Dymenzions
The software that really makes the difference...
SIL IN DE PRAKTIJK
Safety Integrity Level (SIL) in de procesindustrie
Inleiding
Safety Integrity Level (SIL) is een maatstaf voor de betrouwbaarheid van een veiligheidsfunctie in industriële processen. Het is een discrete classificatie (van 1 tot 4) die aangeeft hoe goed een Safety Instrumented Function (SIF) moet presteren om een bepaald risico te beheersen. Met andere woorden toetst SIL de functionele veiligheid van instrumentele beveiligingen (veiligheidssystemen) in productie- en procesinstallaties, waarbij de vereiste betrouwbaarheid samenhangt met de mate van risico. SIL is daarmee een kernconcept binnen procesveiligheid en legt de link tussen risicobeoordeling en technische maatregelen om dat risico te verkleinen.
Wat is SIL?
LOPA (Layer of Protection Analysis)
Elke SIL-classificatie correspondeert met een maximale toelaatbare faalkans van de betreffende veiligheidsfunctie. SIL wordt doorgaans bepaald door een risicobenadering: via methoden zoals risicoanalyses, risicografen of Layer of Protection Analysis (LOPA) wordt gekeken hoeveel risicoreductie een veiligheidsfunctie moet bieden.
Vervolgens wordt een SIL-niveau toegekend dat overeenkomt met die benodigde risicoreductie. Belangrijk hierbij is dat SIL formeel alleen van toepassing is op elektrische, elektronische of programmeerbare systemen (E/E/PE). Zuiver mechanische maatregelen (bijv. een drukveiligheidsklep) krijgen op zichzelf geen SIL-classificatie; men zegt dan liever dat zo’n mechanische voorziening een risicoreductie biedt equivalent aan een bepaald SIL-niveau.
SIL maakt deel uit van een totaal veiligheidsconcept waarin ook andere lagen en maatregelen een rol spelen (zoals fysieke beveiligingen en organisatorische procedures). Een SIL-geclassificeerd systeem – vaak een Safety Instrumented System (SIS) ofwel instrumenteel veiligheidssysteem – treedt in werking om een proces naar een veilige toestand te brengen zodra vooraf gedefinieerde grenswaarden overschreden worden.
Risicoanalyse - SIL in de praktijk
In de praktijk komt het erop neer dat hogere SIL-niveaus vereist zijn naarmate het initiële risico hoger is of de gevolgen van falen ernstiger zijn. Via een gedegen risicoanalyse (bijvoorbeeld een HAZOP-studie gevolgd door LOPA) wordt bepaald of bestaande maatregelen voldoende zijn of dat een extra SIS met een bepaald SIL-niveau nodig is. SIL helpt hierbij om het benodigde prestatieniveau van zo’n veiligheidsfunctie kwantitatief te onderbouwen. Dit past binnen het kader van functionele veiligheid (zoals gedefinieerd in IEC 61508): dat deel van veiligheid dat afhangt van correct functioneren van elektrische/elektronische systemen.
SIL is dus geen op zichzelf staande eigenschap van een los apparaat, maar een eigenschap van een complete veiligheidsfunctie inclusief sensor, logica en uitvoerend element. Termen als veiligheidskritische systemen, instrumentele beveiliging en veiligheidsinstrumented systeem (SIS) worden vaak in één adem met SIL genoemd, aangezien SIL specifiek de betrouwbaarheid van dergelijke systemen in bijvoorbeeld de chemische industrie en de olie- en gasindustrie adresseert.
SIL in de praktijk
Niveaus kort samengevat
Kort samengevat stellen hogere SIL-niveaus exponentieel strengere eisen aan de betrouwbaarheid van veiligheidsfuncties. Waar een SIL1 functie een falen bij 1 op 10 of 1 op 100 inzetten mag hebben, mag een SIL3 functie slechts eens in de duizenden tot tienduizenden keer falen.
Dit impliceert dat voor hogere SIL’s zwaardere ontwerpen (meer redundantie, betere componenten, uitgebreidere tests) nodig zijn om die laagste faalkans te garanderen. In de praktijk kiest men een zo hoog SIL-niveau als nodig is, maar ook niet hoger dan nodig, vanwege de complexiteit en kosten. Vaak geldt: “zo hoog als nodig, zo laag als mogelijk.” Wanneer risico’s ook met een lagere SIL-afdoende mitigerend kunnen worden beheerst, zal men geen SIL3 of SIL4 nastreven. Alleen bij zeer hoge rest-risico’s (bijvoorbeeld scenarios met meerdere potentiële dodelijke slachtoffers) wordt een SIL3 overwogen, en SIL4 wordt vrijwel nooit gespecificeerd voor procesinstallaties.
SIL in de praktijk
Vergelijking tussen SIL-niveaus
Risicoreductiefactor
Er zijn vier SIL-niveaus: SIL1, SIL2, SIL3 en SIL4. Een hoger SIL-niveau betekent een lagere tolerantie voor falen en strengere betrouwbaarheidseisen voor de veiligheidsfunctie. Onderstaande tabel geeft ter indicatie de faalkans op aanvraag (Probability of Failure on Demand, PFD) en de bijbehorende risicoreductiefactor (Risk Reduction Factor, RRF) per niveau:
SIL1
PFD gemiddeld tussen 10^−2 en 10^−1 (faaltolerantie ongeveer 1 op 100 tot 1 op 10 keer). Dit komt neer op een risicoreductiefactor van ongeveer 10 tot 100. SIL1 is het laagste niveau en wordt toegepast bij relatief lagere risico’s, waar de gevolgen van falen beperkt zijn of al additionele beschermingslagen aanwezig zijn. Een SIL1-beveiliging kan vaak eenvoudig van opzet zijn, met weinig redundantie in componenten.
SIL2
PFD tussen 10^−3 en 10^−2 (faaltolerantie ~1 op 1000 tot 1 op 100 keer), RRF circa 100 tot 1000. SIL2-systemen bieden een hogere risicoreductie en vereisen dan ook meer betrouwbaarheid. Dit betekent vaak extra redundantie (bijvoorbeeld dubbele sensoren) en vaker testen om hun werking te garanderen. SIL2 komt veel voor in de procesindustrie voor gevaren van middelhoge ernst, waar een enkelvoudige beveiliging van SIL1 mogelijk tekortschiet.
SIL3
PFD tussen 10^−4 en 10^−3 (faaltolerantie ~1 op 10.000 tot 1 op 1000 keer), RRF circa 1000 tot 10.000. SIL3 staat voor een zeer hoge mate van risicoreductie. Beveiligingssystemen op SIL3-niveau zijn onderworpen aan strenge eisen: uitgebreide redundantie (bijvoorbeeld twee of drie onafhankelijke sensoren in stemconfiguratie), hoge fouttolerantie en zeer regelmatige testen.
Dit niveau is bedoeld voor scenario’s met potentieel catastrofale gevolgen bij falen (bijv. risico op dodelijke ongevallen of zeer grote milieuschade) wanneer er weinig andere betrouwbare beschermingslagen zijn. In de praktijk zijn SIL3-functies relatief zeldzaam in de reguliere (petro)chemische industrie, juist omdat men meestal probeert dergelijke hoge risico’s te vermijden of meerdere lagen van bescherming in te bouwen.
SIL4
PFD tussen 10^−5 en 10^−4 (faaltolerantie ~1 op 100.000 tot 1 op 10.000 keer), RRF circa 10.000 tot 100.000. SIL4 is het allerhoogste niveau en vereist extreem stringente voorzorgsmaatregelen. Het behalen van SIL4 betrouwbaarheid is in de praktijk bijna onhaalbaar in de procesindustrie. Toepassingen van SIL4 beperken zich tot uitzonderlijke sectoren zoals nucleaire installaties of de lucht- en ruimtevaart.
Als uit een risicobeoordeling voor een normaal proces zou volgen dat SIL4 nodig is, duidt dat meestal op een onacceptabel hoog risico; men zal dan het procesontwerp moeten wijzigen of extra onafhankelijke beschermingslagen moeten toevoegen in plaats van simpelweg een SIL4-SIS te implementeren.
SIL in de praktijk
Toepassing van de IEC 61511-norm
De internationale standaard IEC 61511 is specifiek geschreven voor functionele veiligheid in de procesindustrie. Deze norm (voluit NEN-EN-IEC 61511 “Veiligheidstechnische systemen voor de procesindustrie”) is afgeleid van de basisnorm IEC 61508 en beschrijft een compleet raamwerk – de safety life cycle – voor het beheren van instrumentele veiligheidsystemen gedurende hun hele levenscyclus. In IEC 61511 staat onder andere hoe men moet:
- bepalen welke veiligheidsfuncties (SIFs) nodig zijn op basis van procesrisico’s,
- deze functies specificeren in eisen (zoals reactie tijd, betrouwbaarheid, testinterval),
- het ontwerp maken van het bijbehorende Safety Instrumented System (SIS),
- de implementatie, validatie en vervolgens het operationeel beheer en onderhoud uitvoeren volgens vastgelegde procedures.
Safety Requirements Specification (SRS)
Kortom, IEC 61511 dekt alles van de eerste risico-inventarisatie tot en met het buitenbedrijfstellen van het veiligheidssysteem aan het einde van de levensduur. Een belangrijk document hierin is de Safety Requirements Specification (SRS): hierin worden alle eisen waaraan de SIS en de SIF(s) moeten voldoen, verzameld en gespecificeerd voordat het detailontwerp begint. Denk aan het vastleggen van de benodigde SIL-classificatie per SIF, de instrumentatie-architectuur (bijv. 1oo2 of 2oo3 redundantie), vereiste responstijden, testfrequenties, enzovoort.
Safety Instrumented System (SIS)
Een Safety Instrumented System (SIS) is het geïntegreerde veiligheidskritische systeem dat één of meerdere SIF’s uitvoert. Een SIS bestaat meestal uit drie onderdelen: sensoren die afwijkingen detecteren (bijv. druktransmitters, temperatuursensoren), een logische eenheid die de signalen verwerkt (veelal een veiligheids-PLC of hardwired logica), en uitvoerende elementen die ingrijpen in het proces (bijv. afsluiters, noodstoppen, blussystemen).
Belangrijk is dat een SIS onafhankelijk functioneert van het reguliere procesbesturingssysteem. De veiligheidsnorm vereist fysieke en functionele scheiding, zodat een storing in het reguliere systeem de werking van de SIS niet compromitteert.
IEC 61511 schrijft voor hoe een bedrijf zijn SIS moet ontwerpen en beheren: vanaf de conceptfase (hazard & risk assessment), via het bepalen van de SIL-eisen en het ontwerpen volgens die eisen, tot aan inbedrijfstelling, onderhoud en periodieke her-evaluatie gedurende de gebruiksfase. Bedrijven dienen bijvoorbeeld aan te tonen dat hun SIS daadwerkelijk de geclaimde SIL haalt – dit gebeurt via SIL-verificatieberekeningen waarbij men de PFD_avg van de beoogde architectuur berekent en toetst aan de grenswaarden van het SIL-niveau. Daarnaast moeten systeemtesten (proof tests) periodiek worden uitgevoerd om de betrouwbaarheid op peil te houden.
Tijdens het ontwerp wordt al bepaald hoe vaak zo’n SIS minimaal getest moet worden; wordt in de praktijk minder vaak getest, dan kan het effectieve SIL-niveau dalen. Zo kan een systeem dat op papier SIL3 is bij testinterval van 6 maanden, degraderen naar SIL2 als men in werkelijkheid maar eens per jaar test. Dit illustreert dat SIL niet alleen een ontwerpkwestie is, maar ook een zaak van strikt opvolgen van onderhouds- en testprocedures (zoals voorgeschreven in de norm en de SRS)
SIL-verificatieberekeningen
SIL-certificaat of certificate of compliance
Kortom, IEC 61511 biedt de procesindustrie een gestructureerde aanpak om instrumentele veiligheidsvoorzieningen doeltreffend toe te passen. Het volgen van deze norm helpt bedrijven om aantoonbaar te maken dat ze de procesveiligheid onder controle hebben en voldoet tegelijk aan wettelijke kaders (zoals de plicht tot risicovermindering, zie verderop). Veel bedrijven laten hun veiligheidssystemen dan ook certificeren of toetsen door een onafhankelijke instantie volgens IEC 61508/61511 om zeker te weten dat voldaan wordt aan de best practices. Een SIL-certificaat of certificate of compliance van een geaccrediteerde partij geeft aan dat een bepaalde SIS-installatie conform de norm is ontworpen en geïmplementeerd.
Praktijkvoorbeelden van SIL-toepassingen
Overdrukbeveiliging (drukontlasting)
Overdrukbeveiliging is een typisch toepassingsgebied waar SIL-classificatie een rol speelt. Traditioneel worden mechanische oplossingen als Pressure Safety Valves (PSV’s) of breekplaten toegepast om apparatuur te beschermen tegen te hoge druk. In sommige gevallen is het echter ongewenst of niet praktisch om in noodgevallen naar de atmosfeer af te blazen via een PSV (bijvoorbeeld vanwege milieu-aspecten, productverlies of omdat de benodigde afblaascapaciteit enorm zou zijn). In dergelijke situaties wordt vaak gekozen voor een instrumenteel beveiligingssysteem dat de toevoer afsluit nog vóór een drukoverschrijding optreedt. Zo’n systeem staat bekend als een High Integrity Pressure Protection System (HIPPS) – feitelijk een specifiek uitgevoerde SIS voor drukbeheersing.
Een HIPPS detecteert een naderende overdruk
Een HIPPS detecteert een naderende overdruk en sluit één of meerdere afsluiters om het proces direct af te sluiten, zodat de druk niet verder oploopt. De hele loop van sensor tot afsluiter moet voldoen aan de benodigde SIL-eisen om de vereiste risicoreductie te halen. In de praktijk betekent dit vaak dat meerdere druktransmitters parallel worden gebruikt (bijv. 2oo3 voting: twee out of three moeten overschrijding meten voordat er wordt ingegrepen) en dat er redundante afsluiters in serie staan die snel dichtvallen. Door deze opzet kan een HIPPS zeer hoge betrouwbaarheid halen, doorgaans SIL3. Zo zijn er HIPPS-installaties in olie- en gasproductie die SIL3 gecertificeerd zijn en als onafhankelijke beveiligingslaag dienen naast andere voorzieningen.
Een voorbeeld is een compressorstation in Nederland waar een SIL3-geclassificeerde HIPPS twee 24-inch afsluiters binnen 2 seconden sluit om te voorkomen dat hogedrukgas de leidingen van een lagere drukklasse overbelast. Zonder deze HIPPS zou bij een storing potentieel de compressorinlaat bezwijken, met ernstig gevaar voor mens en milieu. Dit laat zien dat in de olie- en gasindustrie SIL-gecertificeerde drukbeveiligingen cruciaal kunnen zijn om aanvaardbare veiligheid te bereiken.
Brand- en gasbeveiligingssystemen
In de (petro)chemie en offshore industrie zijn brand- en gasdetectiesystemen en bijbehorende blus- of noodstopvoorzieningen van levensbelang. Dergelijke systemen vallen onder Safety Instrumented Systems en worden vaak ontworpen voor SIL2 of SIL3 betrouwbaarheid, afhankelijk van de situatie. Een voorbeeld is een geautomatiseerd brandbeveiligingssysteem in een sproeidroger-installatie dat ontworpen is volgens SIL2 (IEC 61511).
Dit systeem heeft meerdere veiligheidsfuncties (SIF’s): het detecteert brand via temperatuursensoren, signaleert explosies via drukontlastpanelen en biedt de mogelijkheid tot handmatige noodstop. Bij detectie zal het systeem automatisch de installatie stilleggen en een blusmechanisme activeren (bijv. sproeiwater). Omdat dergelijke brand- en gasbeveiligingssystemen zelfstandig en onafhankelijk van het reguliere besturingssysteem opereren, blijven ze betrouwbaar functioneren zelfs als de procesbesturing faalt. In raffinaderijen en gasfabrieken gelden vergelijkbare principes: gasdetectors en vlammenmelders met een SIL2-classificatie kunnen gekoppeld zijn aan Emergency Shutdown (ESD) systemen.
Zodra een gaslekkage of brand wordt gedetecteerd, voert de SIS een noodstop uit (afsluiten van installatiedelen, activeren van blusschuim, etc.) met de betrouwbaarheid die hoort bij de SIL-eis. Een hoger SIL (SIL3) kan vereist zijn in extreem kritieke omstandigheden – bijvoorbeeld voor brandblusinstallaties op offshore platformen, waar ontsnappingsmogelijkheden beperkt zijn en falen tot grootschalige ramp zou leiden. In de praktijk wordt echter meestal SIL2 als voldoende beschouwd voor brand- en gasbeveiliging, omdat er vaak meerdere detectiepunten en redundante maatregelen (zoals passieve brandbescherming) aanwezig zijn als extra lagen.
Chemische reactoren
In chemische fabrieken vormen reactoren een belangrijk aandachtsgebied voor SIL-toepassingen. Sommige chemische reacties zijn sterk exotherm en kennen het risico van een runaway-reactie (reactie die onbeheerst versnelt, met explosie- of ontploffingsgevaar tot gevolg). Ter voorkoming van zo’n scenario wordt een combinatie van maatregelen ingezet, waaronder vaak een SIS met hoge integriteit. Bijvoorbeeld: een reactorbeveiligingssysteem kan continu de temperatuur en druk in de reactor bewaken en bij overschrijding van veilige limieten ingrijpen door noodkoeling in te schakelen of een noodlediging (dumpen van reactiemengsel naar een veilighoudtank) te initieren. Dergelijke functies moeten met grote betrouwbaarheid optreden, omdat falen kan leiden tot catastrofale gevolgen (vatbreuk, brand of toxische wolk). In de praktijk ontwerpen bedrijven reactor-veiligheidssystemen daarom regelmatig naar SIL3-niveau voor dit soort hoog-risico scenario’s. Zo’n SIL3 SIF kan bestaan uit meerdere onafhankelijke sensoren (om meetfouten uit te sluiten), een onafhankelijke veiligheids-PLC en speciaal ontworpen afblazings- of koelventielen. Naast het instrumentele systeem blijven ook mechanische beveiligingen als breekplaten of explosiepanelen van belang als laatste redmiddel. De combinatie van lagen – mechanisch én instrumenteel – valt onder het zogenoemde Layer of Protection principe. SIL-functies vormen daarin de actieve laag die een dreigende runaway vroegtijdig afbreekt.
Een praktisch voorbeeld is het gebruik van een SIS op een batchreactor waarin een zeer exotherme reactie plaatsvindt. De operator voert vooraf een LOPA-analyse uit waaruit blijkt dat zonder extra bescherming het risico op reactorontleding te hoog is. Men besluit een veiligheidsfunctie te implementeren die bij een bepaalde hoge temperatuur (indicerend dat de reactie versnelt) direct stoom afblaast en koelmiddel injecteert. Deze functie krijgt de eis SIL2 toegekend omdat de gevolgen ernstig zijn, maar de kans op optreden relatief laag en er ook nog een mechanische drukveiligheid aanwezig is als back-up. In een extremer geval, bijvoorbeeld een grote hogedruk-chemische reactor met zeer toxische inhoud nabij een woongebied, zou men zelfs SIL3 kunnen vereisen als primaire bescherming naast andere maatregelen, vanwege de mogelijke impact. Hoewel SIL3 in de procesindustrie minder vaak voorkomt, zijn chemische veiligheid-scenario’s zoals runaway-reacties precies die situaties waar de hoogste integriteit gerechtvaardigd kan zijn.
SIL in de praktijk
Wet- en regelgeving: Nederland vs. EU
Procesveiligheid
Het begrip SIL zelf komt voort uit normen (IEC 61508/61511) en is niet direct een wet. Toch sluiten wet- en regelgeving in Nederland en de EU nauw aan bij de doelen van deze normen: het terugbrengen van risico’s tot een aanvaardbaar niveau en het borgen van procesveiligheid. In Nederland eist de Arbeidsomstandighedenwet (Arbowet) dat werkgevers alle gevaren inventariseren (RI&E) en passende maatregelen nemen om de risico’s voor werknemers en omgeving te beheersen. Hoewel de Arbowet SIL niet met name noemt, geeft het wel aanknopingspunten: een werkgever moet aantonen dat voor geïdentificeerde scenario’s voldoende beveiligingen zijn getroffen zodat het restrisico acceptabel is. Hier komt de praktijk om de hoek: hoe men dat doet is vrij, maar het volgen van de erkende norm IEC 61511 biedt een manier om aan die zorgplicht te voldoen. Sterker nog, er wordt wel gezegd: “Volg je NEN-EN-IEC 61511-1:2017, dan voldoe je aan de wet.” – met andere woorden, het hanteren van de SIL-systematiek volgens de norm is een geaccepteerde invulling van het wettelijk vereiste om risico’s aantoonbaar te verminderen.
Besluit Risico’s Zware Ongevallen 2015 (BRZO 2015)
Naast de Arbowet is voor de zwaardere risicobedrijven het Besluit Risico’s Zware Ongevallen 2015 (BRZO 2015) van groot belang. Dit is de Nederlandse implementatie van de Europese Seveso III-richtlijn. Brzo 2015 verplicht bedrijven met grote hoeveelheden gevaarlijke stoffen om doeltreffende maatregelen te nemen ter voorkoming van zware ongevallen en om de effecten mocht er toch iets misgaan te beperken. In de geest van Seveso III moeten bedrijven “alle passende voorzorgen” treffen om rampen te voorkomen, waaronder het uitrusten van de installatie met voldoende waarschuwings-, alarm- en veiligheidssystemen.
Inspectiediensten (zoals de omgevingsdiensten en Inspectie SZW) controleren Brzo-bedrijven regelmatig op dit punt. Hoewel de regelgeving technologieneutraal is geformuleerd, wordt in de praktijk verwacht dat bedrijven hun Safety Instrumented Systems en andere veiligheidskritische systemen op orde hebben overeenkomstig de gangbare standaarden. Zo zal in een veiligheidsrapport (verplicht onder Seveso/Brzo) vaak beschreven staan welke beveiligingen met welke SIL-classificatie zijn geïmplementeerd voor de belangrijkste scenario’s. Het niet toepassen van SIL waar dit wel aangewezen is, kan bij audits of na een incident tot kritiek leiden, omdat men dan mogelijk onvoldoende aantoonbaar risicoreductie heeft gerealiseerd.
Nationale wetgeving
Europese richtlijnen zoals Seveso III gelden in alle lidstaten, maar de praktische uitwerking kan nationaal verschillen. Nederland heeft met Brzo 2015 één van de strengere regimes, waarbij meerdere toezichthouders samenwerken om naleving af te dwingen. Feitelijk lopen de nationale en Europese eisen echter parallel: beide stellen dat hoge risico’s moeten worden teruggebracht. Nationale wetgeving verwijst soms impliciet naar normen – bijvoorbeeld via termen als “stand der techniek” of “goede praktijk”. In dat kader is IEC 61511 de stand der techniek voor instrumentele beveiligingen in de procesindustrie. Bedrijven die volgens deze norm werken (en dit kunnen aantonen via documentatie en certificering) staan sterk in zowel Nederlandse als EU-context wanneer het gaat om voldoen aan veiligheidseisen.
Samenvattend: waar de wet in algemene bewoording eist dat processen onder veilig beheersbare omstandigheden moeten opereren, geeft SIL invulling aan hoe hieraan te voldoen. Door SIL-geclassificeerde systemen in te zetten en te onderhouden volgens IEC 61511, zorgen bedrijven ervoor dat ze zowel de Nederlandse regelgeving (Arbowet, Brzo) als de Europese Seveso III-richtlijn recht doen in hun dagelijkse praktijk.
SIL in de praktijk
Conclusie
Procesveiligheid
SIL is een essentieel concept geworden in de procesindustrie voor het waarborgen van veilige operaties. In dit artikel hebben we gezien dat SIL een maat is voor de betrouwbaarheid van veiligheidsfuncties en nauw verweven is met functionele veiligheid en risicomanagement. Elk SIL-niveau (1 t/m 4) komt overeen met een bepaalde orde van grootte risicoreductie, waarbij hogere SIL’s strengere eisen aan ontwerp, uitvoering en onderhoud stellen. De IEC 61511-norm biedt het kader om deze veiligheidsfuncties systematisch te implementeren via Safety Instrumented Systems (SIS) en gedurende de gehele levenscyclus te beheren. We hebben praktische voorbeelden besproken – van drukbeveiliging met HIPPS, brand- en gasdetectiesystemen tot maatregelen tegen runaway-reacties in chemische reactoren – die illustreren hoe SIL in real-life toepassingen wordt ingevuld. Tot slot is duidelijk dat hoewel SIL uit normen voortkomt, het voldoen aan SIL-eisen een effectief middel is om te voldoen aan wet- en regelgeving in Nederland en Europa op het gebied van procesveiligheid (zoals Brzo/Seveso).
“Hoe veilig is veilig genoeg?”
SIL vormt zo een integraal onderdeel van moderne procesveiligheid: het dwingt tot nadenken over “Hoe veilig is veilig genoeg?” en biedt de technische middelen om dat niveau te bereiken en te borgen. Door SIL-gecertificeerde veiligheidsfuncties in te bedden in hun installaties laten chemie- en olie- en gasbedrijven zien dat zij proactief risico’s beheersen en de bescherming van mens en milieu voorop stellen in hun operaties. Veiligheid is tenslotte geen toeval, maar het resultaat van ontwerp en discipline – en SIL helpt die betrouwbaarheid meetbaar en aantoonbaar te maken.
Safety Integrity Level, procesveiligheid, functionele veiligheid, risicobeoordeling, SIS (Safety Instrumented System), veiligheidskritische systemen, IEC 61511, chemische veiligheid, olie- en gasindustrie, SIL-classificatie en instrumentele beveiliging.