie: A, 27 september 2007
12. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
niveau’s van beveiligen herkenbaar met betrekking tot het nemen van beschermende
maatregelen:
• Beheersing van de risico’s
1. Proces/machine regelingen en beveiligingen (bijvoorbeeld procesregelingen en
automatische systemen met een veiligheidsfunctie)
• Controleren van de effecten
2. Beperken van het risico (bijvoorbeeld noodstop en drukaflaatsysteem)
3. Repressieve maatregelen (blussysteem, noodplan)
COMMUNITY EMERGENCY RESPONSE
Emergency broadcasting
PLANT EMERGENCY RESPONSE
Evacuation procedures
CONTROLEREN EFFECTEN
MITIGATION
Mechanical mitigation system
Safety instrumented control systems
Safety instrumented mitigation systems
Operator supervision
PREVENTION
Mechanical protection system
Process alarms with operator corrective action
Safety instrumented control system
Safety instrumented prevention system
CONTROL and MONITORING
BEHEERSEN RISICO”S
Basic control systems
Monitoring systems (process alarms)
Operator supervision
PROCES
Figuur 2 - Layers of Protection model
2.3 Automatische systemen met een veiligheidsfunctie
Zowel op het niveau van beheersing van de risico’s als het controleren van effecten
bevinden zich de automatische systemen met een veiligheidsfunctie in de volgende
protection layers:
- Control and monitoring
- Prevention
- Mitigation
De flowchart uit Bijlage B laat de veiligheidsfuncties uit de verschillende protection
layers zien in relatie tot andere besturingsfuncties.
Het gaat hierbij om automatische beveiligingssystemen die ingrijpen in een proces of
een machine wanneer de mogelijkheid tot het optreden van een gevaar ontstaat. Het
risico dat dit gevaar werkelijk optreedt wordt hiermee tot een aanvaardbaar niveau
beperkt. Of om systemen die ingrijpen als een calamiteit werkelijk optreed en daarmee
het schade-effect kunnen beperken.
Automatisch beveiligingssysteem is een zeer breed begrip. Enkele voorbeelden van
dergelijke beveiligingsystemen kunnen zijn:
- Elektromechanische onderdelen – bijvoorbeeld een deurcontact dat een motorrelais
van een machine uitschakelt.
- Elektronische, niet programmeerbare, apparatuur - Een flowmeting die een afsluiter
aanstuurt.
- Programmeerbare elektronica – bijvoorbeeld een geavanceerd
temperatuurmeetsysteem dat op meerder plaatsen in een vat de temperatuur meet,
aangesloten op een veiligheidsbesturingssysteem. Afhankelijk van verschillende
meetresultaten worden beveiligingsafsluiters en een pomp aangestuurd.
Pagina 6 van 39 Revisie: A, 27 september 2007
13. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Bovenstaande voorbeelden laten zien dat automatische beveiligingssystemen uit
eenvoudige direct geschakelde
relaissystemen kunnen bestaan
tot geavanceerde, Input device Logic solver Final elements
computergestuurde systemen. In Opnemer, PLC, Ventiel,
de basis bestaan echter alle schakelaar, relaiskast, motorrelais,
sensor, besturingssysteem. afsluiter.
systemen uit de onderdelen uit instrument.
Figuur 3.
TT TC
Figuur 3 - Automatisch veiligheidssysteem bestaande uit
één veiligheidsfunctie
2.4 Specifieke normen voor het ontwerp van automatische systemen
met een veiligheidsfunctie
Voor het ontwerpen van automatische beveiligingssystemen zijn normen ontwikkeld
vanuit de IEC en de ISO, als aangegeven in onderstaand overzicht:
IEC ISO
ISO
61508
61511 62061 13849
Procesinstallaties Machines
Figuur 4 - Overzicht normen voor het ontwerp van systemen met een veiligheidsfunctie
Van de IEC komt de norm 61508-1 t/m 7 (Functional safety of electrical /electronic /
programmable electronic safety-related systems) [Norm 7] als basis voor de
ontwikkeling en toepassing van alle elektrische/elektronische systemen (electrical /
electronic / programmable electronic systems) die een veiligheidsfunctie uitvoeren.
Deze uitgebreide norm richt zich ook op de ontwikkelaars van veiligheidsapparatuur en
veiligheidssoftware.
Vanuit de 61508 zijn twee, beter hanteerbare, normen afgeleid, t.w.:
• 61511-1 t/m 3 (Functional safety - Safety instrumented systems for the process
industry sector) [Norm 8], specifiek bedoeld voor het ontwerpen van
veiligheidssystemen voor procesinstallaties.
• 62061 (Safety of machinery – Functional safety of safety-related electrical,
electronic and programmable electronic control systems) [Norm 9], specifiek
bedoeld voor het ontwerpen van veiligheidssystemen voor machines.
Pagina 7 van 39 Revisie: A, 27 september 2007
14. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
• Van de ISO komt de norm 13849-1 en 2 (Safety of machinery - Safety-related parts
of control systems) [Norm 4, Norm 5], bedoeld voor het ontwerpen van
veiligheidssystemen voor machines.
De norm ISO 13849 heeft een vergelijkbare doelstelling als de norm IEC 62061. De
nieuwere 13849 verwijst ook naar de 61508 / 62061 normen. Een belangrijk verschil in
doelstelling is dat de IEC normen zich richten op elektrische/elektronische systemen
terwijl de 13849 een breder kader heeft waaronder ook pneumatische- en hydraulische
systemen. Verder wijken de toegepaste systematieken uit beide normen van elkaar af.
Alle normen zijn geharmoniseerd met de Nederlandse en Europese normen (NEN en
EN). De beide machinegerelateerde normen zijn geharmoniseerd met de Europese
Machinerichtlijn (zie ook hoofdstuk 3, wettelijk kader).
Tot voor kort werd de norm NEN-EN 954 (Veiligheid van machines - Onderdelen van
besturingssystemen met een veiligheidsfunctie) algemeen toegepast voor het ontwerpen
van een automatische veiligheidsfunctie met een machinetoepassing. De daarin
voorkomende veiligheidscategorieën (B, 1 t/m 4) komen nog veel voor als aanduiding op
componenten en worden in de praktijk nog wel toegepast. Deze norm is inmiddels
vervallen en is vervangen door de NEN-EN-ISO 13849. In dit rapport zal derhalve geen
aandacht aan de NEN 954 meer worden besteed.
2.5 Definitie van automatische veiligheidsfunctie en automatisch
veiligheidssysteem
Voor het juiste begrip is het van belang om een duidelijke definitie vast te stellen van
de volgende twee begrippen:
• Automatische veiligheidsfunctie
• Automatisch veiligheidssysteem
De automatische veiligheidsfunctie is de functionaliteit die omschrijft hoe een
bepaald vastgesteld risico wordt gereduceerd. De automatische veiligheidsfunctie
wordt uitgevoerd door een automatisch veiligheidsysteem, ofwel de techniek die de
functie uitvoert. Het automatische veiligheidssysteem bestaat is opgebouwd conform
het schema van Figuur 3.
In de normen uit de 61508 familie worden er verschillende definities gebruikt voor
vergelijkbare veiligheidsfuncties:
- 61511 Safety Instrumented Function (SIF)
safety function with a specified safety integrity level which is necessary to achieve
functional safety and which can be either a safety instrumented protection function
or a safety instrumented control function.
- 62061 Safety-Related Control Function (SRCF)
control function implemented by a SRECS with a specified integrity level that is
intended to maintain the safe condition of the machine or prevent an immediate
increase of the risk(s).
Een automatisch veiligheidssysteem kan uit een of meerdere veiligheidsfuncties
bestaan. Ook voor het veiligheidssysteem zijn weer verschillende definities in de 61508
familie normen:
- 61511 Safety Instrumented System (SIS)
instrumented system used to implement one or more safety instrumented functions.
A SIS is composed of any combination of sensor(s), logic solver(s), and final
element(s).
Pagina 8 van 39 Revisie: A, 27 september 2007
15. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
- 62061 Safety-Related Electrical Control System
electrical control system of a machine whose failure can result in an immediate
increase of the risk(s)
De norm 13849 maakt geen specifiek verschil tussen een veiligheidsfunctie en een
veiligheidssysteem en definieert het veiligheidssysteem als volgt:
- 13849 Safety-related part of a control system (SRP/CS)
part of a control system that responds to safety related input signals and generates
safety related output signals.
N.B.: Er wordt in dit rapport gekozen voor het gebruik van de afkortingen SIF voor de
automatische veiligheidsfuncties en SIS voor het automatische veiligheidssysteem, uit
de norm 61511. Ook als het gaat om de normen 62061 en 13849.
Het schema uit Bijlage B geeft de relatie weer tussen verschillende vormen van Safety
Instrumented Functions (SIFs) en andere controlfuncties.
2.6 Risicobeoordeling en classificatie van een SIF; de doelstelling van
dit rapport
Een belangrijk uitgangspunt bij het ontwerpen van een SIS is de eis die gesteld wordt
aan de kans op falen van een SIF. Aan een SIF wordt een hoge mate van
beschikbaarheid gesteld. Wanneer de beveiliging nodig is moet hij ook werken. Tabel 1
geeft de beschikbaarheideis aan voor SIFs die werken in de zogenaamde continuous
of high demand mode.
Bijvoorbeeld in een SIF met een PL d / SIL 2 classificatie mag tussen de 0 en
maximaal 1141 jaar niet meer dan 1x een fout optreden die leidt tot een gevaarlijke
situatie. In een installatie met 1000 SIFs met dezelfde klasse ‘mag’ er jaarlijks dan bij
maximaal 9 SIFs een gevaarlijke situatie ontstaan door niet goed functioneren van de
SIF!
Hiermee worden belangrijke eisen gesteld aan het ontwerp van het SIS en de kwaliteit
van de gebruikte componenten.
Target frequency of dangerous
failures to perform the safety Target average number of
ISO 13849 IEC 61511 / 62061 instrumented function (per years between dangerous
PL SIL hour) failures of a SIF
–5 –4
a Geen ≥ 10 to < 10 ~ 1,1 - 11
overeenkomst
–6 –5
b 1 ≥ 3 x 10 to < 10 ~ 11 - 38
–6 –6
c 1 ≥ 10 to < 3 x 10 ~ 38 - 114
–7 –6
d 2 ≥ 10 to < 10 ~ 114 - 1141
–8 –7
e 3 ≥ 10 to < 10
–9 –8
Geen 4 ≥ 10 to < 10 ~ 11415 - 114155
overeenkomst
Tabel 1 - PL en SIL levels - frequency of dangerous failures of the SIF in continuous mode of
operation
Pagina 9 van 39 Revisie: A, 27 september 2007
16. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Zowel de ISO als IEC gerelateerde normen kennen een aantal
beschikbaarheidniveaus, afhankelijk van de norm genaamd:
- ISO 13849 : PL – Performance Level
- IEC 61511 / 62061 : SIL – Safety Integrity Level
Het is afhankelijk van het risico dat de SIF beveiligt welk PL of SIL niveau moet worden
toegepast. Hoe groter het risico, des te kleiner de kans op falen van de SIF.
Middels een gedetailleerde risicobeoordeling van het te reduceren risico wordt het PL
of SIL niveau van een SIF bepaald. De drie normen stellen elk een eigen systematiek
voor het uitvoeren van een risicobeoordeling voor.
In dit rapport wordt de systematiek uitgewerkt die gebruikt gaat worden door TripleM
bij het advies aan haar klanten.
2.7 Probleemstelling en het effect op een SIL of PL bepaling
Rond het bepalen van een SIL of PL niveau bestaan een aantal meningen,
interpretaties, misverstanden die de kwaliteit van de bepaling geen goed doen.
In deze paragraaf een inventarisatie van ervaringen die kunnen leiden tot een
verkeerde toepassing van de normen of onvoldoende acceptatie bij de eindgebruiker.
In Bijlage C zijn uitspraken, stellingen en bevindingen opgetekend die voortkomen uit
gesprekken met klanten, leveranciers en adviseurs, alsmede ervaringen die TripleM
medewerkers vanuit hun werk hebben opgedaan.
Ervaringen
• Risicobeoordelingen t.b.v. een SIL / PL bepaling worden vaak door technici
uitgevoerd. De voorbeeldsystemen uit de normen worden vrij abstract opgevolgd.
Situatie-, gebruiker- en cultuurgerelateerde invloeden worden over het algemeen
niet of onvoldoende meegewogen.
• Het resultaat van een SIL / PL beoordeling bestaat uit een getal. Vastlegging van de
analyse met motivatie wordt niet, of onvoldoende uitgevoerd.
Het ontbreken van een goede onderbouwing van de SIL / PL bepaling geeft
terugkerende discussie over de hoogte van het bepaalde SIL / PL niveau. Het kan
leiden tot slechte acceptatie bij klanten of een onjuist ontwerp van het SIS (Bijlage J
geeft hiervan een voorbeeld).
• Hele machines en installaties of delen daarvan worden geclassificeerd met een SIL
of PL niveau; bijvoorbeeld de zogenaamde ‘klasse 2 machine’.
Komt helaas te vaak voor. Een SIL / PL niveau kan alleen toegekend worden aan
een enkele SIF! In deze gevallen richt men zich vaak teveel op het effect van een
calamiteit en is de waarschijnlijkheid van voorkomen onderbelicht of wordt in het
geheel niet beschouwd. Het effect is dan vaak het zwaarste geval dat een
installatie(deel) kan veroorzaken.
• Er zijn twee verschillende normen met verschillende tools om het SIL en het PL van
een machine-SIF te bepalen. De norm 13849-1 koppelt de niveaus uit beide normen
aan elkaar middels een tabel (zie Tabel 1).
Een risicobeoordeling uitgevoerd volgens het systeem van 13849 kan een andere
waardering geven dan uitgevoerd volgens 62061. Bijlage H geeft hiervan een
voorbeeld.
• De kans van optreden van een gevaarlijke situatie wordt door sommige adviseurs
onvoldoende meegenomen bij ernstige effecten. Zoals bijvoorbeeld de volgende
Pagina 10 van 39 Revisie: A, 27 september 2007
17. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
mening: gevaar op verlies van een hand mag niet lager geclassificeerd worden dan
SIL 2.
Een dergelijke stelling wordt door de systematiek van zowel de SIL als de PL norm
gevoed. Echter de kans van optreden is een belangrijke factor voor het bepalen van
het risico. Hoofdstuk 6 besteedt hieraan aandacht.
• Onderzoeken worden uitgevoerd door Arbo-diensten, machine fabrikanten,
leveranciers van veiligheidscomponenten of gespecialiseerde adviesbureaus. Er
ontstaat soms twijfel aan de deskundigheid of de (on)afhankelijkheid van de diverse
adviseurs. Naar mijn mening mede veroorzaakt door onvoldoende deugdelijk
uitgevoerde risicobeoordelingen.
De effecten van bovenstaande ervaringen kunnen zijn:
- Onvoldoende veilig ontwerp van machines/installaties (te laag SIL/PL level
bepaald).
- Er worden te zware (te dure) veiligheidsmaatregelen toegepast (te hoog SIL/PL
level bepaald), waardoor de klant geconfronteerd werd met zeer ingrijpende
wijzigingen (kosten v.s. baten niet in verhouding).
- Door verkeerde of onvoldoende onderbouwing kan een verkeerd ontworpen SIS
ontstaan.
- Onbegrip bij installatie-eigenaren door een onvoldoende duidelijke motivatie van de
risico’s.
- Onvoldoende onderbouwing van de beoordeling, waardoor twijfel ontstaat over de
nut en noodzaak van aanpassing van de installatie. Soms worden
beveiligingsmaatregelen hierdoor niet meer uitgevoerd.
- Door het niet meenemen van organisatorische en culturele invloeden kan er
onvoldoende aandacht ontstaan voor de invloed hiervan op de risico’s van het
gebruik van machines en installaties. Bijvoorbeeld de noodzaak voor goede training
m.b.t. het gebruik en de risico’s en het inzetten van personeel met voldoende
niveau. Dat zou zelfs kunnen leiden tot een minder zwaar uitgevoerde beveiliging!
Pagina 11 van 39 Revisie: A, 27 september 2007
18. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
3 Wat is het wettelijk kader voor functionele veiligheid
In dit hoofdstuk wordt het wettelijke kader rond functionele veiligheid toegelicht. Hoewel
de scope van dit rapport zich beperkt tot veiligheidsaspecten, ook een korte toelichting
op milieuwetgeving en economische belangen.
3.1 Veiligheidswetgeving
Het doel van functionele veiligheid is het beperken van veiligheidsrisico’s van machines
en procesinstallaties. In diverse wetgeving worden veiligheidseisen gesteld aan het
veilig kunnen gebruiken en de mogelijke effecten van genoemde apparatuur. In
hoofdlijn zijn drie typen veiligheidswetgeving te onderscheiden:
1. Wetgeving met betrekking tot externe veiligheid - (bescherming omgeving,
verantwoordelijkheid ondernemer).
2. Arbowetgeving – (bescherming werknemers, verantwoordelijkheid ondernemer).
3. Wetgeving met betrekking tot productveiligheid – (bescherming gebruikers,
verantwoordelijkheid fabrikant).
Externe veiligheid
Een definitie voor externe veiligheid is: de kans om buiten een inrichting te overlijden
als rechtstreeks gevolg van een ongewoon voorval binnen die inrichting waarbij een
gevaarlijke stof betrokken is (Bevi).
Het BRZO besluit stelt de volgende eis:
Artikel 5.1: Degene die een inrichting drijft, treft alle maatregelen die nodig zijn om zware
ongevallen te voorkomen en de gevolgen daarvan voor mens en milieu te beperken.
In het kader van deze wetgeving wordt van de verantwoordelijke verwacht dat de
risico’s van zijn bedrijfsvoering in kaart worden gebracht en maatregelen worden
genomen om de gevolgen tot een acceptabel minimum te beperken. Het toepassen
van functionele veiligheidssystemen behoort tot de maatregelen die in dit kader
genomen kunnen worden.
De aard van externe veiligheid is het beschermen van mens en milieu buiten de
inrichting. Ongevallen waarvan de effecten buiten de grenzen van een inrichting
gevolgen hebben, mogen niet veroorzaakt kunnen worden door een machine, zoals
bedoeld binnen het kader van de machinenormen ISO 13849 en IEC62061. Externe
veiligheid is derhalve gericht op procesinstallaties (zie ook hoofdstuk 5 voor het
verschil tussen machine en procesinstallatie).
Arbowetgeving
Arbowetgeving richt zich op de bescherming van medewerkers en aanwezigen binnen
een inrichting.
Het arbobesluit vermeld veiligheidseisen aan apparatuur en installaties. Met name in
de volgende hoofdstukken:
• HOOFDSTUK 3: INRICHTING ARBEIDSPLAATSEN
Artikel 3.2 Algemene vereisten: Arbeidsplaatsen zijn veilig toegankelijk en kunnen veilig
worden verlaten. Ze worden zodanig ontworpen, gebouwd, uitgerust, in bedrijf gesteld,
gebruikt en onderhouden, dat gevaar voor de veiligheid en de gezondheid van de
werknemers zoveel mogelijk is voorkomen.
• HOOFDSTUK 7 ARBEIDSMIDDELEN EN SPECIFIEKE WERKZAAMHEDEN
Stelt in diverse artikelen eisen aan de veiligheid van het arbeidsmiddel voor de werknemer
en het toepassen van beveiligingsinrichtingen.
Pagina 12 van 39 Revisie: A, 27 september 2007
19. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
In de arbobeleidsregels horende bij Hoofdstuk 7 wordt direct verwezen naar de
norm NEN 1050:
Beleidsregel 7.3 –4 Inventarisatie en evaluatie van gevaren van arbeidsmiddelen. Voor
machines en vergelijkbare arbeidsmiddelen wordt aan het gestelde in artikel 7.3, eerste
lid, van het Arbeidsomstandighedenbesluit voldaan indien de risico-inventarisatie en -
evaluatie is uitgevoerd volgens NEN-EN 1050:1997 "Veiligheid van machines. Principes
voor de risicobeoordeling"
Het toepassen van functionele veiligheidssystemen behoort tot de maatregelen die
getroffen kunnen worden om risico’s op arbeidsplaatsen en aan arbeidsmiddelen te
reduceren. Uitvoering conform de normen draagt bij aan een acceptabel
veiligheidsniveau.
Productveiligheidswetgeving
Ten aanzien van productveiligheid worden aan fabrikanten eisen gesteld. In Nederland
zijn deze eisen opgenomen in het warenwetbesluit. Specifieke eisen worden genoemd
in de Europese machinerichtlijn (warenwetbesluit machines, Machinery Directive
98/37/EC). Ook de machinerichtlijn stelt dat fabrikanten een risicoanalyse uitvoeren en
bij het ontwerp en de constructie
De normen 62061 (machines) en 61511 (proces
rekening houden met deze analyse. industrie) zijn beiden afgeleid van de 61508. De
De fabrikant is verplicht de machinegerelateerde norm 62061 is geharmoniseerd
benodigde veiligheidsmaatregelen te met de machinerichtlijn en de procesgerelateerde
nemen. 61511 niet. Uit H1 artikel 1 - 2a van de machinerichtlijn
valt af te leiden dat ook op procesinstallaties de
De machine gerichte normen ISO machinerichtlijn van toepassing is. Hoewel het
13849-1 en de IEC 62061 zijn toepassen van de norm 61511 voor het ontwerpen van
SIFs voor een procesinstallatie een juiste keuze is leidt
geharmoniseerd met de machine dit niet tot conformiteit met de machinerichtlijn. Een
richtlijn. Wanneer deze normen hiaat in de harmonisatielijst van de machinerichtlijn?
worden toegepast voor het Zie ook H5 voor het verschil tussen een machine en
ontwerpen van een SIS kan men een procesinstallatie.
ervan uit gaan te voldoen aan de
machinerichtlijn.
3.2 Milieuwetgeving
Het in paragraaf veiligheidswetgeving genoemde BRZO besluit stelt ook milieueisen.
Daarnaast stelt de overheid in milieuvergunningen specifieke eisen aan bedrijven ten
aanzien van het voorkomen van milieuschade bij calamiteiten.
Net als bij veiligheidsrisico’s kunnen bepaalde milieurisico’s veroorzaakt door storingen
in proces- en machine-installaties worden beheerst door het toepassen van functionele
veiligheidssystemen. Met name de procesgerelateerde IEC 61511 norm geeft een
beoordelingsystematiek om een SIL voor milieurisico’s te bepalen.
Het komt al voor dat milieuhandhavende overheidsinstanties vragen naar
beveiligingssystemen ontworpen volgens de IEC 61508 / 61511 normen.
3.3 Economische schade
Bedrijven kunnen eisen stellen om risico’s voor economische schade te beperken.
Economische schade kan veroorzaakt worden door:
- Schade en verlies aan productie, producten en productie-installaties
- Beschikbaarheid van installaties
- Imagoschade als gevolg van calamiteiten
Pagina 13 van 39 Revisie: A, 27 september 2007
20. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Daarnaast kunnen verzekeringsmaatschappijen eisen om maatregelen te nemen om
schade te voorkomen.
En net als bij veiligheidsrisico’s en milieurisico’s kan schade veroorzaakt door storingen
in proces- en machine-installaties worden beheerst door het toepassen van functionele
veiligheidssystemen.
Pagina 14 van 39 Revisie: A, 27 september 2007
21. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
4 Het belang van een gedegen risicobeoordeling van een
SIF
Al in 1995 publiceerde de Britse HSE een onderzoek naar oorzaken van incidenten
met industriële installaties en het aandeel van niet goed functionerende
besturingssystemen aan deze incidenten [Boek 1]. Hoewel er onvoldoende incidenten
zijn onderzocht, slechts 34, om harde conclusies te trekken, geeft het onderzoek wel
een indicatie met betrekking tot het effect van besturingssystemen op de veiligheid.
Een andere kanttekening is dat er sinds 1995 meer aandacht voor het ontwerpen van
SIFs is ontstaan waardoor een recent uitgevoerd onderzoek ongetwijfeld gunstiger
cijfers zal geven aan het effect van besturingssystemen. Onderstaand het resultaat van
het uitgevoerde HSE onderzoek:
Functional
requirements
Modification - 20% specification - 12%
Safety integrity
Maintenance - 12%
requirements
Operation - 3% specification - 32%
Installation and
Design and
commissioning -
implementation -
6%
15%
Figuur 5 – Resultaat HSE onderzoek – Out of control
Wat opvalt aan het resultaat van het onderzoek is dat 12% van de incidenten het
gevolg zijn van niet- of verkeerd gespecificeerde functionaliteit van besturingssystemen
met een veiligheidsfunctie. Bij maar liefst 32% van de incidenten zijn geen of onjuiste
eisen aan de betrouwbaarheid van de functies gesteld. Vertaald naar de huidige tijd en
de terminologie uit dit rapport betekend dit dat in maar liefst 32% van de incidenten de
risicobeoordeling van SIFs en de bepaling van het juiste SIL of PL niveau niet of niet
juist is gespecificeerd!
4.1 Het effect van fouten tijdens het ontwerpproces van SIFs
In het ontwerpproces van SIFs, zoals beschreven in het risicobeoordelingsproces,
zoals beschreven in hoofdstuk 2, zijn de volgende fasen te onderscheiden:
1. Risicoanalyse / Risico evaluatie effect fout groot
2. Risicobeoordeling SIF / bepaling SIL of PL
3. Ontwerp SIF / SIS effect fout kleiner
Ad. 1 Tijdens de risicoanalyse (bijvoorbeeld een HAZOP studie) worden gevaren
geïdentificeerd en risico’s daarvan ingeschat. Bij het in kaart brengen van gevaren van
machines en processen is de kans dat een gevaarscenario over het hoofd wordt
gezien reëel. Hiervan vindt dan ook geen risico-evaluatie plaats en zal geen
reducerende maatregel worden genomen.
Een systematische aanpak met meerdere, ter zake kundige, personen met
verschillende achtergrond kan een nauwkeurige inventarisatie van risico’s opleveren.
Pagina 15 van 39 Revisie: A, 27 september 2007
22. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Nog meer nauwkeurigheid wordt
verkregen door de risicoanalyse te Regelmatig worden er HAZOP studies uitgevoerd op
herhalen. Bijvoorbeeld in verschillende installaties waar al eerder een risicobeoordeling is
fasen van het ontwerpproces. gedaan, bijvoorbeeld na wijzigingen aan de
installatie. Hierbij komt het ook regelmatig voor dat
Minder gestructureerde methoden risico’s worden geregistreerd die eerder niet zijn
zoals bijvoorbeeld een ‘what-if gevonden. Ook bij scenario’s die niet door de
analyse’ of een ‘FMEA’ geven meer wijziging van de installatie zijn ontstaan!
kans op het niet signaleren van
risico’s.
De kans op herstel van een ‘vergeten risico’ is in principe alleen mogelijk bij een
herhaalde analyse. Het effect kan zijn dat gevaarlijke situaties onbekend en
onbeveiligd blijven, hetgeen kan leiden tot ernstige ongevallen.
Ad. 2 Het bepalen van een SIL of PL niveau vereist een gedegen risicobeoordeling.
Een verkeerd bepaald SIL / PL leidt tot over- of onderbeveiliging.
Bij een te hoog SIL / PL zal het SIS ontwerp een lagere foutgevoeligheid hebben dan
de aard van de beveiliging vereist. Vooral bij complexe SIFs, waarbij bijvoorbeeld
gebruik gemaakt wordt van geavanceerde meetapparatuur of productspecifieke
afsluiters kan dit leiden tot hoge extra kosten. Overbeveiliging (of het gevoel van) is de
oorzaak van wantrouwen bij eindgebruikers met een hoge verantwoordelijkheid voor
kostenreductie.
Bij een te laag bepaald SIL / PL zal het SIS ontwerp mogelijk gevoeliger voor fouten
zijn dan de aard van de beveiliging vereist. Dit kan leiden tot situaties waarbij de
beveiliging niet werkt wanneer nodig. Gevaarlijke situaties kunnen ontstaan die niet of
te laat worden opgemerkt.
De kans op correctie van een verkeerd SIL / PL is relatief klein. De risicobeoordeling
zal opnieuw uitgevoerd moeten worden. In de praktijk wordt dat niet gedaan tenzij er
aanleiding voor is. Bijvoorbeeld bij een foutsituatie of incident waarbij de oorzaak
onderzocht wordt.
Ad. 3 Het ontwerp van een SIF met bijbehorend SIS is een technisch ontwerp proces.
De eisen die aan het SIF zijn gesteld liggen vast in het SIL en PL en de functies zijn
bepaald in de risicobeoordeling. Ontwerpfouten, zoals bijvoorbeeld verkeerde lay-out
keuzes of rekenfouten, kunnen leiden tot een ontwerp dat niet voldoet aan de eisen.
Er volgt echter een validatie van het SIS, waarbij bepaald wordt of het ontworpen SIS
voldoet aan de eisen van de SIF. Hierdoor ontstaat een hoge mate van foutcorrectie.
4.2 De vereiste nauwkeurigheid van de risicograaf
Voor de beoordeling van risico’s voor het bepalen van het SIL of PL staan in de
betreffende normen [Norm 8, Norm 9 en Norm 4] systemen omschreven die ook wel
risicografen worden genoemd. Dergelijke systemen worden ook gebruikt voor het
beoordelen van risico’s bij een RI&E (volgens Arbo-wet artikel 5) of bijvoorbeeld een
HAZOP studie. Andere voorbeelden van risicografen die worden toegepast zijn
bijvoorbeeld de risicograaf die beschreven wordt in de NEN 1050 [Norm 1], het model
van Fine & Kinney of de in het verleden veel toegepaste NEN 954.
Al deze risicografen hebben als doel om een waardeoordeel te geven aan een bepaald
risico. De toepassing van het waardeoordeel verschilt echter. Bij een RI&E of een risico
analyse als een HAZOP studie of FMEA kan met behulp van een risicograaf een
prioriteit aan het risico worden gegeven. Deze prioriteit wordt gebruikt om te bepalen
welke risico’s het eerste worden aangepakt en binnen welk tijdspad. Een
Pagina 16 van 39 Revisie: A, 27 september 2007
23. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
onnauwkeurige toepassing van de risicograaf heeft tot mogelijk gevolg dat een
verkeerde prioriteit aan het risico wordt gegeven. Uiteindelijk zullen ook de lagere
prioriteiten worden aangepakt, waardoor deze fout zicht in de tijd automatisch herstelt.
Alleen bij de laagste risico’s bestaat de kans dat door een verkeerde
risicograafbeoordeling besloten wordt om het risico als aanvaardbaar te bestempelen
en geen maatregelen meer te nemen.
De risicografen uit de normen 61511, 62061 en 13849 geven een waardeoordeel aan
het risico, vertaald in een SIL of PL. Een verkeerd toegepaste risicograaf kan hier
leiden tot te hoge of te lage betrouwbaarheidseisen aan de SIF. Het gevolg is een
verkeerd ontworpen SIS. De effecten hiervan staan vermeld in paragraaf 4.1. Zoals
reeds gemeld is de kans op herstel van deze fouten niet groot.
De effecten van fouten bij het toepassen van een risicograaf voor het bepalen van een
SIL of PL zijn groter zijn en de kans van herstel veel kleiner dan bij risicografen
toegepast bij prioriteitsbepaling van risico’s uit een RI&E. Daarom moeten deze
risicografen nauwkeurig worden toegepast.
4.3 Wie past een risicograaf toe
Het ontwerpen van een SIF maakt meestal deel uit van een technisch ontwerptraject bij
nieuwbouw of renovatie van machines en procesinstallaties. In deze omgeving wordt
het SIL of PL bepaald door technici. Technici zijn vooral gewend te werken met
absolute gegevens, het verwerken van feiten en vastgestelde ervaringen. Waar
onduidelijkheid bestaat, ontstaat de neiging afspraken vast te leggen, bijvoorbeeld in
normen.
Het bepalen van een SIL of PL met behulp van een risicograaf is een kwalitatieve
risicobeoordeling. Bij een dergelijke kwalitatieve risicobeoordeling worden relatieve
waarden gebruikt, zoals bijvoorbeeld: licht, zwaar, mogelijk, waarschijnlijk, meestal
onmogelijk. Bij het toepassen van deze waarden zijn vaak interpretatieverschillen te
zien. Ellenlange discussies of een bepaalde gebeurtenis zelden of waarschijnlijk
optreedt, volgen. Uit onzekerheid worden de keuzes vaak te zwaar aangezet. De kans
op een te zwaar bepaalde SIL of PL is dan ook groter dan een te licht bepaalde.
Bijlage G geeft een overzicht van de beoordelingscriteria van de drie risicografen uit de
normen.
Om in de waarschijnlijkheidsbepalingen ook nog eens de effecten veroorzaakt door het
niveau van personeel, training en opleiding of de cultuur van een bedrijf mee te nemen
vereist begeleiding door een veiligheidskundige. In de praktijk worden dergelijke
effecten niet of nauwelijks meegenomen.
Om de risicografen bruikbaar te maken voor technici worden absolute waarden
toegepast en verklarende voorbeelden opgenomen in de normen. Met name de IEC
normen 61511 en 62061 geven dergelijke informatie. De risicograaf uit de ISO 13849
geeft geen absolute waarden mee en een minimale toelichting. Deze risicograaf biedt
het minste houvast voor technici.
Het toepassen van absolute waarden kan als nadeel met zich meebrengen dat de
context waarin de gebeurtenis plaatsvindt uit het oog verloren wordt. Bijvoorbeeld of
een scenario korter of langer dan 10 minuten duurt geeft een verschil in
waardebepaling (Fr – risicograaf 62061). Het moge duidelijk zijn dat deze 10 minuten
meer een maat is voor het verschil tussen kortdurende en langdurende scenario’s. met
een grijs gebied rond de 10 minuten.
Een risicograaf met weinig absolute metingen geeft de veiligheidskundige ruimte om in
een team ter zake kundigen te komen met een objectieve risicobeoordeling, passend
Pagina 17 van 39 Revisie: A, 27 september 2007
24. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
bij het scenario. Als de juiste personen niet voorhanden zijn kan beter gekozen worden
voor een meer sturende risicograaf met absolute meetwaarden of een toelichting die
de keuzes beperkt. Met de in dit rapport geselecteerde risicografen en toelichting in het
rapport moet een technisch team een goede SIL of PL bepaling kunnen uitvoeren.
Pagina 18 van 39 Revisie: A, 27 september 2007
25. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
5 Het risico van een procesinstallatie versus het risico van
een machine
Er wordt in de normen voor automatische systemen met een veiligheidsfunctie
onderscheid gemaakt tussen machines en procesinstallaties. Uit Figuur 4 blijkt dat de
normen ISO13849 en IEC 62061 bedoeld zijn voor machines. De norm IEC 61511
heeft dezelfde doelstelling maar dan voor procesinstallaties.
Voor het toepassen van de juiste normen is het van belang de specifieke verschillen
tussen machines en procesinstallaties met betrekking tot de veiligheidsrisico’s te
onderkennen.
5.1 De invloed van een machine op veiligheid
Een definitie van een machine is volgens de machinerichtlijn:
Machine: - een samenstel van onderling verbonden onderdelen of organen waarvan er ten
minste één kan bewegen, alsmede, in voorkomend geval, van aandrijfmechanismen,
bedienings- en vermogensschakelingen enz. die in hun samenhang bestemd zijn voor een
bepaalde toepassing, met name voor de verwerking, de bewerking, de verplaatsing en de
verpakking van een materiaal.
Een binnen het kader van dit rapport bruikbare eenvoudige definitie van een machine
is de volgende:
Een machine is een mechanisme dat een vorm van beweging of energie in een andere vorm
van beweging of energie kan omzetten.
Typische mogelijke machine-eigenschappen die van invloed zijn op het
veiligheidsrisico zijn:
- Draaiende of anders bewegende onderdelen,
- Grote snelheden
- Grote krachten
- Scherpe delen
- Hete delen
Typische machinegevaren zijn:
- Beknellen van ledematen
- Afrukken van ledematen
- Snijden aan machinedelen
- Branden aan hete oppervlakken
- Geraakt worden door wegspringende onderdelen van product of machine
- Elektrocutie
- Brand
Door het continu functioneren van de machine of het machineproces zijn gevaren
constant of met een relatief hoge frequentie aanwezig. Gevaren ontstaan zodra
beveiligingsfuncties niet (meer) aanwezig zijn. In veel gevallen zijn de gevaren bekend
en de risico’s voorspelbaar. In mindere mate is er sprake van het ontstaan van risico’s
veroorzaakt door onvoorspelbare storingen.
Machine SIFs functioneren daarom vooral in een zogenaamde ‘continuous- of high
demand mode of operation’ .
De gevaareffecten hebben vooral betrekking op personen die direct aan de machine
werken of in de directe nabijheid van de machine aanwezig zijn. Machinerisico’s die
groepen personen treffen mogen niet beveiligd worden door een enkele SIF. Reductie
van het groepsrisico door inherente veiligheidsmaatregelen is hier meer op zijn plaats.
Pagina 19 van 39 Revisie: A, 27 september 2007
26. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Vaak is het gevaareffect een direct gevolg van een handeling van een persoon en treft
het deze persoon zelf.
Door voorkomende bewegingen op hoge snelheden is het beperken van schade bij
een optredend effect minder goed mogelijk. Ontsnappen aan het gevaar is dan alleen
mogelijk door in te grijpen voordat het gevaar werkelijk optreed.
5.2 De invloed van een procesinstallatie op veiligheid
Er zijn vele definities van een proces te geven. Een definitie binnen het kader van dit
rapport die heel duidelijk het verschil maakt met een machine is de volgende:
Procesinstallaties zijn installaties die grondstoffen omzetten in halffabrikaten of
eindproducten door middel van chemische of fysische bewerkingen.
Typische mogelijke proceseigenschappen die van invloed zijn op de veiligheid:
- Verwerking van stoffen met chemische eigenschappen
- Ontstaan van reacties door het bewerken van stoffen
- Giftige dampen
- Explosie
- Brand
Typische procesgevaren zijn:
- Vrijkomen van giftige, bijtende, brandbare stoffen of dampen
- Vergiftiging
- Verstikking
- Verbranding
- Brandgevaar
- Explosiegevaar
Gevaren kunnen ontstaan door (ver)storingen in het proces. Dergelijke gevaren mogen
niet met een grote frequentie of continu aanwezig zijn. Door onbekende of
onverwachte verstoringen in het proces zijn niet alle gevaren voorspelbaar. Proces
SIFs functioneren vooral in een zogenaamde ‘low demand mode of operation’.
De gevaareffecten kunnen betrekking hebben op personen die in de nabijheid van de
installatie aanwezig zijn, maar ook op grote gebieden rond een fabriek (bijvoorbeeld
een gifgaswolk die een heel woongebied bereikt). Externe veiligheid kan dan ook van
toepassing zijn op procesinstallaties.
Mogelijk kan escalatie van het gevaar worden voorkomen door het tijdig ingrijpen in de
procesvoering. Ook kan er voldoende tijd zijn tussen het signaleren van een storing en
het optreden van de gevaarlijke situatie, waardoor ontsnappen aan het gevaar
(evacuatie van groepen) mogelijk is.
5.3 Verschil in risicografen voor de beoordeling van het
veiligheidsrisico van machines en procesinstallaties
Paragraaf 5.1 en 5.2 laten het verschil zien tussen het mogelijk effect van een
machine-incident een proces-incident; samengevat:
Machine: enkel persoon, vooral risico voor beschadiging ledematen
Proces: groepsrisico mogelijk, risico voor aantasting lichaamsfuncties door
bijvoorbeeld vergiftiging, verstikking of verbranding.
Verschillen in mogelijkheid van optreden gevaar:
Machine: continu aanwezig en ontstaat bij wegvallen beveiliging (high demand mode),
kleine kans om te ontsnappen of het effect te beperken.
Pagina 20 van 39 Revisie: A, 27 september 2007
27. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Proces: heeft een lage frequentie van optreden (soms jaren) en ontstaat na
(ver)storing van het proces (low demand mode), mogelijk voldoende tijd om
te ontsnappen aan het effect, de schade te beperken of zelfs het gevaar te
voorkomen.
Door de verschillen tussen machines en procesinstallaties is het noodzakelijk om voor
de risicobeoordeling van de SIFs verschillende risicografen toe te passen. Bijlage D en
Bijlage E laten risicografen zien die vooral gericht zijn op de specifieke machine
risico’s. Bijlage F is een risicograaf voor procesinstallaties.
5.4 Een machine met een procesrisico en een proces met een
machinerisico
In de praktijk komen regelmatig combinaties van machines en procesinstallaties voor
als het de veiligheidsrisico’s betreft.
Bijvoorbeeld de volgende verpakkingsmachine-installatie:
De installatie bestaat uit typische machines die flessen vloeistof uitvullen en het inpakken
ervan in dozen afhandelen. De bewerkingen en de risico’s van deze installatie zijn typerend
voor een machine. De vloeistof die in de vulmachine wordt uitgevuld heeft een laag vlampunt
en is explosief. Verstoringen in het vulproces kunnen leiden tot het ontstaan van explosieve
dampen met een explosie tot gevolg. Het ontstaan van dit gevaar en de effecten (explosie
met een groot gevolggebied en mogelijk meerdere slachtoffers) zijn typerend voor een
proces.
Of dit voorbeeld van een procesinstallatie:
In een productieproces voor injectievloeistof wordt handmatig een poedervormige grondstof
toegevoegd via een stortkabinet. De bewerking en de risico’s van de installatie zijn typerend
voor een proces. Diverse stoffen worden gemengd, een chemische reactie vindt plaats. Het
vloeistofmengsel is toxisch. Direct onder het stortkabinet bevindt zich een roterende zeef die
de poederdeeltjes tot een bepaalde grootte reduceert waarna het poeder in de vloeistof
wordt geïnjecteerd. Het storten van het poeder in het stortkabinet is een typische
machinehandeling. Om de zeef te inspecteren kan het stortrooster worden opgelicht. De
operator kan bij de roterende zeef komen. De zeef roteert met grote snelheid en de
zeefmessen zijn zeer scherp. Verlies van een vinger is mogelijk bij inspectie van een
roterende zeef.
Het is belangrijk om bij dergelijke combinatie–installaties de SIFs van het machinedeel
en het procesdeel te onderscheiden en de juiste bijpassende norm toe te passen.
Wellicht minder herkenbaar is het voorbeeld van een procesinstallatie met een
monsternamepunt waar, in een bepaalde procesfase, vloeistof bijna het kookpunt
bereikt. De situatie is tijdens deze procesfase gedurende enkele uren continu
aanwezig. Indien een monster wordt genomen in deze fase is de kans op verbranding
van de handen zeer groot. Het aftappen tijdens de hete fase wordt geblokkeerd door
een temperatuurmeting gekoppeld aan een automatische afsluiter. Dit is een ‘high
demand’ situatie zonder groepseffect. Voor het beoordelen van het risico van een
dergelijke ‘high demand’ situatie is de procesrisicograaf niet geschikt. De machine
risicograaf biedt ook in dit voorbeeld uitkomst.
Voor het bepalen van het SIL of PL van de SIFs voor de machine en het ontwerp van
het SIS worden de normen13849 of 62061 toegepast. Voor het procesgedeelte de
norm 61511.
Het voordeel van toepassing van de IEC normen 62061 en 61511 is dat voor het
ontwerp en de verificatie van het SIS van zowel de machine als het procesdeel
vergelijkbare, op de IEC 61508 gebaseerde, technieken worden gebruikt.
Pagina 21 van 39 Revisie: A, 27 september 2007
28. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
6 Het bepalen van het Safety Integrity- of Performance Level
met behulp van een risicograaf
De risicografen uit de normen maken allemaal gebruik van de definitie risico, als functie
van het effect dat een gevaar kan veroorzaken en de kans dat dit effect ook werkelijk
optreedt:
Risico = effect van het gevaar x kans van optreden
Weergegeven in de grafiek van Figuur 6.
Middels de risicograaf worden
het effect van het gevaar en de
kans dat het effect optreedt
bepaald. De resultante bepaalt
de vereiste minimum
risicoreductiefactor die de SIF
moet realiseren. Weergegeven
als het zogenaamde SIL of PL
van de SIF.
Een groot risico (ernstige
gevolgen en een grote kans van
optreden), het donkerrode
gebied in Figuur 6, mag niet
middels een enkele SIF worden
beveiligd. Het ontwerp dan
dusdanig wijzigen dat dit risico niet Figuur 6 - Risico
voor kan komen.
Bij een klein risico (lichte gevolgen en een kleine kans van optreden), het
witte/lichtrode gebied, is het wellicht niet nodig om te beveiligen of kan een SIF worden
ontworpen zonder specifieke risicoreductieeisen.
In de praktijk heeft men de meeste moeite met het bepalen van de kans van optreden
van een gevaareffect. Het meest kritisch te bepalen risico wordt daarom gevormd door
een ernstig effect met een kleine kans van optreden. Mogelijk kan een lagere SIL/PL
bepaald worden door de kans lager in te schalen. In dat geval dient de kans van
optreden nauwkeurig te worden bepaald. Een verkeerde bepaling kan nare gevolgen
hebben.
6.1 Het toepassen van een risicograaf voor machines
6.1.1 De keuze van de risicograaf
Voor machines kan worden gekozen uit twee normen: IEC 62061 of IEC 13849. Beide
normen hebben een eigen risicograaf (Bijlage D en Bijlage E). Tabel 4 uit de norm
13849-1 geeft de overeenkomst tussen de Performance Levels uit de norm en de
Safety Integrity Levels uit de normenfamilie 61508 weer:
Pagina 22 van 39 Revisie: A, 27 september 2007
29. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
PL SIL Average probability of a dangerous Failure per Hour 1/h
to < 10
–5 –4
a Geen overeenkomst ≥ 10
to < 10
–6 –5
b 1 ≥ 3 x 10
–6 –6
c 1 ≥ 10 to < 3 x 10
to < 10
–7 –6
d 2 ≥ 10
to < 10
–8 –7
e 3 ≥ 10
Tabel 2 - Overeenkomst PL en SIL
Met deze tabel zijn de resultaten van de risicobeoordeling van beide normen aan
elkaar gekoppeld. De risicografen uit beide normen zouden dan tot hetzelfde resultaat
moeten leiden. In Bijlage H is een risicobeoordeling uitgewerkt voor een machine SIF
met gebruik van de risicograaf uit de norm ISO 13849 en vervolgens nogmaals met de
risicograaf uit de norm IEC 62061. De uitkomst is niet gelijk. De PL is c (SIL 1) terwijl
de SIL op 2 (PL d) uitkomt. Dit verschil in uitkomst wordt voornamelijk veroorzaakt door
de beperkte mogelijkheid in de ISO 13849 risicograaf om de kans van voorkomen en
het beperken van het effect te bepalen.
Om verschil te voorkomen is het van belang om één risicograaf te gebruiken,
voor het bepalen van zowel de SIL en de PL van een SIF.
In Figuur 7 is te zien dat bij de PL het
zwaartepunt bij het effect ligt. De Injury
kansinvloed is veel beperkter. Dit wordt Reversable Irreversable
mede veroorzaakt doordat de PL maar twee
Broken limbs,
Dead, losing
losing finger
practitioner
effectgradaties kent: reversible injury en
eye, arm
First aid
irreversible injury. De effect (injury)-keuze is Medical
eenvoudig. De kansbepaling is beperkt en
relatief eenvoudig (zie ook Bijlage D). Het PL SIL
resultaat is een relatief eenvoudig toe te e 3
passen risicograaf. De mogelijkheden om d 2
het risico ook afhankelijk te laten zijn van c 1 !
menselijke invloeden als bijvoorbeeld b 1
training, niveau en gedrag zijn te beperkt bij a a
de PL risicograaf. Het gevolg kan zijn een 62061 1 2 3 4
onacceptabel lage beveiliging voor het 13849 S1 S2
gevaar van reversibele verwonding of een
onnodig zware beveiliging bij gevaar voor SIL PL
irreversibele verwonding.
De SIL risicograaf laat vooral in het veel Figuur 7 – PL en SIL afhankelijkheid van het effect
voorkomende effectgebied van serieuze
verwondingen (Se 2 en 3) een brede range van SIL klassen zien. Dat houdt in dat de
werkelijke SIL mede bepaald wordt door de ‘kans van voorkomen’ parameters. Dat
geeft meer mogelijkheden om een nauwkeurig afgestemd SIL te bepalen.
Zowel voor het bepalen van het PL als het SIL van een machine is het advies te kiezen
voor de risicograaf uit de IEC 62061 norm (Bijlage E).
De volgende kanttekeningen zijn te maken bij de IEC 62061 risicograaf:
- De risicograaf maakt het mogelijk het hoogste risico (Cl 14-15 in combinatie met Se
4) te beveiligen met een enkele SIF (SIL3). Het heeft echter de voorkeur bij een
Pagina 23 van 39 Revisie: A, 27 september 2007
30. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
dergelijk hoog risico het machineontwerp aan te passen, waardoor het risico
afneemt of niet middels een SIF beveiligd wordt.
- Bij het zwaarste effect in combinatie met een zeer lage kans van optreden van dit
effect wordt nog steeds een SIF met een SIL2 toegepast. Bij een dergelijke lage
effectkans kan de SIF naar een SIL1 niveau. Dit vereist wel een nauwkeurige
inschatting van de lage effectkans.
Het resultaat is samengevat in een gemodificeerde IEC 61062 risicograaf waarin
opgenomen de PL. Deze risicograaf is toepasbaar bij de risicobeoordeling van
machines voor zowel de SIL als de PL bepaling. In Bijlage I is deze risicograaf
opgenomen.
6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid
De norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgen
voor de gezondheid (Se-Severity factor):
Arbeids-
Herstel- geschikt
Se tijd: na herstel: Toelichting:
1 Reversibel Eerste hulp Geen 100% Lichte verwondingen, waarbij na eerste
noodzakelijk hulp behandeling het werk weer kan
hervatten. Bijvoorbeeld: snee,
schaafwond, lichte kneuzing, e.d.
2 Reversibel Behandeling Kort (tot 100% Zwaardere verwondingen waarbij
noodzakelijk max. behandeling door een arts noodzakelijk
enkele is of waarbij het werk pas na enige
weken) hersteltijd (ziektewet) hervat kan worden.
Bijvoorbeeld: diepe wond, kneuzing,
verrekte of gescheurde pees, gebroken
vinger.
3 Irreversibel Gebroken Langer 100% Zware verwondingen en verlies
ledematen, ledematen, waarbij het na hersteltijd,
verlies mogelijk is om hetzelfde werk te
vinger(s) hervatten. Bijvoorbeeld het verlies van
een vinger of zwaardere botbreuken.
4 Irreversibel dood, verlies n.v.t. < 100% Dood of zware verwondingen waarna het
arm / oog Lang 100% niet mogelijk is om, na herstel, het werk
e.d. (revali- met dezelfde productiviteit te hervatten.
datie) Of waarna een langdurig
revalidatietraject volgt. Verlies van een
duim, hand, oog, voet, ernstige
brandwonden.
Tabel 3 - Se - ernst van de gevolgen van een gevaar
Toelichting:
De norm belicht de ernst van de gevolgen vooral vanuit een zakelijk perspectief, met
als basis hoe snel en hoe volledig is de persoon weer productief.
Een verwonding waarbij het werk alleen direct kan worden hervat door het aanbieden
van aangepast werk valt onder de zwaardere verwondingen (Se 2).
Pagina 24 van 39 Revisie: A, 27 september 2007
31. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Kleine littekens zijn weliswaar irreversibel maar geven geen nadelige bijeffecten
(cosmetische effecten worden niet beschouwd) en worden als reversibel gekenmerkt
(Se 1 of 2). Bij bijvoorbeeld brandwonden kunnen ernstige littekens ontstaan. In deze
situatie kan het herstel van verwonding en littekens langdurig zijn (Se 4).
Kanttekeningen:
De volgende situaties zijn persoonsafhankelijk en worden niet beschouwd bij het
bepalen van de Se - factor. In voorkomende gevallen kunnen deze situaties een rol
spelen. Mogelijk door schadeclaims van betreffende personen.
De kwaliteit van het leven van de persoon zelf blijft buiten beschouwing. Bijvoorbeeld
het verlies van een pink heeft geen gevolgen voor bepaald werk dat de persoon
verricht en hij zal na een niet al te lange hersteltijd 100% arbeidsgeschikt zijn (Se 3).
Echter zijn grote passie, pianospelen, kan hij zonder pink niet meer met dezelfde
kwaliteit uitvoeren dan voorheen (vergelijkbaar met Se 4).
Psychische schade veroorzaakt door de schokkende ervaring van een ongeluk (een
trauma) kan leiden tot arbeidsongeschiktheid met een lange hersteltijd of zelfs
blijvende arbeidsongeschiktheid. De persoon die zijn collega een zwaar
machineongeluk ziet krijgen kan een langere hersteltijd hebben dan de getroffene zelf!
6.1.3 Bepaling van de kans op schade met een bepaalde ernst
De kans dat schade voor de gezondheid met een bepaalde ernst ook daadwerkelijk
optreed is afhankelijk van de volgende drie factoren:
- frequentie en duur van de blootstelling (Fr – frequency)
- mogelijkheid van optreden van een gevaarlijke gebeurtenis (Pr - probability)
- mogelijkheid om de schade te voorkomen of te beperken (Av – avoiding)
Fr - frequentie en duur van de blootstelling
Het inschatten van de frequentie en de duur van de blootstelling kan worden gedaan
door met de volgende aspecten rekening te houden:
- Waarom ben je er - De noodzaak van het verblijf in de gevaarlijke zone (denk niet
alleen aan normale bedrijfsvoering, maar ook aan onderhoud, reparatie, storing,
e.d.).
- Wat doe je er - De aard van de werkzaamheden in de gevaarlijke zone
(bijvoorbeeld toevoegen van materiaal, verwijderen van een afgekeurd product).
Vervolgens kan de frequentie en de tijdsduur van het scenario worden bepaald en de
Fr-factor worden vastgesteld met behulp van Tabel 4:
Fr - Frequentie en duur van het scenario
duur > duur <=
10 min 10 min freq. scenario
5 5 <= 1 h
5 4 > 1h tot <= 1 dag
4 3 > 1 dag tot <= 2 weken
3 2 > 2 weken tot <= 1 jaar
2 1 > 1 jaar
Tabel 4 - Se - frequentie en duur van het scenario
Pagina 25 van 39 Revisie: A, 27 september 2007
32. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Toelichting:
De frequentie is de gemiddelde tijd tussen de keren dat men aanwezig is in de
gevaarlijke zone.
Om goed inzicht te verkrijgen van de handelingen aan een bepaalde machine of in een
specifieke zone is het aan te bevelen om een taak risico analyse van de
werkzaamheden uit te voeren.
Pr - mogelijkheid van optreden van een gevaarlijke gebeurtenis
De mogelijkheid van optreden van een gevaarlijke gebeurtenis wordt bepaald door:
- De voorspelbaarheid van het gedrag van de machine. Een belangrijke factor hierbij
is de betrouwbaarheid van de componenten, of
- de mogelijk te verwachten menselijke handelingen die kunnen leiden tot een
gevaarlijke situatie.
De Pr-factor kan worden bepaald met Tabel 5:
Pr - Mogelijkheid van optreden van een gevaarlijke gebeurtenis
Voorspelbaarheid machinegedrag; Mogelijkheid van menselijke
Betrouwbaarheid componenten (mits falen handelingen die kunnen leiden
Pr een gevaarlijke situatie veroorzaakt) tot een gevaarlijke situatie.
1 Verwaarloosbaar Soort component faalt niet of falen kan Niet mogelijk.
niet leiden tot gevaar.
2 Zelden Het is niet te verwachten dat soort Niet te verwachten.
component zal falen.
3 Mogelijk Soort component kan falen. Is mogelijk.
4 Waarschijnlijk Soort component zal waarschijnlijk Is te verwachten.
falen.
5 Erg hoog Soort component niet geschikt voor Erg groot.
applicatie. Zal na verloop van tijd zeker
falen.
Tabel 5 - Pr - mogelijkheid van optreden gevaar
De volgende aandachtspunten die van invloed kunnen zijn op het menselijk handelen:
- Stress / vermoeidheid – veroorzaakt door werkdruk of specifieke
taakeigenschappen (Pr ≥ 3).
- Kennis machinegedrag – Het machinegedrag is onvoldoende in kaart gebracht (Pr
≥ 3).
- Training – personeel is onvoldoende op de hoogte van de mogelijke gevaren (Pr ≥
3). Alleen bij training met periodieke herhaling en door toetsing geverifieerde kennis
is een Pr < 3 mogelijk.
- Gedrag – Personeel schat risico’s onvoldoende in of gaat er makkelijk mee om (Pr
≥ 4). De veiligheidscultuur is onvoldoende; geen actief veiligheidsbeleid: te weinig
aandacht bij management voor veiligheid, management voert geen corrigerende
maatregelen (Pr ≥ 4).
- Complexe machine – de machine is complex, risico’s zijn niet goed te overzien, er
gebeuren meerdere dingen tegelijk waardoor personeel afgeleid kan worden van het
gevaar (Pr ≥ 3).
Pagina 26 van 39 Revisie: A, 27 september 2007
33. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Toelichting:
Normaal functioneren van een machine is voorspelbaar machinegedrag. Door falen
van componenten kan de machine niet te voorspellen gevaarlijk gedrag vertonen.
Wanneer het normaal functioneren van de machine niet volledig in kaart is gebracht of
bedienend personeel onvoldoende is geïnformeerd kan normaal machinegedrag
onvoorspelbaar zijn. Bijvoorbeeld onverwacht inschakelen van machinedelen bij een
opstartprocedure.
Let op! Ook het product dat door de machine wordt verwerkt kan leiden tot niet
voorspelbare gevaarlijke situaties. Bijvoorbeeld het blik dat verpakt moet worden en
vastloopt in de verpakkingsmachine. Een situatie die kan ontstaan door
beschadigingen aan, of afwijkende specificaties van het blik. Een ander voorbeeld zijn
wegschietende delen van werkstukken in een bewerkingsmachine. Te verwerken
producten en materialen worden ook als component beschouwd!
Ook bij niet falende componenten kunnen situaties bestaan waarbij menselijk handelen
kan leiden tot verwondingen. Bijvoorbeeld normaal functionerende machines, waarbij
een hand in een draaiend deel wordt gestoken.
Om goed inzicht te verkrijgen van de handelingen aan een bepaalde machine of in een
specifieke zone is het ook voor de Pr-factor aan te bevelen om een taak risico analyse
van de werkzaamheden uit te voeren.
Machinefabrikanten die machines bouwen voor onbekende gebruikers (in principe alle
seriematig gebouwde machines) kunnen geen rekening houden met de specifieke
oorzaken van menselijk falen. Indien menselijk falen tot een gevaarlijke situatie kan
leiden moeten deze fabrikanten een Pr ≥ 4 aanhouden.
Av - mogelijkheid om de schade te voorkomen of te beperken
De mogelijkheid om de schade te voorkomen of te beperken is afhankelijk van de
volgende factoren:
- Het ontwerp van de machine, waardoor de mogelijkheid ontstaat om gevaar tijdig te
signaleren en te ontwijken.
- Menselijke eigenschappen. Herkent men het gevaar, zodat tijdig ingrijpen mogelijk
is.
Tabel 6 geeft de mogelijke Av-factoren weer:
Av - mogelijkheid voorkomen of beperken van schade
Av Machineontwerp: Menselijke factoren:
1 Mogelijk Lage snelheid, herkenbaarheid gevaar, Kennis van, of ervaring met
voldoende ruimte de gevaren.
3 In bijzondere Lage snelheid, herkenbaarheid gevaar, Onvoldoende kennis van of
gevallen mogelijk obstakels in vluchtroute, of ervaring met de gevaren.
Alarmsignalering in combinatie met
voldoende tijd.
5 Onmogelijk Hoge snelheid, gevaar niet herkenbaar
of niet zichtbaar, geen vluchtruimte.
Tabel 6 - Av - mogelijkheid voorkomen of beperken schade
Pagina 27 van 39 Revisie: A, 27 september 2007
34. Risicobeoordeling voor het ontwerp van automatische systemen met
een veiligheidsfunctie
Factoren met betrekking tot het ontwerp van de machine:
- Snelheid waarmee een gevaarlijke situatie tot schade leidt of de snelheid waarmee
een gevaarlijke situatie ontstaat. Plotseling optreden: Av=3, snel optreden: Av=5,
langzaam optreden met voldoende tijd om situatie in te schatten en weg te komen:
Av=1.
- Weg kunnen komen. Voldoende ruimte om tijdig weg te komen van het gevaar:
Av=1. Obstakels in de vluchtroute: Av=3. Nauwe of gesloten ruimten: Av=5.
- De herkenbaarheid van het gevaar. Niet zichtbare en gevaarlijke objecten zoals
bijvoorbeeld hete oppervlakten, scherpe snijdende onderdelen: Av=5. Indien deze
objecten duidelijk herkenbaar zijn als gevaarobject en zichtbaar: Av=1. De
aanwezigheid van duidelijke waarschuwingssignalen of markeringen: Av=1.
- Alarmsignalering. Wanneer alarmsignalering wordt toegepast bij optredend gevaar
in combinatie met voldoende tijd en ruimte: Av=3.
Menselijke factoren:
- Kennis van de gevaren. Personeel dat getraind is in het herkennen van de
gevaren van de machine: Av=1. Indien dit niet het geval is: Av=3. Dit
- Ervaring: Personeel dat ruime kennis en ervaring heeft in de bediening van de
machine en de herkenning van de gevaren: Av=1. Indien niet Av=3.
6.2 De risicograaf voor procesinstallaties
6.2.1 De keuze van de risicograaf
In hoofdstuk 5 is het verschil tussen een machine en een procesinstallatie beschreven
en de noodzaak om voor SIFs van procesinstallaties op een andere wijze de risico’s te
beoordelen. De IEC 61511 is de norm die specifiek voor procesinstallaties wordt
toegepast. In Bijlage F is de risicograaf van deze norm opgenomen.
6.2.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid
Het bepalen van het effect van een procescalamiteit is gebaseerd op het groepsrisico.
Het is niet de ernst van het effect op een persoon maar de hoeveelheid doden of zwaar
gewonden dat de ernst bepaald.
De norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgen
(C - consequence factor):
C - Ernst van de gevolgen
CA Verwonding
CB Zwaar gewonde / Groepseffect range 0,01 tot 0,1
dode
CC Meerdere doden / Groepseffect range > 0,1 tot 1,0
zwaar gewonden
CD Veel doden / zwaar Groepseffect range > 1,0
gewonden
Tabel 7 - C - ernst van de gevolgen van een gevaarlijke gebeurtenis
De groepseffect-range wordt bepaald door het aantal personen dat in het getroffen
gebied aanwezig is, dat blootgesteld wordt aan het gevaar en de hoeveelheid
brandbaar of toxisch materiaal dat vrijkomt in het getroffen gebied:
Pagina 28 van 39 Revisie: A, 27 september 2007