Ausfallszenarien lassen sich bei mechanischen Sicherheitseinrichtungen weitestgehend ausschließen
Wenn Fehler nicht zufällig, sondern systematisch sind
Fehlerhafte Schaltprozesse, die zufällig und unvorhersehbar auftreten, sind charakteristische Eigenschaften von elektrischen, elektronischen und programmierbaren elektronischen Bauteilen und daraus aufgebauten Sicherheitseinrichtungen (E/E/PE-Systeme). Auch bei qualitativ hochwertigen Produkten ist es lediglich eine Frage der Zeit, wann bspw. der Sensor der Sicherheitseinrichtung ausfällt. In der Sicherheitstechnik wird diese Ausfallwahrscheinlichkeit mit Hilfe probabilistischer Modelle bestimmt. Gleichzeitig gilt es, im Sicherheitslebenszyklus der E/E/PE-Sicherheitseinrichtungen auch systematische Fehler zu vermeiden, was mit deterministischen Analysemethoden und einem Managementsystem der Funktionalen Sicherheit gelingt.
Immer häufiger machen die Sachverständigen von TÜV Süd die Erfahrung, dass versucht wird, den probabilistischen Ansatz auch auf rein mechanische Sicherheitseinrichtungen bzw. Komponenten zu übertragen. Dann steht bspw. die Frage im Raum, wie hoch die Wahrscheinlichkeit ist, dass ein Überdruckventil in den nächsten fünf Jahren im Anforderungsfall versagt. Diese Frage ist jedoch nur bedingt zulässig, eine einfache Antwort ist nicht möglich. Mechanische Bauteile fallen niemals zufällig aus. Ausnahmslos führen systematische Fehler zu einem Versagen. Bei den Sicherheitsanalysen sind deshalb deterministische Ansätze und Fehlervermeidungsstrategien zielführend, da der systematische Fehler in der Praxis nicht zu quantifizieren ist. Das ist wichtig, falls man mechanische und elektrische Sicherheitsbauteile auch miteinander vergleichen will, da bei der Bewertung der E/E/PE- Bauteile von Sicherheitseinrichtungen ausschließlich der zufällige Fehler in die quantitative Bewertung einfließt.
Normen zur Funktionalen Sicherheit korrekt auslegen
Der Grund für den falschen Ansatz und Missverständnisse könnte in der zunehmend hybriden Bauweise liegen: Der Aktor einer Sicherheitseinrichtung wie bspw. eine Absperrarmatur mit elektrischem Antrieb und integrierter Steuerung enthält sowohl elektrische als auch rein mechanische Komponenten. Die Systemgrenzen sind hier mitunter schwer zu erkennen. Diese Entwicklungen spiegeln sich auch auf regulativer Ebene wider. So gibt die aktuelle Normung Ansatzpunkte für mehr Flexibilität. Die Wahl des passenden Fehlermodells für eine Komponente einer Sicherheitseinrichtung muss technologiespezifisch gewählt werden.
So enthalten die IEC 61508-1 und IEC 61511- 1 einleitend offene Formulierungen, die eine Anwendung der Probabilistik auch über E/E/PE-Systeme hinaus erlauben. Allerding kann die Methode nicht zur Berechnung von „Ausfallwahrscheinlichkeiten“ mechanischer Bauteile herangezogen werden. Schließlich fordert die IEC 61508-1 zugleich eine technologiespezifische Sicherheitsstrategie. Mögliche auftretende Fehler sind also für jedes einzelne Element oder Teile einer Sicherheitseinrichtung (Sensor, Steuereinheit und Aktor) separat zu betrachten.
Das korrekte Fehlermodell richtig wählen
Um die Wahrscheinlichkeit des Auftretens eines zufälligen Fehlers von Sicherheitseinrichtungen mit E/E/PE-Komponenten sind probabilistische Fehlermodelle mit Berechnung der Ausfallwahrscheinlichkeiten das Mittel der Wahl. Bei dieser Methode bestimmen Experten, mit welcher Wahrscheinlichkeit ein zufälliger Fehler in einem definierten Betriebszeitraum auftritt, der zu einem Ausfall und einem Verlust der Sicherheitsfunktion führen kann. Diese Fehler betreffen Bauteil-immanente Schaltprozesse bspw. bei Halbleiterbauteilen wie Transistoren. Sie sind weder vorhersehbar noch reproduzierbar.
Mechanische Komponenten versagen jedoch stets auf Basis von Fehlern wie bspw. Leckagen, Verkleben der Dichtflächen, Korrosion, Risse oder Brüche im Werkstoff. Sie alle lassen sich auf systematischen Fehler als Ursache zurückführen. Das bedeutet, sie
- treten immer dann auf, wenn bestimmte Rahmen- und Betriebsbedingungen erfüllt sind,
- unterliegen kausalen Zusammenhängen mit nachvollziehbaren Ursachen und Auswirkungen,
- sind prinzipiell vorhersehbar und damit ausnahmslos vermeidbar.
Das bedeutet: Mechanische Schutzeinrichtungen versagen immer dann, wenn die ausgewählten Werkstoffe ungeeignet für die verwendeten Fluide sind, wichtige Betriebs- oder Umgebungsbedingungen unberücksichtigt blieben oder die Komponente in minderer Qualität hergestellt wurde (z. B. Materialeinschlüsse im Guss). Aber auch aus nicht berücksichtigten Schadstoffen in der Umgebungsluft oder Frost im Außenbereich folgen bisweilen Planungs-, Ausführungs-, Betriebs- oder Instandhaltungsmängel. Sie alle sind auf systematische Fehler zurückzuführen: Das ausgewählte Bauteil ist nicht geeignet. Es nimmt Schaden im Betrieb und kann die ihm zugedachte Funktion deshalb nicht dauerhaft und zuverlässig übernehmen.
Eignung nachweisen und Fehler ausschließen
Daraus folgt: Sämtliche Ausfallszenarien lassen sich bei mechanischen Sicherheitseinrichtungen weitestgehend ausschließen. Denn Sicherheitsexperten können prognostizieren, wann und unter welchen Bedingungen bspw. die Dichtflächen eines Überdruckventils verkleben oder die Zuleitungen durch Ablagerungen verstopft werden. Sie können einschätzen, ob sich die Bauteile mit angepassten Wartungsintervallen sicher betreiben lassen. Das bedeutet: Jede mechanische Komponente muss zunächst einmal für die zugehörige Anwendung geeignet sein. Ist diese Voraussetzung erfüllt und werden die Bauteile bestimmungsgemäß verwendet, dann gilt für das mechanische Bauteil bzw. Subsystem λDU=0 für den rechnerischen SIL-Nachweis (=ausschließliche Bewertung des rein zufälligen Ausfalls).
Dass die chemisch-physikalischen Eigenschaften eines Bauteils auf die Umgebungs- und Betriebsbedingungen ausgelegt sind, muss daher mit einem Eignungsnachweis belegt werden. Dazu können Baumusterprüfungen und Qualitätssicherungssysteme dienen. Doch auch mit Einzelprüfungen oder einer umfassenden Betriebserfahrung des Bauteils unter identischen, nicht sicherheitsrelevanten Rahmenbedingungen kann der Nachweis über die Eignung erbracht werden. Ein Managementsystem der funktionalen Sicherheit hilft zudem, systematische Fehler im Lebenszyklus der Komponenten zu vermeiden. So kann bspw. sichergestellt werden, dass bei einem notwendigen Austausch ein gleichwertiges Ersatzteil beschafft wird.
Systematische Fehler auch im Betrieb vermeiden
Eine Vorgehensweise, bei der Planer, Konstrukteure, Hersteller und Betreiber ihre Fehlermodelle, ihre Bewertung der Zuverlässigkeit und ihre Berechnungsverfahren wählen, helfen bei der technologiespezifischen Bewertung der jeweiligen Komponente bzw. der gesamten Sicherheitseinrichtung. Hierbei bieten auch Eignungsnachweise auf Basis der einschlägigen Regelwerke eine sinnvolle Hilfe, die dann anwendungsbezogen zu spezifizieren sind.
TÜV Süd unterstützt Hersteller und Betreiber über den kompletten Life Cycle ausgehend von der Herstellung, über das Inverkehrbringen, beim Errichten, beim Betreiben und beim Ändern von Sicherheitseinrichtungen – bei Neuanlagen ebenso wie bei Änderungen an Bestandsanlagen.
Weitere Normen zur Orientierung
Eine gute Orientierung bieten die Druckgeräterichtlinie und die DIN EN 4126. Beide Regelwerke enthalten für die Absicherung gegen Überdruck zusätzliche Anforderungen: Für das Inverkehrbringen bspw. müssen Komponenten der Kategorie IV eine festgelegte Qualitätssicherung bei der Herstellung durchlaufen. Die DIN EN 161 beschreibt bspw. Anforderungen an automatische Absperrventile für Gasbrenner und Gasgeräte. Werden diese unter einem Qualitätsmanagementsystem normgerecht hergestellt und geprüft, schließt das einen Ausfall für die festgelegte Lebensdauer in der Regel aus, wenn auch die Vorgaben für Betriebsweise, Wartung und Instandhaltung beachtet wurden.