Suchen

Funktionale Sicherheit

So erzielen Anlagenbetreiber funktionale Sicherheit bei der Leittechnik

Seite: 2/2

Firmen zum Thema

... sind v.a. Angaben zum Redundanzgrad (HFT) zentral – und auch Eindeutigkeit, denn Formulierungen wie „geeignet bis SIL3“ öffnen Fehlinterpretationen Tür und Tor. In der Praxis wird immer wieder die Berechnung der SFF und der PFD diskutiert und damit die Zuverlässigkeit des SIL-Werts. Der Betreiber oder Prüfer der Anlage hat als Prüfungsgrundlage die HFT-Anforderungen der Norm EN 61511 zu berücksichtigen. Wenn Abweichungen nicht ausreichend begründet sind und Fahrlässigkeit bei der Berechnung unterstellt werden kann, hat dies im schlimmsten Fall rechtliche Folgen.

Sicherheitsbezogene Teile einer Steuerung (SRP/CS), die auf Basis vorgenommener Risikobewertungen erhöhte Anforderungen stellen, sollten daher nicht von der Zuverlässigkeit der verwendeten Bauteile alleine abhängen. Gerade in einem gesamtfunktionalen System sollte nicht die quantitative Bauteilzertifizierung allein im Vordergrund stehen, sondern die qualitative Analyse und der Aufbau einer sinnvollen Systemarchitektur. Generell können funktionale Schutzsysteme auf zwei verschiedene Arten aufgebaut werden: Entweder kommen z.B. zertifizierte Einzelgeräte zum Einsatz, die definierte Schutzanforderungen erfüllen müssen, oder Schutzsysteme werden mit nicht zertifizierten, diversitären Geräten redundant aufgebaut.

Bildergalerie

Zertifikate nicht überbewerten

Bei der Ausführung eines Prozessleitsystems sind in „zwei von drei“ Signalauswertungen keine zusätzlichen Anforderungen wie Zertifizierungen an die Einzelgeräte zu stellen. Auch nicht zertifizierte Geräte können dort eingesetzt werden. Eine diversitäre Auswahl von Geräten reduziert dabei die Ausfallwahrscheinlichkeit. Oft wird derzeit jedoch ein SIL-Zertifikat im Hinblick auf die funktionale Sicherheit eines Gesamtsystems überbewertet. Hinzu kommt eine Fixierung auf möglichst hohe SIL-Werte; auf Betreiberseite aus dem Glauben, sich durch hoch zertifizierte Komponenten absichern zu können, auf Herstellerseite, weil sich ein hoher SIL-Wert positiv auf die Vermarktung des Bauteils auswirken kann. Die Gebrauchsfähigkeit der Einzelgeräte innerhalb eines Regelungs- und Schutzsystems bleibt dabei im Hintergrund, obwohl sie entscheidend für eine sichere und wirtschaftliche Anlagenfahrweise ist.

Wer Risiken zuverlässig reduzieren will, muss dabei auch die Prozessan- und -einbindung einer Komponente mit unter die Lupe nehmen. Wird z.B. ein redundantes System mit nur einer Prozessanbindung betrieben, kann ein einzelner Fehler in der Prozessanbindung den Verlust des gesamten Systems bedeuten. Die EN 61511 gibt mögliche Spielräume eindeutig vor. Die HFT, die für Bauteile (den Loop) gilt, muss auch bei der Prozessein- und -anbindung beibehalten werden, sonst wird eine SIL-Betrachtung schon im Ansatz fehlerhaft. Spielräume eröffnen sich nur durch Fehlerausschlüsse, z.B. wenn bei Rohrleitungen nur Medien eingesetzt werden, die nicht zu Ablagerungen neigen und sich deshalb die Leitung nicht zusetzen kann.

Ein anderes Beispiel für diesen Ansatz gibt ein Schutzsystem innerhalb einer Prozessanbindung (Schaubild 1). Im vorliegenden Fall werden in der Regel nur die implementierten Schutzsysteme von Signalgeber, Schutzeinrichtung und Stellglied betrachtet – und zwar auf Grundlage einer quantitativen Bewertung. Dafür sind Ausgangsdaten zu Ausfallraten nötig. Doch wie zuverlässig sind diese Zahlen? In der Praxis liegen lediglich für die Steuereinheiten genügend gesicherte Daten vor. Bei Signalgebern (Sensoren) und Stellgliedern (Aktoren) hingegen nicht. Deshalb werden auf Basis von Schätzungen für Signalgeber und Stellglieder Werte definiert und weiter verwendet. Nicht bewertet werden z.B. die Anbindung an die Prozessschnittstellen und mögliche Fehleranteile der Einzelgeräte innerhalb des Schutzsystems. Es empfiehlt sich, den Sachverhalt zusätzlich qualifiziert zu betrachten, indem man sicherheitsrelevante Komponenten in ihrer gesamten Wirkungskette (Loop) beurteilt, einschließlich der Prozessanbindungen. Auch verlangen die Schutzanforderungen nach redundanten Strukturen innerhalb eines Loops.

Eine SIL3-Anforderung setzt kein Schutzsystem voraus, das aus hoch-zertifizierten Komponenten aufgebaut ist (Schaubild 2), sondern lässt sich auch mit einem redundanten Aufbau über SIL1-zertifizierte Geräte erreichen (Schaubild 3). Allerdings sollten diese von verschiedenen Herstellern stammen, um produktionsbedingte Fehlerwahrscheinlichkeiten zu minimieren (diversitäre Struktur). Eine solche Konfiguration erhöht meist auch die Verfügbarkeit der Anlagenprozesse. Zudem werden hoch-zertifizierte und damit vergleichsweise kostenintensive Komponenten eingespart.

Fazit

Zertifikate allein ersetzen also kein qualifiziertes Engineering. Die ganzheitliche Analyse aller Teilsysteme ist nicht nur zwingend, um kritische Wechselwirkungen zu vermeiden, sondern dient vielmehr der Sicherheit, Umweltverträglichkeit, Verfügbarkeit und Effizienz chemischer Anlagen. Und Obieglo bestätigt: „Genau damit bin ich als Revisor in der Lage, einen Anlagenmanager von Prüfungsergebnissen zu überzeugen.“

* Der Autor ist Leiter Kraftwerks- und Anlagenservice/Branchenmanager Kraftwerke bei TÜV Süd Industrie Service.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 27129530)