IPS seminarium om SIL
Download
Report
Transcript IPS seminarium om SIL
WeibullKonsult AB
IPS seminarium
SIL-bestämning
IPS seminarium om SILbestämning
2014-11-25
Nov 2014: IPS seminarium om SIL-bestämning
1
Seminariets syfte
Presentera en ny handledning om SILbestämning och ge smakprov på några
viktiga aspekter.
Presentera resultatet av en enkät om SILbestämning som IPS genomförde hösten
2013.
Belysa erfarenheter av SIL-bestämning –
perspektiv från en anläggningsägare, en
konsult och ett tredjeparts kontrollorgan.
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
2
1
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Dagens program
10.00
Resultat av IPS enkät
Blenda Weibull
Weibullkonsult
10.45
Presentation av IPS nya handledning
Blenda Weibull
12.00
Lunch
13.00
Erfarenheter från genomgång av en befintlig
anläggning
Magnus
Karlsson,
COWI
13.40
Erfarenheter från arbete tillsammans med några
kunder
Magnus
Karlsson,
COWI
14.20
Kaffe
14.40
SIL-bestämning ur ett ackrediterat kontrollorgans
perspektiv
Mats Dahlrot,
Inspecta
15.20
Frågor och diskussion
Alla
Nov 2014: IPS seminarium om SIL-bestämning
3
Handledningens innehåll
Sammanhanget
Översikt över standarden
Barriärtänkande
Riskkriterium – tolerabel risk
Definition av SIF
Bestämning av integritetsnivå
Säkerhetskravspecifikation
Drift och underhåll
Handlingsprogram
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
4
2
WeibullKonsult AB
IPS seminarium
SIL-bestämning
IPS enkät om SIL-bestämning
Nov 2014: IPS seminarium om SIL-bestämning
5
Svarsfrekvens
Tillverkande medlemmar: 10 svar av 31 st
(30%)
Konsultmedlemmar: 7 svar av 25 st
Sammantaget:
låg svarsfrekvens – svårt att dra bestämda
slutsatser
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
6
3
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Av 10 tillverkande medlemmar
6 medlemmar tillämpade standarden
4 medlemmar tillämpade inte standarden
Inga planer (1)
Ej tillämplig (1)
Få ändringar, ej prioriterat (1)
Förberedelser pågår (1)
Av de 6 som tillämpar standarden:
67 % petrokemi/raffinaderi
33 % livsmedel- + massaindustri
Nov 2014: IPS seminarium om SIL-bestämning
7
Av 7 konsultmedlemmar
6 tillämpar standarden och avser att fortsätta
med det
1 avser inte att fortsätta tillhandahålla den
tjänsten
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
8
4
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Erfarenheter
Nov 2014: IPS seminarium om SIL-bestämning
9
Tillämpning
Vid utbyggnader och förändringar i befintlig
anläggning (alla)
Genomgång av befintliga anläggningar
(hälften av svarande)
2-5% av alla instrumentfunktioner bedöms
vara säkerhetskritiska (15-20% av
förreglingsfunktionerna, en uppgift)
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
10
5
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Erfarenheter
12 (av 12) anser att standardens sätt att
arbeta har gett fördelar:
Höjd säkerhetsnivå
Bättre drifttillgänglighet, lägre kostnader
Bättre systematik
Nackdelar nämns av tre medlemmar:
Svårighet att avgränsa tillämpning
Ökad dokumentation
Planlöst utbyte till SIl-klassat, låg kompetens
Nov 2014: IPS seminarium om SIL-bestämning
11
Svårigheter
Svårgheter vid tillämpningen
14
12
10
8
6
4
Serie 1
2
0
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
12
6
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Vidtagna åtgärder
14
12
10
8
6
4
Konsulter
Tillverkande
2
0
Nov 2014: IPS seminarium om SIL-bestämning
13
Resultat – befintlig instrumentering
I stort sett oförändrad utformn.
Förbättringar krävdes
Minskat behov av redundans
Ej säkerhetskritisk
40-90%
10-50%
0-5%
0-10%
~60% – ingen förändring
~30% – förbättringar genomförda
~10% - förenkling möjlig
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
14
7
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Metoder för SIL-bestämning
Nov 2014: IPS seminarium om SIL-bestämning
15
Generellt
De flesta genomför SIL-bestämningar med
stöd av extern konsult
Man använder samma riskanalys som för
projektet som helhet. Konsulter integrerar
också riskanalysen i SIL-bestämningen.
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
16
8
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Val av riskkriterium
8
7
6
5
4
Konsult
Tillverkande
3
2
1
0
Extern källa
Ägarens
riskmatris
Nov 2014: IPS seminarium om SIL-bestämning
Konsultens
riskmatris
Ägarens
numeriska
kriterium
17
Metoder och typ av matrismetod
12
5
10
4
8
3
6
4
2
2
1
0
0
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
18
9
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Detaljerad metodik
Baseras i huvudsak på bedömningar i
kompetent grupp
Hänsyn tas i de flesta fall till:
Närvaro av personal
Eskalering, såsom sannolikhet för antändning,
spridning, skada
Man går samtidigt igenom centrala delar av
SRS (säkerhetskravspecifikation)
De flesta använder inget datorbaserat
hjälpmedel. Exsilentia och SSG mall nämns.
Nov 2014: IPS seminarium om SIL-bestämning
19
Avvikande metodik
En svarande baserar SIL-bedömning på
utsläppsscenarier och tar inte hänsyn till
eskalering
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
20
10
WeibullKonsult AB
IPS seminarium
SIL-bestämning
Svårigheter vid SIL-bestämning
10
9
8
7
6
5
4
3
2
1
0
Konsulter
Tillverkande
Nov 2014: IPS seminarium om SIL-bestämning
21
Använd informationen från
enkäten med försiktighet!
(för få svar)
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
22
11
WeibullKonsult AB
2014-11-25
SIL i praktiken
Översikt och SIL-bestämning
Nov 2014: IPS seminarium om SIL-bestämning
1
Dagens presentation
Barriärtänkande
Riskkriterium
Kompletterande skyddsfunktioner
Bestämning av integritetsnivå
Olika principer, konsistens mot riskkriterium
Metoder och formulär
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
2
1
WeibullKonsult AB
2014-11-25
Barriärtänkande
Nov 2014: IPS seminarium om SIL-bestämning
3
Kännetecken på barriärer
”Behövs inte” under normal drift
Ett fel på barriären ger sig inte till känna
direkt
Kan inte eliminera en risk – bara reducera
den
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
4
2
WeibullKonsult AB
2014-11-25
Olika sorters barriärer
Passiva barriärer:
beter sig alltid likadant
invallning, brandvägg, överstarkt tryckkärl…
Mekaniska barriärer
mekanisk princip för åtgärd
Sprängbleck, säkerhetsventil, flamspärr…
Instrumentella barriärer
åtgärd via elektriska/pneumatiska signaler
förreglingssystem, styrsystem
Administrativa barriärer
mänsklig åtgärd enligt instruktion
5
Nov 2014: IPS seminarium om SIL-bestämning
”Flugan” (bow-tie diagram)
Farligt
processtillstånd
som kan
detekteras på ett
enhetligt sätt
Avvikelser
Skada
Barriärer - skydd
Exempel: Överfyllnad
Reglerventil fastnar
eller nivåmätning
felaktig
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
Hög nivå i
tanken
Miljöutsläpp,
brand eller
explosion
6
3
WeibullKonsult AB
2014-11-25
Anläggningens säkerhet
10-8
10-6
Skyddsbarriärer
Nov 2014: IPS seminarium om SIL-bestämning
7
En typisk säkerhetsfunktion (SIF)
LAH
LAHH
FIC
LIC
Manöverdon
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
Logik
Givare
8
4
WeibullKonsult AB
2014-11-25
Kraven på en säkerhetskritisk
barriär
Specifik
Reviderbar
Ger en tillräcklig riskreduktion (instrumentell
barriär)
Oberoende
Nov 2014: IPS seminarium om SIL-bestämning
9
Oberoende
Oberoende från de system som kan orsaka
behov av skyddsfunktionen
Oberoende mellan olika skyddsbarriärer som
skyddar mot samma fara – kompletterande
skydd
Minimera gemensamma felkällor
SEPARATION
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
10
5
WeibullKonsult AB
2014-11-25
Grundprincip för separation
Ej säkert
processområde
SIS – enkla
säkerhetskritiska skydd
Styrsystem
Komplex
processtyrning –
inte säkerhetskritisk
Andra
skyddsbarriärer
Nov 2014: IPS seminarium om SIL-bestämning
11
Absolut krav på separation
LAH
LAHH
FIC
LIC
Manöverdon
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
Logik
Sensor
12
6
WeibullKonsult AB
2014-11-25
Totalt oberoende svårt att uppnå
Gemensam säkerhets-PLC
Gemensamma kabelvägar
Gemensam underhållsorganisation
Gemensam miljö
Processanslutning
Givare med inbyggd redundans
Nov 2014: IPS seminarium om SIL-bestämning
13
Kan larm vara en säkerhetskritisk
barriär?
De flesta larm är en integrerad del av
ordinarie styrsystem: automatisk styrning +
manuell övervakning
Påverkar avvikelsefrekvensen
Säkerhetskritiskt larm – manöverdelen av SIF
är inte automatiserad
Tillräckligt med tid, någon till hands, fysisk
möjlighet, skriftlig instruktion, oberoende
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
14
7
WeibullKonsult AB
2014-11-25
Tolerabel risk
15
Nov 2014: IPS seminarium om SIL-bestämning
Riskreduktion
Minskande risk
Kvarstående
risk
Tolerabel
risk
Processens
risk
Brandskydd
Invallning
Marginal
Avsäkring
Erforderlig riskreduktion
Aktuell riskreduktion
SIF
Larm
Styrsystem
Riskreduktion
från SIF
Riskreduktion andra barriärer
Process
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
16
8
WeibullKonsult AB
2014-11-25
IPS riskmatris
Konsekvensklasser
Sannolikhetsklasser
IPS riskmatris
1
> 1 ggr per år
5
1 ggr per 1‐10 år
4
1 ggr per 10‐
100 år
3
1 ggr per 100‐
1000 år
2
<1 ggr per 1000 år
1
2
3
4
5
Hälsa – säkerhet:
Övergående lindriga obehag, lättare blessyrer; 1:a Hjälpen
Enstaka skadade, varaktiga obehag, frånvaro ≥1 dag Enstaka svårt Enstaka döda eller skadade, svåra obehag, bestående flera svårt skadade
men
Miljö:
Ingen egentlig skada. Liten utbredning. Ingen sanering
Övergående kortvarig skada med liten utbred‐
ning
Reversibel lång‐
varig skada med liten utbredning, eller kortvarig med stor utbredning
Permanent skada med liten utbredning eller långvarig skada med stor utbred‐
ning
Permanent skada med stor utbredning
Ekonomi:
Skadekostnad < 50 kSEK
Skadekostnad < 500 kSEK
Skadekostnad < 5 MSEK
Skadekostnad < 50 MSEK
Skadekostnad > 50 MSEK
Flera döda eller 10‐
tals svårt skadade
Källa: Handledning om riskkriterier, IPS
17
Nov 2014: IPS seminarium om SIL-bestämning
Skydd mot dödsfallsrisk
IPS utökad matris
> 1 ggr per år
1
2
Konsekvensklasser
3
4
5
5
1 ggr per 1‐10 år
Sannolikhetsklasser
4
1 ggr per 10‐100 år
1 ggr per 100‐
1000 år
1 ggr per 1000‐10 000 år
3
2
1
<1 ggr per 10 000 år
Här bör kvarståen
de risk hamna
0
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
18
9
WeibullKonsult AB
2014-11-25
IPS SIL-matris
Konsekvensklasser
Sannolikhetsklasser
IPS SIL‐matris
1
2
3
4
5
> 1 ggr per år
5
SIL 2
SIL 3
1 ggr per 1‐10 år
4
SIL 1
SIL 2
SIL 3
1 ggr per 10‐100 år
3
SIL 1
SIL 2
SIL 3
Mer än ett skydd
SIL 1
SIL 2
SIL 3
SIL 1
SIL 2
10‐5
10‐6
1 ggr per 100‐1000 år
<1 ggr per 1000 år
2
Mer än ett Mer än ett Mer än ett skydd
skydd
skydd
1
Numeriskt kriterium
Nov 2014: IPS seminarium om SIL-bestämning
10‐2
10‐3
10‐4
Mer än ett Mer än ett skydd
skydd
19
Kriterium för SIL-klassificering
Kriterium nära nivån för ”acceptabel”
Per riskkälla och år
Risken för dödsfall
Förslag:
Sannolikhet för scenario med konsekvensen
dödsfall: <10-5/år och riskkälla
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
20
10
WeibullKonsult AB
2014-11-25
Kompletterande skyddsfunktioner
21
Nov 2014: IPS seminarium om SIL-bestämning
Komplexa förreglingar
Avvikelser
Förlorat flöde
Överhettning
Ej driftsignal
pump
Pumpstopp
Igensatt filter
Stopp
nedströms
Lågt flöde
Okontrollerad
energitillförsel
Hög temperatur
Stänger
energitillförsel
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
22
11
WeibullKonsult AB
2014-11-25
Lösning 1
Avvikelser
Förlorat flöde
Överhettning
Ej driftsignal
pump
Pumpstopp
Igensatt filter
Stopp
nedströms
Lågt flöde
Okontrollerad
energitillförsel
SIF: Hög
temperatur
Stänger energitillförsel
oberoende av styrning
Stänger energitillförsel
via ordinarie styrning
23
Nov 2014: IPS seminarium om SIL-bestämning
Lösning 2
Avvikelser
Förlorat flöde
Överhettning
Ej driftsignal
pump
Pumpstopp
Igensatt filter
Stopp
nedströms
SIF: Lågt flöde
Okontrollerad
energitillförsel
SIF: Hög
temperatur
Stänger energitillförsel
via ordinarie styrning
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
Stänger energitillförsel
oberoende av styrning
24
12
WeibullKonsult AB
2014-11-25
Lösning 3
Avvikelser
Förlorat flöde
Överhettning
Ej driftsignal
pump
Pumpstopp
Igensatt filter
Stopp
nedströms
Okontrollerad
energitillförsel
SIF: Lågt flöde
Stänger energitillförsel 2,SIF: Hög
oberoende av styrning temperatur
Stänger energitillförsel
via
ordinarie styrning
Nov 2014: IPS seminarium om SIL-bestämning
25
Stänger energitillförsel 1
oberoende av styrning
SIL-bestämning
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
26
13
WeibullKonsult AB
2014-11-25
Huvudstegen
Riskanalys
Scenarier
Barriärer
Konsekvenser
Identifiera SIF och bestäm SIL
Definiera andra egenskaper hos SIF
Värdera resultatet
Nov 2014: IPS seminarium om SIL-bestämning
27
Tänka i scenarioutveckling
Komponentfel
Utrustningsfel
Mänskligt felgrepp
Andra fel
Fel på nivågivare
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
Omedelbar
konsekvens
Processavvikelse
Barriär
Hög nivå
Överfyllnads- Utsläpp
skydd
Skada
Barriär
Invallning MiljöEffekt
28
14
WeibullKonsult AB
2014-11-25
SIL-bestämning
Farligt
processtillstånd
Avvikelser
Skada
Hur
allvarlig?
Hur ofta?
Vilka barriärer?
Exempel: Överfyllnad
Reglerventil fastnar
eller nivåmätning
felaktig
Nov 2014: IPS seminarium om SIL-bestämning
Vilka faktorer?
Hög nivå i
tanken
Miljöutsläpp,
brand eller
explosion
29
Hur allvarlig konsekvens
Oftast bedömningsgrundad
Tre tänkbara principer:
Värsta tänkbara konsekvensen
Värsta realistiska konsekvensen
Den konsekvens som har högst risk
Ibland olika scenarier för människa, miljö
respektive ekonomi
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
30
15
WeibullKonsult AB
2014-11-25
Olika principer
Olika principiella tillvägagångssätt:
Komponentfel
•
Bedöma skadans storlek eller
•
Bedöma den omedelbara
konsekvensens allvarlighet
Utrustningsfel
Omedelbar
konsekvens
Processavvikelse
Mänskligt felgrepp
Andra fel
Barriär
Fel på nivågivare
Hög nivå
Skada
Barriär
Överfyllnads- Utsläpp
skydd
Invallning MiljöEffekt
31
Nov 2014: IPS seminarium om SIL-bestämning
Sannolikhet för skada
Farligt
processtillstånd
Avvikelser
Hur
allvarlig?
Hur ofta?
Vilka barriärer?
Exempel: Överfyllnad
Reglerventil fastnar
eller nivåmätning
felaktig
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
Skada
Vilka faktorer?
Hög nivå i
tanken
32
Miljöutsläpp,
brand eller
explosion
16
WeibullKonsult AB
2014-11-25
Typiska eskaleringsfaktorer
Sannolikhet för:
antändning
närvaro av personal
möjlighet att fly faran
att bedömd skada uppstår
Nov 2014: IPS seminarium om SIL-bestämning
33
Sannolikhet för omedelbar
konsekvens
Farligt
processtillstånd
Avvikelser
Skada
Hur ofta?
Vilka barriärer?
Exempel: Överfyllnad
Reglerventil fastnar
eller nivåmätning
felaktig
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
Hög nivå i
tanken
34
17
WeibullKonsult AB
2014-11-25
IPS SIL-kriterium kräver skadans
sannolikhet!
Konsekvensklasser
Sannolikhetsklasser
IPS SIL‐matris
1
2
3
4
5
> 1 ggr per år
5
SIL 2
SIL 3
1 ggr per 1‐10 år
4
SIL 1
SIL 2
SIL 3
1 ggr per 10‐100 år
3
SIL 1
SIL 2
SIL 3
Mer än ett skydd
SIL 1
SIL 2
SIL 3
SIL 1
SIL 2
10‐5
10‐6
1 ggr per 100‐1000 år
<1 ggr per 1000 år
2
Mer än ett Mer än ett Mer än ett skydd
skydd
skydd
1
Numeriskt kriterium
Nov 2014: IPS seminarium om SIL-bestämning
10‐2
10‐3
10‐4
Mer än ett Mer än ett skydd
skydd
35
Vikten av konsistens
Metodik
Riskkriterium
Konsekvensens definition
Sannolikhetens definition
måste hänga ihop!
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
36
18
WeibullKonsult AB
2014-11-25
Val av metod
Matrismetoder
Kalibr. SafeProd
riskgraf matris
Behov/metodik
IPS
matris
Screening, genomgång av många SIF
x
x
x
Måttliga konsekvenser
x
x
x
Stora konsekvenser
x
x
Kompletterande SIF (barriärer delar på riskreduktion)
x
x
Komplexa SIF (barriärer inte samma för alla orsaker)
Valt konsekvens i termer av utsläpp/processtillstånd
x
x
x
x
Önskar ta hänsyn till eskalering (antändning etc.)
x
x
Önskar detaljerad dokumentation/resultat
Nov 2014: IPS seminarium om SIL-bestämning
LOPA
x
x
37
Metoder i handledningen
Skyddsbarriäranalys
Mest detaljerad, ger en bra dokumentation
Kan upplevas som svår och tidsödande
Matrismetoder
Calibrated risk graph (från standarden)
SafeProd matris (svensk metod)
IPS SIL-matris
Kombinera gärna metoder!
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
38
19
WeibullKonsult AB
2014-11-25
Formulär tillgängliga på hemsidan
Skyddsbarriäranalys
Kalibrerad riskgraf
SafeProd matris
IPS SIL-matris
enhetligt format
www.ips.se
Nov 2014: IPS seminarium om SIL-bestämning
39
Skyddsbarriäranalys
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
40
20
WeibullKonsult AB
2014-11-25
SafeProd matris
SIL-bestämning med matrismetod enligt SafeProd
Datum
Utgåva
Beteckning
Underlag
Fabrik
Process/system
Projekt
Deltagare
Parameter för konsekvens
Riskmatris
Parameter för närvaro
Konsekvens som kan uppstå
om människor (miljö,
material) är närvarande
Summa för sannolikhet (F+P+W)
C
Konsekvensklass
C5
Katastrofal
3-4
5-6
a
7-8
9-10
IL 3
11-12
IL 1
IL 2
b
Närvarofaktor
C4
Omfattande
4
a
a
IL 1
IL 2
IL 3
b
FD Permanent = 1
2
C3
Allvarlig
3
OK
a
a
IL 1
IL 2
IL 3
FC Frekvent 0.1-1
2
C2
Väsentlig
2
OK
OK
a
a
IL 1
IL 2
Marginell
1
OK
OK
OK
a
a
IL 1
FB Sporadiskt 0.01-0.1
FA Sällsynt <0.01
1
C1
SIFnr
5
1-2
b
Sannolikhet att fly från faran. För att välja Pb krävs:
- Oberoende möjligheter att varna och evakuera
- alternativt operatörsåtgärder som förhindrar skadan
- och tillräckligt med tid (> 1 tim)
0
Pa
Pb
W 9 Ofta
W 8 Frekvent
1/ 1-3 år
W
9
8
W 7 Trolig
1/ 4-10 år
7
W 6 Möjlig
1/ 11-30 år
6
W 5 Sporadisk
1/ 31-100 år
5
W 4 Ganska osannolik
1/ 101-300 år
4
Flyktfaktor
P
W 3 Osannolik
1 /301 - 1000 år
3
Förutsättningar för flykt ej uppfyllda
1
2
0
W 2 Mycket osannolik
W 1 Otänkbar
1/ 1000-10000 år
Alla förutsättningar för flykt uppfyllda
1/ 10000-100000 år
1
F
Säkerhetskritisk instrumentfunktion
Beskrivning
Detektion (givare)
Åtgärd (manöverdon)
Skadehändelse
Beskrivning
Parameter för behovsfrekvens
Behovsfrekvens
> 1/år
Parameter för flyktmöjlighet
För säkerhet: närvarofrekvens
(uttryckt som andel av totala
tiden) i det farliga området.
Konsekvens Närvaro
Flykt
Typ
C
F
P
Behov Sannolik- Integritetshet
nivå
W
Summa
IL SIL
Kommentarer
S
M
1
E
1
1
1
1
1
S
M
E
1
1
1
1
S
M
E
1
1
1
1
S
M
1
1
M
E
1
1
E
1
1
S
41
Nov 2014: IPS seminarium om SIL-bestämning
Kalibrerad riskgraf
Calibrated risk graph enligt SS-EN 61511 del 3
Datum
Utgåva
Beteckning
Underlag
Fabrik
Process/system
Projekt
Deltagare
Total IL
Hög
Medel
Låg
Marginell
A
a
OK
OK
Närvaro/flykt F+P
-
Anrop W
3
2
1
Konsekvens C
Väsentlig
Allvarlig
Omfattande
B
C
D
IL 1 IL 2 IL 3 IL 2 IL 3 IL 4 IL 3 IL 4
a
IL1 IL 2 IL 1 IL 2 IL 3 IL 2 IL 3
a
a IL 1
a
IL1 IL 2 IL 1 IL 2
b
IL 4
IL 3
P=1
SIF
nr
Skadehändelse
Beskrivning
0
1
2
0
1
0
1
2
SIF beskrivning
Detektion (givare)
Åtgärd (Manöverdon)
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
2
Arbetsgång:
1. Beskriv skadehändelse - hur scenariot utecklas
2. Definiera SIF - detektion och åtgärd, i ord eller med ID-nr
3. Välj konsekvensklass C för varje konsekvenstyp
4. Bedöm anropsfrekvens W - addera alla farliga avvikelser
5. Bedöm närvaro och flyktmöjlighet för människa (S)
att varna, att stoppa
Bedöm ev. sannolikhet att skadas för M och E
faran eller att evakuera,
6. Välj IL från matris till vänster med hjälp av C, W och F+P,
och tillräckligt med tid
för varje konsekvenstyp. Total SIL är högsta IL
(i regel > 1 tim)
7. Finns andra barriärer? - bedöm RRF och omvandla till SIL.
Beräkna (återstående) SIL för SIF ( ≤ 3).
Ovanstående krav
8. Kommentera grunderna för bedömningarna.
ej uppfyllda
Närvaro F = exponeringstid
F= 0 Sällan eller <0,1
F= 1 Ofta eller >0,1
Flyktmöjlighet P
Oberoende möjlighet
P=0
Konsekvens Behov Närvaro
Total Andra
Typ
C
W
Flykt IL SIL barriäre
S
M
E
S
M
E
S
M
E
S
M
E
S
M
E
S
M
E
SIL
SIF
Kommentarer
42
21
WeibullKonsult AB
2014-11-25
Matrismetod i standarden –
Calibrated risk graph
43
Nov 2014: IPS seminarium om SIL-bestämning
Alternativ presentation –
Calibrated risk graph
Total SIL
Konsekvens
Låg
Medel
Allvarlig
Omfattande
Sannolikhet
Hög
a
1
2
3
2
3
4
3
4
b
Medel
-
a
1
2
1
2
3
2
3
4
Låg
-
-
a
1
a
1
2
1
2
3
Närvaro+Flykt
-
0
1
2
0
1
2
0
1
2
Närvaro = 0: personer sällan i området, lätt att undgå faran
Närvaro = 2: personer ofta i området och svårt att undgå faran
Nov 2014: IPS seminarium om
SIL-bestämning
2014-11-25
44
22
WeibullKonsult AB
2014-11-25
IPS SIL-matris
IPS SIL-matris
Datum
Utgåva
Beteckning
Underlag
Fabrik
Process/system
Projekt
Deltagare
Anrop W
ggr/år
5 >1
4 0,1-1
3 0,01-0,1
2 0,001-0,01
1 0,0001-0,001
Eskalering e %
SIF
nr
a
OK
OK
OK
OK
0-3
Marginell
1
IL 1 IL 2
a
IL 1
OK
a
OK
OK
OK
OK
3-30 30-100
Skadehändelse
Beskrivning
Väsentlig
2
IL 1 IL 2 IL 3
a IL1 IL 2
OK a
IL 1
OK OK
a
OK OK
OK
0-3 3-30 30-100
Konsekvens C
Allvarlig
3
IL 2 IL 3 IL 4
IL 1 IL 2 IL 3
a
IL1 IL 2
OK
a
IL 1
OK OK
a
0-3 3-30 30-100
Omfattande
4
IL 3 IL 4
b
IL 2 IL 3 IL 4
IL 1 IL 2 IL 3
a
IL 1 IL 2
OK
a
IL 1
0-3 3-30 30-100
SIF beskrivning
Detektion (givare)
Åtgärd (Manöverdon)
Nov 2014: IPS seminarium om SIL-bestämning
IL 4
IL 3
IL 2
IL 1
a
0-3
Arbetsgång:
1. Beskriv skadehändelse - hur scenariot utecklas
2. Definiera SIF - detektion och åtgärd, i ord eller med ID-nr
3. Välj konsekvensklass C för varje konsekvenstyp
4. Bedöm anropsfrekvens W - addera alla farliga avvikelser
Katastrofal
Ta hänsyn till förutsättningsfaktor vid behov.
5
5. Bedöm sannolikhet för eskalering e per konsekvenstyp
b
b
6. Välj IL från matris till vänster med hjälp av C, W och e,
IL4
b
för varje konsekvenstyp. Total SIL = högsta IL
IL 3
IL 4
IL 2
IL 3 7. Finns andra barriärer? - bedöm RRF och omvandla till SIL.
Beräkna (återstående) SIL för SIF ( ≤ 3).
IL 1
IL 2
3-30 30-100 8. Kommentera grunderna för bedömningarna.
Konsekvens Anrop EskaTotal Andra
Typ
C
W
lering e IL SIL barriäre
S
M
E
S
M
E
S
M
E
S
M
E
S
M
E
S
M
E
SIL
SIF
Kommentarer
45
Kalibrering mot riskkriterium i IPS
formulär
Skyddsbarriäranalys liksom IPS SIL-matris är
kalibrerad mot IPS föreslagna kriterium (kan
ändras av användaren)
Kalibrerad riskgraf och SafeProd matris
måste kalibreras mot användarens kriterium
(baserat på vilka sannolikhetsfaktorer som
inkluderas i metodiken)
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
46
23
WeibullKonsult AB
2014-11-25
Tack för mig!
Blenda Weibull
Blenda Weibull Konsult AB
[email protected]
Nov 2014: IPS seminarium om SIL-bestämning
2014-11-25
47
24
Preem
IPS seminarium
2014-05-06
Erfarenheter från
genomgångar av
befintliga anläggningar
Phil Howells
Preem
Historik
• Arbete med ”SIL” på befintliga
enheter sedan 2006. (i projekt
sedan 2004)
• Flera plattformar och metoder
för analysfasen (vilket är den
fasen jag kommer att
huvudsakligen prata om)
1
Preem
IPS seminarium
2014-05-06
Flera anläggningar drifttagna
efter Maj 2005.
• DVS på dessa anläggningar har vi SIL ”fullt ut”
• Det tar tid för en hel organisation att ställa om
till en sådan påtaglig ändring av arbetssätt.
• Vi har stegvis förbättrat oss men som
organisation är vi ännu inte helt färdiga med
anpassningen till SIL.
• Fortfarande är det lite ”projekt” känsla över
det hela även om den mesta kunskapen nu är
på plats.
Olika metoder för
analysfasen
•
•
•
•
Flera olika metoder har använts i analysfasen
Pappersbaserade enklare metoder
Exidas web-baserad safety layer matrix
Olika projekt har haft olika lösningar oftast
beroende på konsult/leverantör
• ”Leveransen” från analysfasen har varierat
något beroende på metod/konsult/leverantör.
• Nu har vi sett det mesta och tror oss ha
möjlighet att göra ett informerat val.
2
Preem
IPS seminarium
2014-05-06
Vi lär oss sakta!
• Första felet var att göra tankevurpan att tro att ”SIL” kan
skiljas från normal riskanalys.
• Ett misstag att försöka ”SIL” bedöma befintliga funktioner
utan att grundligt göra om riskanalyser. Man måste fullt ut
förstå faran i sitt sammanhang om man skall göra en korrekt
SIL bedömning. Att titta på funktioner ” i isolering” är inte
bra.
• Att jobba ”baklänges” skapade missuppfattningar om vad
”SIL” är för något
• Vår vald metod är nu ”Hazop” som även inkluderar SIL
bestämning i enkel form (Risk graph metod) inbyggd i PHApro programmet, kalibrerad efter vår egen SIL riskmatris.
• Vald för att det är enkelt! Mycket kortare introduktionstid för
nya ingenjörer osv.
Grundstenar
• SIL analysfas är meningslös om det inte är
baserad på risken (faran) som man garderar
emot. En befintlig Instrumenterad funktion
framtagen för länge sedan är inte
nödvändigtvis det man skulle bygga om man
gjorde en helt ny installation.
• SIL (SIF) kan inte betraktas separerad från
andra säkerhetsbarriärer, det är helheten som
gör våra anläggningar säkrare.
3
Preem
IPS seminarium
2014-05-06
Vem skall bedöma ”SIL” i
analysfasen?
• Samma grupp som gör ”vanliga” riskanalyser. (I Preems
fall Hazop grupp)
• Det går inte att börja ”bakifrån” med bara instrument
expertis. Driften och process/mekanisk ingenjörer
måste vara ledande i riskanalysen (Hazop)
• Förståelse av den grundläggande faran är fundamentalt,
och dessa kunskaper finns vanligen (alltid?) inom
företaget, inte hos konsulter.
• I befintliga SIF går det ibland att hitta att man inte
riktigt vet vad man garderar mot, eller att man har
byggt funktioner bara för att man har utrustningen.
Går analysfasen i samma
takt som andra faser?
• Nej!
• Analysfasen är den lätta biten (om man kan få ihop
gruppen).
• Realiseringsfasen lite svårare (mycket mera
resurskrävande) För äldre installationer finns
kompromisser att ta ställning till, hur får vi mest
”säkerhet” för pengarna? Svåra beslut om hur noggrant
man skall följa metoden där det ”inte är tvingande”.
• Svåraste är driftfasen, återkommande test, prooftest
osv. Detta är ett helt nytt arbetssätt för UH folk för att
uppfylla kraven i metoden. Underhållet och även inköp
måste tänkas om.
4
Preem
IPS seminarium
2014-05-06
Missuppfattningar!
• En del personer tror att ”SIL” är en arbetsuppgift med
en ”början” och ett ”slut”
• Eller att man kan köpa något ”med SIL certifikat” och
då är allt klart. (leverantörer och även vissa konsulter
är delvis skyldiga till detta missförstånd)
• Man förstår inte att metoden reglerar hur både
instrument design och underhåll skall jobba framöver
• Citat: ”standarden anger krav för specifikation, design,
installation, drift, och underhåll.”
• Tyvärr underskattar man fortfarande grovt resurserna
som krävs för att följa metoden till punkt och pricka.
Kompromisser!
•
•
•
•
•
•
•
•
Tvingande lagstiftning för äldre anläggningar finns inte, inget tvång?
Försäkringsagenter, vad vill de?
Svenska myndigheter och kontroll organ ser standarden som ”Lägst
accepterade nivå”, men endast för nya installationer?
Betyder detta att en undermålig äldre SIF som uppmärksammas kan
nonchaleras? Mycket tveksamt tycker jag!
Vad är det viktigaste för de äldre installationerna?
TVEKLÖST……Analysfasen.
Har man gjort analysfasen har man utgångsdata för prioritering av
säkerhetsarbetet. Då kan man gå vidare med det viktigaste.
Gör man dessutom riktiga riskanalyser (i vårt fall Hazop) kan man
eventuellt identifiera behov av NYA SIF som behövs t.ex. pga.
ombyggnaden av anläggningar, byte av katalysatorer, nya råvaror,
nya maskiner osv. osv.
5
Preem
IPS seminarium
2014-05-06
Hur bra måste SIL
bedömningar vara?
• Söker vi en absolut sanning? NEJ!
• I ordet ”bedömning” ligger definitionen av
kvalitetsmålet.
• Så gott vi kan utifrån befintlig kunskap görs
en ”bedömning”
• Vad gruppen ärligt tycker är sanningen för den
gruppen! (Gruppens sammansättning
superviktig!)
• Gruppen (och dess ledning) betydligt viktigare
än metoden!
Metodval, var har det för
betydelse?
• Finns alternativ, från riktigt ”grovt” till riktigt
”noggrann”
• Vad skall man välja?
• Bättre, tycker jag, att avverka en stor mängd äldre
anläggningar ”grovt” än endast en liten mängd ytterst
”noggrant” (gäller för SIL analysfas för befintliga
installationer)
• För nybyggen är det av kostnadsskäl viktigt att inte
överspecificera, bättre med (och vanligen finns det tid
till) en mera noggrann metod
• Viktigt att hålla målet i minnet
• Målet?
6
Preem
IPS seminarium
2014-05-06
Målet är…….
•Förbättrad
säkerhet!
• Arkiverade papper, siffror och
instruktioner gör noll och intet för
säkerhet om de inte påverkar
utrustningen, testandet och underhållet.
När har vi kommit fram till
målet?
• Jobbet är INTE klart vid slutet av analysfasen!
• Analysfasen för befintliga installationer är för
att klart identifiera förbättringsbehov och
utifrån dessa, identifiera var man skall lägga
de begränsade resurser man har.
• För bättre säkerhet!
7
Preem
IPS seminarium
2014-05-06
Precis som i golf……..
• Bra ”follow-through” är absolut nödvändigt för
att målet skall uppnås.
• E+I avd. måste få resurserna för
realiseringsfasen och driftfasen om det skall
bli någon äkta förbättring i säkerhet.
• Industrin måste komma till insikt om hur
metoden påverkar sättet E+I avd. skall jobba
framöver (men en bra start är om våra egna expert avd.
fattar detta först…..)
8
Erfarenheter från arbete tillsammans med några kunder
1
4 april 2014
SIL i praktiken
SIL i praktiken
Erfarenheter från arbete tillsammans med några kunder
Magnus Karlsson, MRS, COWI AB
0702 641464
[email protected]
1
4 APRIL 2014
SIL I PRAKTIKEN
Borealis kracker, projekt RHazop
› "Hela" krackeranläggningen är riskanalyserad med Hazop, 2010 – 2013
› "Generella faror" i befintlig design. Vissa anläggningsdelar gamla.
› Är befintliga skydd tillräckligt bra/starka?
› Ingen riskbedömning gjordes.
› För händelser som kunde innebära förlust av inneslutning (LOC), genomfördes barriäranalys,
LOPA.
› Där reglerfunktion var orsak till avvikelse delades den upp i givardel och manöverdel
› Visade tydligt där det fanns brister i separation (gemensamma givare och/eller gemensamma
ventiler för styrning och larm/skydd) mellan styrning och skyddslager
› Mottagare av resultatet utsedd.
2
4 APRIL 2014
SIL I PRAKTIKEN
Erfarenheter från arbete tillsammans med några kunder
2
4 april 2014
SIL i praktiken
Borealis kracker, projekt RHazop
› Barriäranalys, LOPA
› Borealis har intern procedur:
› Tydligt toleranskriterium baserat på LOC, eskalationsfaktorer behöver inte beaktas
› Sammanställning över vanliga initierande händelser, inkl. felfrekvens
› Sammanställning över vanliga barriärer och deras riskreduktion
› Matrismetod inlagd i programvaran som användes för dokumentation av hazop
› Tydlig koppling mellan hazop och LOPA
› Barriäranalysen gjordes för alla scenarier med LOC, även de som inte skyddas med
instrumentfunktion
3
4 APRIL 2014
SIL I PRAKTIKEN
Borealis kracker, projekt RHazop
› Barriäranalysen gav i resultat ett GAP mot kriteriet
› Ett SIL krav på en befintlig eller en ny funktion kan bestämmas.
› Prioriteringsunderlag.
› Inget samlat arbete med SRS i denna analysfas.
› Befintliga instrumentfunktioner gavs max RRF = 10.
› Förekom instrumentfunktioner med möjlighet att nå höga SIL-krav
› "Övervärdering" vid summering av anropsorsaker
› Farligt fel – säkert fel eller totalt antal fel?
› Säkerhetsventil
› Scenarier innebärande kärlsprängning medför höga krav på riskreduktion
› Enligt LOPA-analysen är i vissa fall en säkerhetsventil inte tillräcklig medan den "juridiskt" är
det
4
4 APRIL 2014
SIL I PRAKTIKEN
Erfarenheter från arbete tillsammans med några kunder
3
4 april 2014
SIL i praktiken
Perstorp Oxo, projekt Valerox
› Nya fabriker är riskanalyserade med Hazop
› Processäkerhetsgranskning av nya anläggningar i Stenungsund.
› Möjliga säkerhetskritiska instrumentfunktioner identifierades.
› Ingen riskbedömning gjordes, för allvarliga händelser som kunde innebära förlust av
inneslutning (LOC), genomfördes SIL-bestämning
› SIL-bestämning
› Matrismetod baserad på Safe Prod.
› Matrisen kalibrerad inom Perstorp.
› Konsekvensklasser beskrivna
kvalitativt.
› För bestämning av behovsfrekvens
(W-faktorn) kompletterades med
ett LOPA liknande arbetssätt där
anropsorsaker och barriärer/faktorer
identifierades och vägdes samman.
SIL-bestämning med matrismetod enligt SafeProd
Datum
Utgåva
Beteckning
Underlag
Fabrik
Process/system
Projekt
Deltagare
Parameter för konsekvens
Riskmatris
Parameter för närvaro
Konsekvens som kan uppstå
om människor (miljö,
material) är närvarande
Konsekvensklass
C
1-2
3-4
5-6
7-8
9-10
Parameter för flyktmöjlighet
För säkerhet: närvarofrekvens
(uttryckt som andel av totala
tiden) i det farliga området.
Summa för sannolikhet (F+P+W)
11-12
Sannolikhet att fly från faran. För att välja Pb krävs:
- Oberoende möjligheter att varna och evakuera
- alternativt operatörsåtgärder som förhindrar skadan
- och tillräckligt med tid (> 1 tim)
5
BR
IL 1
IL 2
IL 3
NEJ
NEJ
Närvarofaktor
F
W 5 Sporadisk
1/ 31-100 år
5
4
BR
BR
IL 1
IL 2
IL 3
NEJ
FD Permanent = 1
2
W 4 Ganska osannolik
1/ 101-300 år
4
C3
Allvarlig
3
OK
BR
BR
IL 1
IL 2
IL 3
FC Frekvent 0.1-1
2
C2
Väsentlig
2
OK
OK
BR
BR
IL 1
IL 2
1
C1
Marginell
1
OK
OK
OK
BR
BR
IL 1
FB Sporadiskt 0.01-0.1
FA Sällsynt <0.01
SIFnr
Skadehändelse
Beskrivning
Säkerhetskritisk instrumentfunktion
Beskrivning
Detektion (givare)
Åtgärd (manöverdon)
0
Pa
Pb
Flyktfaktor
P
W 3 Osannolik
1 /301 - 1000 år
3
Förutsättningar för flykt ej uppfyllda
1
1/ 1000-10000 år
2
Alla förutsättningar för flykt uppfyllda
0
W 2 Mycket osannolik
W 1 Otänkbar
1/ 10000-100000 år
1
Konsekvens Närvaro
Flykt
Typ
C
F
P
S
M
1
1
1
1
M
E
1
1
E
1
1
M
1
1
E
1
1
M
1
1
E
1
1
M
1
1
E
1
1
S
S
S
› Amin och EO fabriker riskanalyseras med Hazop, pågår
› "Generella faror" i befintlig design.
› Möjliga säkerhetskritiska instrumentfunktioner identifieras.
› Riskbedömning görs parallellt med analysarbetet.
› Prioriteringsunderlag.
› Strävan att där så är möjligt även ha en lösning så att frågan kan avslutas.
› För bestämning av behovsfrekvens
kompletters med ett LOPA liknande
arbetssätt där anropsorsaker och
barriärer/faktorer identifierades
och vägdes samman.
› SRS-rapport sammanställs parallellt i
analysarbetet
6
4 APRIL 2014
SIL I PRAKTIKEN
6
Katastrofal
AkzoNobel, Amin och EO-fabriker
› Matrisen kalibrerad inom AkzoNobel.
7
1/ 11-30 år
Omfattande
4 APRIL 2014
SIL I PRAKTIKEN
› Matrismetod.
8
1/ 4-10 år
W 6 Möjlig
C5
› SRS-rapport sammanställde separat
efter analys
› SIL-bestämning
W
9
1/ 1-3 år
W 7 Trolig
C4
S
5
Parameter för behovsfrekvens
Behovsfrekvens
> 1/år
W 9 Ofta
W 8 Frekvent
Behov Sannolik- Integritetshet
nivå
W
Summa
IL
SIL
Kommentarer
Erfarenheter från arbete tillsammans med några kunder
4
4 april 2014
SIL i praktiken
Allmän reflektion
› Det finns företag som vill arbeta med SIL utan att ha tagit fram
Toleranskriterium.
"Ta det ni brukar"
7
4 APRIL 2014
SIL I PRAKTIKEN
SIL i Praktiken - Riskbedömning
Kontrollorganet har ordet
1
2014-11-27
En historisk tillbakablick
2
2014-11-27
1
På slutet av 1900-talet
Instrumenterade säkerhetssystem var nästan förbjudet..
• AFS 1987:17
Övervakning av pannanläggningar
Teknisk kravspecifikation för katastrofskydd ”SRS”
• - ca 1990
Brukaren var tvungen att söka dispens oss Arbetsmiljöverket
• 1991
Anvisning för icke Mekanisk Säkerhetsutrustning 1991
3
2014-11-27
Vår lagstiftning har ändrats
Från myndighetsstyrning
Mot eget ansvar
•
•
•
•
• EU direktiv
• EN standarder
• Svenska förskriver
Arbetsmiljölagen
Föreskrifter
Objektnormer
1977-1995 Riskprovplats
• Ett svenskt system med tydliga krav
• Riskanalys
• Anmälda/Ackrediterade organ
• Mix av EU och svenska lagar
4
2014-11-27
2
Gällande regelverk för tryckbärnade/trycksatta anordningar
• AFS 2002:1
• AFS 2005:2
• AFS 2005:3
• MSBFS 2011:8
• PED
• 2000/76/EG
• MD
• ATEX
• LVD
• EMC
SVENSK STANDARD
SS-EN 12952
Water-tube boiler and auxiliary Installations
Part 7: Requirements for Equipment for the boiler
SVENSK STANDARD
SS-EN 50156
Eldningsutrustning för ugnar och pannor som eldas
med fasta, flytande eller gasformiga bränslen
Del 1: Val och användning
5
27 november 2014
5
Grundläggande krav enligt AFS 1999:4 (PED)Bilaga 1
• Säkerhetsanordningar skall finnas när PS eller TS kan överskridas (nivå)
• De skall vara lämpliga för aktuellt objekt och dess avsedda användning
• Behov av underhåll och provning beaktat
• Oberoende av andra funktioner (separation)
• Lämpliga konstruktionsprinciper:
- felsäkerhet
- redundans
- diversifiering
- självövervakning
6
2014-11-27
3
Varför är SIL tillämpligt för tryckbärande anordningar
AFS 1999:4 (PED)
Harmoniserade standarder SS-EN 673, 764, 50156, 12952 m.fl.
EN 764-7
EN 12952-7
Slutsats
Vid nytillverkning av säkerhetssystem är EN 61508/61511 att
anses som ”BEST PRAXIS”
7
2014-11-27
Från bedömning till vetenskap
Riskbedömning, resultatet beror på
- Kalibrering av riskgrafen
- Gruppens samansättning
- Gruppens bedömningar
Verifiering, resultatet beror på;
- Statistik på komponenter
- Testintervall, HFT, livsläng etc.
- Inga bedömningar, fakta och matematik
8
2014-11-27
4
Att tänka på vid tillämpning för tryckbärande anordningar
• Tillämpliga lagkrav måste alltid vara uppfyllda AFS 1999:4, AFS 2005:3
• AFS 2005:3 har krav på provningsintervall för respektive SIF, oftast ett eller två år.
− SIL-verifiering kan ge mycket längre provningsintervall.
− OBS: För avsteg från det intervall som krävs enligt föreskriften krävs en dispens!
• Kalibrering av riskanalysen måste utföras av den som ska tillämpa standarden.
Det finns inga riktlinjer från svenska myndigheter om hur kalibrering ska var gjord.
Det kan skilja på en SIL-nivå upp eller ner.
• Harmoniserad standard, har i vissa fall krav på konstruktionen som kan var högre
än vad SIL erfordrar
9
2014-11-27
Riskanalys - SIL
Riskanalysen utgör grunden i SIL-klassningen!
- viktigt att den utförs korrekt
- en felaktig riskanalys kan medföra ett bristfälligt säkerhetssystem
Innan SIL-analysen påbörjas är det viktigt att identifiera vad som ska klassas:
• vilka säkerhetsfunktioner finns i anläggningen/systemet?
• är identifierade säkerhetsfunktioner tillräckliga, eller krävs flera?
• systemgränser
Börja inte skissa på konstruktionslösningar innan riskanalysen har utförts!
10
2014-11-27
5
Acceptabel risk
• Acceptabel risk innebär vilken kvarvarande risk som kan accepteras – all risk kan
inte elimineras
• De riskgrafer som finns i standarderna är bara exempel och måste kalibreras innan
de kan användas
• Är upp till varje enskild verksamhet vilken nivå som ska betraktas som acceptabel
- ska var dokumenterad och godkänd av fabriksledning!
Dock kan AKO ha synpunkter på risknivå m.a.p personskador
11
2014-11-27
Riskgraf enligt IEC 61511-3 - personsäkerhet
ET = Ej
Tolerabel
BT = Begränsat
Tolerabel
T = Tolerabel
W = anropsfrekvens
C= konsekvens
F = möjlighet att undgå fara
P= personnärvaro
12
Viktigt att sätta värden på dessa
parametrar!
2014-11-27
6
Att läsa ut acceptabel risk ur riskgraf
1. Välj lägsta konsekvensen som ger dödsfall (i exempelgrafen i
standarden är detta CB)
Riskgrafen är uppbyggd så att ”diagonalerna”
representerar konstant risknivå. Skiljer en
tiopotens mellan varje diagonal.
SIL-klassningen ska följa denna princip
13
2014-11-27
Att läsa ut acceptabel risk ur riskgraf
2. Förutsätt att det inte finns någon möjlighet att undkomma vid en
olycka (FB)
14
2014-11-27
7
Att läsa ut acceptabel risk ur riskgraf
3. Förutsätt att det alltid (>10% av tiden) finns personer närvarande (PB)
15
2014-11-27
Att läsa ut acceptabel risk ur riskgraf
4. Välj olycksfrekvens då säkerhetsfunktionen krävs och läs ut SIL-nivå
FA och PA sänker risken med ca en
tiopotens vardera
16
2014-11-27
8
Att läsa ut acceptabel risk ur riskgraf
5. Beräkna högsta sannolikhet för dödsfall enligt de valda
parametrarna.
Exempel enligt exempelgraf i standard
Enstaka dödsfall motsvaras av CB
Ingen reduktion av sannolikheten med
avseende på personnärvaro eller möjlighet att
omkomma (FB, PB)
W1 motsvaras av en gång på 10-100 år (1 gång
på 10 år högsta värdet)
SIL 1 reducerar risken 10-100 gånger (10
gånger ger högsta sannolikheten för olycka)
Resultat: I exempelgrafen från standarden så
är den acceptabla risken 1 dödsfall på 100 år.
(1 dödsfall på 10 år reduceras 10 gånger med
en SIL 1 SIF till 1 gång på 100 år)
17
2014-11-27
18
2014-11-27
9
Att läsa ut acceptabel risk ur riskgraf
5. Beräkna högsta sannolikhet för dödsfall enligt de valda
parametrarna.
Exempel på kalibrerad modell
Enstaka dödsfall motsvaras av CC
Ingen reduktion av sannolikheten med
avseende på personnärvaro eller möjlighet att
omkomma (FB, PB)
W1 motsvaras av mer sällan än en gång på 100
år (1 gång på 100 år högsta värdet)
SIL 2 reducerar risken 100-1000 gånger (100
gånger ger högsta sannolikheten för olycka)
Resultat: I den kalibrerade exempelgrafen så är
den acceptabla risken 1 dödsfall på 10 000 år.
(1 dödsfall på 100 år reduceras 100 gånger med
en SIL 2 till 1 gång på 10 000 år)
Inspecta förordar denna kalibrering!
19
2014-11-27
Revisionsbesiktning enligt AFS 2005:3
När en väsentlig reparation eller ändring har utförs
på trycksatt anordningar skall en revisionsbesiktning
enligt AFS 2005:3, §§ 29-30 genomföras
Skall uppfylla krav enligt
− AFS 1999:4, bilaga 1 (ej CE märkning och driftinstruktioner)
− Anmält organ ersätts av Ackrediterat Kontrollorgan
Slutsats
Vid ombyggnad av befintliga säkerhetssystem är EN 61508/61511
lika tillämplig som vid nytillverkning
20
2014-11-27
10
Befintliga anläggningar
• AFS 2002:1
Användning av trycksatta anordningar
- Omfattar alla trycksatta anordningar
- Riskbedömning ska vara utförd och dokumenterad
- Program för fortlöpande tillsyn ska finnas
• Fördjupning av riskbedömning kan vara att man gör en SIL klassning av befintliga
skydd, för att fastställa vilka som är mest kritiska.
• Allmänt accepterad bedömning ”best praxis” sker enligt SS-EN 61508, SS-EN 61511
• Dock ska man inte SIL-verifiera befintliga säkerhetskretsar.
• För nya SIS sättas livslängden ofta till 10-15 år, för många befintliga
säkerhetsutrustningar har ”bäst före datum” passerats
21
2014-11-27
Rutiner
• Vid upphandling ställ krav på att EN 61508/61511 tillämpas
• Kontrollera att kalliberingen av riskgrafen överensstämmer med
ER kalibrering, var delaktig i riskbedömningar
• Ha klara rutiner hur säkerhetssystem konstrueras/kontrolleras
- Riskbedömning
- SRS
- Verifiering
- Validering
- Dokumentation, testinstruktioner
- Livslängd
• Det är ni som anläggningsägare som ska leva med systemet
minst 15-20 år.
22
2014-11-27
11
Slutligen
LEDNINGEN har ansvaret för ARBETSMILJÖN
Vid nytillverkning
Rutiner hur säkerhetssystem konstrueras/kontrolleras
Riskbedömning, SRS, Verifiering, Validering, Dokumentation, testinstruktioner, Livslängd
För befintliga
AFS 2002:1 (riskbegedömningar, fortlöpande tillsyn etc.)
Ombyggdander reparationer
AFS 2005:3 är uppfyllda, samma krav så nytillverkning
23
2014-11-27
24
2014-11-27
12
När måste instrumenterade säkerhetsutrustningar kontrolleras av
tredje part ?
• Kontroll av Anmält Organ eller Ackrediterat Organ kan erfordras om
säkerhetsutrustningen skyddar den tryckbärande anordningen mot:
− tryck temperatur eller nivå.
• Klassningen avgör om det krävs kontroll av AO eller AKO eller inte.
− Vid Kategori I-IV, kontrollklass G+K och besiktningsklass A-C
krävs kontroll AO eller AKO
• Det finns alltså ingen koppling mellan SIL och kravet på kontroll av
Anmält Organ eller Ackrediterat Organ
• Ibland krävs tredjepartsgranskning av något som har ”SIL 0”
och det finns exempel på ”SIL 3” som inte behöver granskas.
25
2014-11-27
13