Ydelser
Functional Safety
Funktionel sikkerhed er en proaktiv tilgang til aktivt at reducere risiko. I modsætning til passive sikkerhedsforanstaltninger, der blot absorberer virkningen af en fejl, bruger funktionel sikkerhed styresystemer og logikbaserede handlinger til aktivt at forhindre farlige situationer. Et almindeligt eksempel er de risikoreduktioner, der er implementeret i en bil for at minimere skader ved en kollision. Bilen har indbyggede forstærkninger (passiv sikkerhed) og en airbag, der aktiveres ved en kollision for at beskytte brugeren. I industrielle miljøer sikrer funktionel sikkerhed, at maskiner, systemer og processer reagerer sikkert, når noget går galt.
Hvad vi tilbyder
Vi støtter vores kunder gennem hele sikkerhedslivscyklussen, fra tidlig analyse og design til implementering, verifikation og dokumentation. Vores ingeniører arbejder med standarder som IEC 61508 og IEC 61511 og har stor erfaring med standarder for kraftværker (DS/EN 50156), procesindustrien (DS/EN 61511) og maskinsikkerhed (DS/EN 62061). Vi tager en struktureret, pragmatisk tilgang til at designe sikkerhedssystemer, der opfylder både lovkrav og driftsbehov.
Vi understøtter både komplette funktionel sikkerheds-projekter og specifikke opgaver. Uanset om det drejer sig om opgradering af en enkelt sikkerhedsfunktion eller design af et komplet Safety Instrumented System (SIS), sikrer vi, at sikkerheden håndteres korrekt og effektivt.
Eksempler på typiske opgaver vi udfører
Sikkerhedskoncept design og implementering
SIL beregninger og validering
HAZOP og HAZID facilitering
Facilitering af HAZOP (Hazard and Operability Study) og HAZID (Hazard Identification) workshops for at identificere og håndtere risici i projektets tidlige faser.
Support gennem hele funktionssikkerhedslivscyklussen i henhold til IEC 61508 og IEC 61511
Herunder identificering af farer, fastlæggelse af Safety Integrity Level (SIL), Layer of Protection Analysis (LOPA), dokumentation, verifikation og compliance-tjek.
Dynamic risk assessment systemer
Vi har udviklet et live risiko- og prognosesystem, der hjælper operatører og vedligeholdelsesteamet med at prioritere deres opgaver, så sikkerheden altid kommer først.
Ofte stillede spørgsmål
Hvad er Functional Safety?
Funktionel sikkerhed er en del af den overordnede sikkerhed og afhænger af, at systemerne reagerer korrekt på indgangssignaler. Den sikrer, at styresystemer aktivt opdager og afbøder risici, for eksempel ved at lukke en maskine ned, hvis den overopheder eller udløse alarmer, når der registreres gas. Disse handlinger hjælper med at forhindre ulykker, beskytte mennesker og reducere skader på udstyr.
En struktureret risikovurdering er afgørende for at fastlægge, hvilke sikkerhedsforanstaltninger der er nødvendige. Til dette anvendes standarden EN ISO 12100, hvor risici først identificeres og vurderes for at afgøre, hvordan de kan reduceres, herunder beregning af det nødvendige Performance Level (PL) eller Safety Integrity Level (SIL). Hvis løsningen omfatter en sikkerhedsfunktion, der er afhængig af et styresystem, for eksempel en PLC der slukker en maskine, når en sensor opdager en fare, skal funktionen evalueres og verificeres i henhold til EN ISO 13849 og EN IEC 62061.
Hvad er Function Safety Lifecycle i henhold til IEC 61511?
IEC 61511 er den internationale standard for funktionel sikkerhed i procesindustrien. Ligesom IEC 61508 følger den en defineret sikkerhedslivscyklus og omfatter design- og styringskrav for Safety Instrumented Systems (SIS) gennem hele deres levetid. Livscyklussen opdeles i otte faser:
Fase 1 til 3 er analyse og risikovurdering. I disse faser identificeres potentielle farer, og risikoens sandsynlighed og konsekvens vurderes for at afgøre, om eksisterende beskyttelseslag er tilstrækkelige, eller om der er behov for en sikkerhedsinstrumenteret funktion (SIF). Hver SIF tildeles et krævet SIL-niveau baseret på risikoen, og alle nødvendige sikkerhedsfunktioner dokumenteres i en Safety Requirements Specification (SRS).
Fase 4 er design og engineering. Her udvikles og konstrueres sikkerhedssystemerne, herunder programmering af sikkerheds-PLC, design af kontrolpaneler og forberedelse til Factory Acceptance Testing (FAT), som bekræfter, at systemet opfylder specifikationerne før installation.
Fase 5 er installation, idriftsættelse og validering. Systemerne installeres og testes på stedet for at sikre korrekt funktion i det faktiske driftsmiljø samt en endelig validering af hele projektet.
Fase 6 er drift og vedligehold. For at opretholde funktionel sikkerhed skal fastlagte procedurer for sikker drift, inspektion og test følges løbende, og regelmæssig vedligehold og validering er påkrævet for at sikre, at systemet fortsat præsterer som forventet.
Fase 7 er modificering. Ændringer af hardware, software eller procedurer skal håndteres via en formel proces, så sikkerheden ikke kompromitteres. Dette omfatter genvurdering af risici og opdatering af dokumentation.
Fase 8 er udfasning. Når et system tages ud af drift, skal det afvikles kontrolleret og dokumenteres med fokus på sikkerhed, miljø og operationelle konsekvenser.
Hvordan testes sandsynligheden for fejl ved efterspørgsel (PFD) for sikkerhedsinstrumenterede funktioner?
En PFD-faktor er kun gyldig, så længe komponenten vedligeholdes og gennemgår proof-tests inden for et specificeret tidsinterval. Testintervallet indgår direkte i beregningen af PFD-faktoren for en sikkerhedskomponent.
PFD-faktoren angiver sandsynligheden for, at en sikkerhedskomponent fejler, når den skal aktiveres. Producenter stiller data over fejl-rater til rådighed fra laboratorietest og vigtigst af alt fra komponenter i drift. Disse fejl-rater kaldes λ-værdier eller FIT (Failures In Time), hvor 1 FIT svarer til én fejl per 10⁹ timer.
PFD-værdien kombinerer fejl-raten med proof-testintervallet. Ud fra formlen PFD ≈ ½·λ_DU·Tₚ, hvor λ_DU = λ_D·(1 – DC), ses det, at testintervallet er direkte proportionalt med PFD, fordi intervallerne skal afsløre udetekterede farlige fejl. I de fleste tilfælde beregnes PFD med et års testinterval (8 760 timer). Mange kender princippet fra test af HPFI-relæer; det samme gælder for sikkerhedsinstrumenterede komponenter.
Hvad er kravene til drift og vedligehold af sikkerhedsinstrumenterede systemer?
Standarder stiller forskellige krav til drift og vedligehold af sikkerhedsinstrumenterede systemer.
Kompetence
Alle aktiviteter, der påvirker livscyklussen for et sikkerhedsinstrumenteret system, skal udføres og ledes af personer med de relevante kompetencer som beskrevet i IEC 61511 og IEC 61508. Det indebærer grundlæggende kendskab til funktionel sikkerhed og processikkerhed samt træning og erfaring med de teknologier, systemerne bygger på. Alle, der arbejder med sikkerhedssystemer, skal have formel tilladelse og være tilknyttet et uddannelsesprogram.
Ansvarsfordeling
Alle personer eller afdelinger, der er ansvarlige for opgaver på sikkerhedssystemer, skal kende ansvarsfordelingen for hver aktivitet. Den overordnede ansvarlige for det sikkerhedsinstrumenterede system skal sikre, at procedurer for drift og vedligehold følges, og at der findes en procedure for Management of Change (MOC), som også anvendes konsekvent.
Planlægning
Der skal foreligge en klart formuleret plan, der definerer de aktiviteter og kompetencer, der kræves for at udføre sikkerhedssystemets opgaver. Planen skal beskrive alle aktiviteter og løbende opdateres.
Assessment og audit
Der skal være en plan for regelmæssig audit af både sikkerhedsinstrumenterede systemer og de tilhørende procedurer. Auditors skal have de nødvendige kompetencer.
Hvad er “Hazard Identification and Risk Assessment” i funktionel sikkerhed?
En af de helt essentielle aktiviteter i både IEC 61508 (fase 3) og IEC 61511 (punkt 1) er fasen “Hazard and Risk Assessment”. I denne fase fastlægges følgende begreber efter IEC-standarderne:
Safety (sikkerhed): Frihed fra uacceptabel risiko for fysisk skade eller helbredsskade på mennesker, ejendom eller miljø
Hazard (fare): En potentiel kilde til skade
Harm (skade): Skade på menneskers helbred, ejendom eller miljø
Risk (risiko): Kombinationen af sandsynligheden for, at skaden opstår, og hvor alvorlig skaden er
Risiko defineres som kombinationen af, hvor alvorlig en hændelse vil være, og hvor sandsynlig den er. For at forebygge en skadesituation skal man først være klar over, at den kan opstå. Det er formålet med “Hazard Identification and Risk Assessment”, som omfatter både analyse af potentielle farekilder og vurdering af den risiko, de udgør, baseret på alvorlighed og sandsynlighed.
Ved analyse af potentielle farer anvendes forskellige metoder, blandt andet Hazard Identification (HAZID) og Hazard and Operability Study (HAZOP). Under en HAZID eller HAZOP gennemgår et team af eksperter hele procesanlægget fra relevante fagområder. På et kedelanlæg kan det for eksempel være specialister i kedelkonstruktion, proces, el og kemi.
Disse workshops benytter Piping and Instrumentation Diagrams (P&IDs) og detaljerede funktions- eller procesbeskrivelser.
Det næste skridt efter identificering af farer er risikovurdering. Ifølge sikkerhedsstandarder defineres risiko som kombinationen af, hvilken konsekvens en ulykke kan have, og hvor sandsynlig den er.
Der findes to hovedmetoder til at reducere risiko i en proces eller på en maskine: ved at mindske sandsynligheden for, at en hændelse indtræffer (den mest almindelige metode), eller ved at begrænse konsekvensen, hvis en hændelse sker (for eksempel en airbag i en bil; i et procesanlæg kan evakueringsprocedurer være et eksempel). Når flere beskyttelsesforanstaltninger anvendes sammen, kaldes hver foranstaltning en barriere. Hver barriere tildeles en risikoreducerende faktor (RRF), og ved at kombinere flere barrierer bringes den samlede risiko ned på et acceptabelt niveau.
Kan du give et eksempel på funktionel sikkerhed i praksis?
Eksemplet herunder viser en tank. Trykket i tanken er styret af en reguleringsventil og der er, som påkrævet i trykdirektivet monteret en sikkerhedsventil. På grafen ses forskellige risikobegreber.
Den identificerede risiko er den risiko man har på en proces inden der er monteret reducerende systemer.
Den tolererede risiko, er den risiko man vil acceptere, og forskellen mellem den identificerede og tolererede = den nødvendige risikoreduktion.
På nedenstående eksempel er der 3 barrierer (Lag af beskyttelse)
- Kontrolsystemet der skal regulere trykket i tanken
- Sikkerhedsventil
- En sikkerhedsinstrumenteret funktion der kan lukke en ventil i tilfælde af højt tryk
Når man ser på grafen, kan man se at hvis et af systemerne ikke virker efter hensigten, så opnår man ikke den nødvendige risiko reduktion. Det kan virke som en helt indlysende logik, men man skal, når man arbejder på anlæg være meget opmærksom på den sammenhæng.
Modellen herunder viser eksemplet med tryktanken som et ”Lag af beskyttelses model”. For alle sikkerhedsrelaterede funktioner på et kraftværk kan man lave en tilsvarende model. Rigtig mange af sikkerhedsrelaterede processer der er på kraftværker, omhandler trykbærende udstyr hvor der kan komme udslip af væsker eller gas under tryk. Af andre eksempler kan der nævnes roterende maskineri eller farlige stoffer. 
For at finde ud af hvor meget man skal risikoreducere, skal man have fastlagt hvor stor risikoen er for de enkelte ulykkestyper man har identificeret. Der findes forskellige værktøjer til at bestemme risikoen. Principielt er der 2 tilgange til risikovurdering. En kvalitativ og en kvantitativ. I de eksempler der vises her er der tale om kvalitative. Det vil sige at det er ikke eksakte tal der anvendes til at beregne risikoen.
Risikografen herover er en risikograf, der ofte bliver anvendt i deres risikovurderinger.
Grafen anvender begreberne C=konsekvens, F=Exposure, P=Mulighed for at undgå og W=Sandsynlighed for at skaden opstår. Når en farlig event vurderes gøres det ved at vurdere relative værdier af konsekvens, sandsynlig, muligheden for at undgå den farlige situation, opholdstiden i det farlige område.
Resultatet enden ud i et SIL niveau. Kommer man frem til et resultat der ligger i det grønne område behøver man ikke gøre ydeliger. Det gule område kaldes ALARP (As low as reas Possible) I det område skal man reducere i forhold hvor omkostningerne ved forbedringer skal stå i forhold til den risikoreduktion man opnår.
SIL er en forkortelse for Safety Integrity Level. Og det er en skala der går fra 1-4. Jo højere et tal en risikovurdering kommer frem til, jo større er kravene til at risikoreducere.
Tabellen ovenover viser sammenhængen mellem SIL, en faktor der benævnes PFD og risikoreduktionsfaktor RRF.
Eksempel: Vises en risikovurdering at en ”Hazardous Event” er i klasse 2, så skal man risikoreducere i et interval mellem >100 til <1000 gange.
Det betyder at den sikkerhedsfunktion man implementer maksimalt må have en sandsynlighed for at fejle på mellem >10-3 til <10-2 (0,01-0,001). Det er den faktor der kaldes PFD (Probabity of Failure on Demand= sandsynligheden for at udstyret fejler når det skal aktivere). Sammenhængen mellem PFD og RRF er.
PFD angivet for hver enkelt komponent i en sikkerheds instrumenteret funktion. Det samlede PFD tal for en funktion er derfor summen af de enkelte komponenter. I en sikkerhedsinstrumenteret funktion er det som regel de mekaniske komponenter der har den højeste PFD
Alle komponenter der skal bruges i sikkerhedsinstrumenterede funktioner skal være godkendt til det og der skal være oplysninger omkring komponentens PFD faktor. Derudover kan komponenter kobles på forskellige måder. Princippet bag de forskellige komponentkoblinger kaldes MooN. Feks. 1oo2, 2oo3, osv.
Dynamic risk assessment tools: Risiko- og prognosesystem til skibakken på toppen af Amager Ressourcecenter
Da skibakken på toppen af Amager Ressourcecenters kraftværk skulle åbne, udviklede vi et dynamisk risiko- og prognosesystem.
Prognosesystemet skal sørge for, at alle de besøgende gæster på skibakken ikke bliver udsat for fare eller andre uacceptable risici fra kraftværket. Systemet assisterer operatører og vedligeholdelsesteamet med at prioritere deres opgaver, så sikkerhed altid vil komme i første række. Prognosesystemet går ind og overvåger de kritiske komponenter på anlægget.
Systemet sammenligner de øjebliksbilleder og vedligeholdelsesopgaver som er tilknyttet komponenterne, hvis der er en komponent, som ikke bliver testet, vedligeholdt eller efterset, får vedligeholdelsespersonalet automatisk besked.
Er jeres sikkerhedsfunktioner dokumenteret og valide?
Vi hjælper jer i mål, praktisk og compliant. Kontakt os for en uforpligtende snak.
Du er også velkommen til at ringe til os på +45 21 58 16 43