Suchen

Funktionale Sicherheit

So erzielen Anlagenbetreiber funktionale Sicherheit bei der Leittechnik

| Redakteur: Sonja Beyer

Auf Technik ist nicht immer Verlass – und in chemischen Anlagen können Fehler schwere Folgen nach sich ziehen. Sicherheitsbezogene Steuerungssysteme dürfen deshalb nicht von der Zuverlässigkeit der verwendeten Bauteile alleine abhängen, sondern die qualitative Analyse und der Aufbau einer sinnvollen Systemarchitektur sollten stets im Vordergrund stehen.

Firmen zum Thema

Die Sicherheit komplexer Anlagen ist eine komplexe Aufgabe. Um SIL-Anforderungen zu erfüllen, ist deshalb die ganzheitliche Betrachtung sicherheitsbezogener Systeme wichtig. (Bild: TÜV Süd)
Die Sicherheit komplexer Anlagen ist eine komplexe Aufgabe. Um SIL-Anforderungen zu erfüllen, ist deshalb die ganzheitliche Betrachtung sicherheitsbezogener Systeme wichtig. (Bild: TÜV Süd)

Regelwerk erfüllt, SIL-Anforderung gemäß Zertifikat erreicht, also alles bestens? Diese Fehleinschätzung kann bei chemischen Anlagen und deren Prozessleitsystemen, wo besonders hohe Sicherheitsstandards gelten, fatal sein. Denn hohe SIL-Zertifizierungen allein bringen noch keine Sicherheit, und oft steht eine höchstmöglich zertifizierte Zuverlässigkeit einzelner Komponenten im Gegensatz zu einem qualitativen Ansatz bei Risikobewertung und Engineering.

In der Praxis werden unter den Begriffen SIL-Anforderungen und funktionale Sicherheit häufig verschiedene Aspekte vermischt bzw. fehlerhaft interpretiert. Damit bleibt das tatsächliche Ziel, die Anwendersicherheit des Gesamtsystems, unscharf. Sie ist aber der Kern der internationalen Normen EN 61508 und EN 61511, die die gesetzlichen Anforderungen an sicherheitsbezogene Systeme regeln. Während die EN 61508 die Anforderungen von Herstellerseite beschreibt, geht die EN 61511 auf die Praxis ein und ist für Betreiber nicht zuletzt aus haftungsrechtlichen Aspekten besonders wichtig.

Bildergalerie

Wie sich Ende März jedoch im Rahmen des 2. Mannheimer Anlagenforums „Funktionale Sicherheit: Anspruch und Wirklichkeit“ zeigte, wo unter dem Dach von TÜV Süd Industrie Service Experten aus Chemie, Energiewirtschaft und Wissenschaft Praxis-Fragen zur Planung und Umsetzung der EMSR-Technik diskutierten, herrscht derzeit noch vielfach Unsicherheit bei der SIL-Zertifizierung sicherheitsrelevanter Anlagenkomponenten: „Mit großem Erstaunen habe ich festgestellt, dass einige Teilnehmer von Seiten der Anlagenbauer mit dem Thema SIL gar nicht oder nur wenig vertraut waren“, sagt z.B. Bernd Obieglo, Leiter technische Revision bei DVV (Duisburger Versorgungs- und Verkehrsgesellschaft). Was enthält das Zertifikat? Und welchen Stellenwert hat es? Dies sind wichtige Fragen, die immer wieder auftauchen.

Das Funktionieren sicherheitsbezogener Systeme muss unter bestimmten Fehlerbedingungen mit einer bestimmten Wahrscheinlichkeit gewährleistet sein. Dafür sind verschiedene Sicherheitsstufen zu erfüllen, von SIL1 (geringes Risiko) bis SIL4 (sehr hohes Risiko). Mit dem Risiko steigen die Anforderungen an die Zuverlässigkeit der Systeme und Komponenten.

„Sichere Fehler“ und Toleranzen

Die Sicherheitsstufen hängen von der Safe Failure Fraction (SFF) und der Hardware Fault Tolerance (HFT) ab. Erstere setzt sich aus sicheren und als gefährlich erkannten Fehlern zusammen. Während sichere Fehler keine sicherheitskritischen Auswirkungen haben, weil die Anlage kontrolliert heruntergefahren wird, können allerdings als gefährlich erkannte Fehler sicherheitsrelevante Fehlfunktionen bedeuten. Zusammen errechnet sich daraus die Ausfallrate des Systems.

Bei der Unterscheidung von sicheren und gefährlichen Fehlern spielen auch Fehlerarten wie passive, aktive sowie systematische und zufällige Fehler eine Rolle: Aktive Fehler lösen eine Schutzfunktion aus und sind daher ungefährlich – im Gegensatz zu Passivfehlern. Jede Diagnose eines Systems zielt darauf ab, diese Fehler aufzudecken. Der Diagnoseaufdeckungsgrad (DC) muss daher so festgelegt sein, dass sich mögliche Passivfehler zu 100 Prozent entdecken lassen. Die Hardware Fault Tolerance bezieht sich auf die Verfügbarkeit bzw. die Fehlertoleranz eines Systems. Mit der Höhe des Werts (0, 1 und 2) steigen die Verfügbarkeit und die Dauer, wie lange das Systeme ohne Ausfall durchhält.

Ein SIL-Zertifikat für EMSR-Komponenten enthält von Herstellerseite notwendige sicherheitstechnische Kenn- und Basisdaten zur SFF und HFT. Sie betreffen:

  • sicherheitsgerichtete unentdeckte Ausfälle,
  • sicherheitsgerichtete entdeckte Ausfälle,
  • gefährliche entdeckte Ausfälle,
  • gefährliche unentdeckte Ausfälle.

Daraus kann der Anteil der SFF abgeleitet werden. Enthalten sind zudem:

  • die Wahrscheinlichkeit für das Versagen bei Anforderung pro Stunde (PFD/PFH),
  • die zulässige Betriebsart (Low Demand/High Demand des PFD),
  • die Hardwarefehlertoleranz (HFT),
  • die Art des Gerätetyps (A=einfaches Teilsystem, B=komplexes Teilsystem),
  • das zugrundeliegenden Prüfintervall für die angegebene SIL-Stufe (T1),
  • die nutzbare Lebensdauer (gewöhnlich acht bis 12 Jahre),
  • der Diagnoseaufdeckungsgrad (DC).

Um ein erforderliches SIL-Level zu erreichen ...

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 27129530)