Das magische Dreieck?
Qualität + Effizienz + Sicherheit: vorrangige Unternehmensziele in der chemischen Industrie
Die Sicherheitsanforderungen steigen stetig, durch zunehmende Automatisierung in den Prozessanlagen, oder auf Grund von geänderten Normen, Gesetzen und Verordnungen.
Verfahrenstechnische Anlagen besitzen unterschiedliche Gefahrenpotenziale. Die Bandbreite dieser Gefahren reicht von Schäden der Gesundheit bei Personen, der Umwelt und von Sachwerten bis hin zu schweren Katastrophen. Das damit verbundene Risiko wird definiert als die Wahrscheinlichkeit des Eintritts eines gefährlichen Ereignisses multipliziert mit dessen Auswirkungen.
Geeignete Schutzmaßnahmen
Um Mensch, Umwelt und Anlagen vor Schäden zu schützen, muss der Anlagenbetreiber die Risiken seiner Anlage anhand einer Gefährdungs- und Risikoanalyse ermitteln und anschließend mit geeigneten Schutzmaßnahmen reduzieren. An erster Stelle steht immer das Ziel, den Prozess so zu gestalten, dass er inhärent sicher ist. Wo das, z. B. aus verfahrenstechnischen oder wirtschaftlichen Gründen, nicht möglich ist, sind zusätzliche Maßnahmen zur Risikominderung auf ein tolerierbares Risiko notwendig. Nach IEC 61508-4 ist das Risiko tolerierbar, welches auf den aktuellen gesellschaftlichen Wertvorstellungen basierend, in einem gegebenen Zusammenhang tragbar ist.
Heute übernehmen immer mehr Systeme der Automatisierungstechnik sicherheitstechnische Aufgaben. Elektrische, elektronische oder programmierbare elektronische Sicherheitssysteme (Safety Integrated Systems -SIS) überwachen den Prozess, greifen im Störfall in den Prozess ein und reduzieren dadurch das Risiko eines gefährlichen Zustandes. Eine Schutzeinrichtung spricht immer dann an, wenn betriebliche Steuerungen oder Warneinrichtungen versagen. Eine PLT-Schutzeinrichtung besteht aus den Teil-Komponenten Sensorik, Steuerung und Aktorik. Diese drei Komponenten bilden ein sicherheitsbezogenes System mit einer definierten Sicherheits- oder Schutzfunktion.
Definierte Fehlerbedingungen
Diese SIS müssen ihre bestimmungsgemäßen Funktionen (Sicherheitsfunktionen) unter definierten Fehlerbedingungen und mit definierter hoher Wahrscheinlichkeit ausführen. Die Funktionale Sicherheit basiert dabei auf:
- Vermeidung systematischer Fehler bei Entwicklung, Fertigung und Betrieb des sicherheitsbezogenen Systems
- Vermeidung systematischer Fehler während Planung und Betrieb
- Beherrschen zufälliger Hardwareausfälle während des Betriebes
Systematische Fehler
Systematische Fehler sind von der Definition her prinzipiell vermeidbar. Typische systematische Fehler sind z. B. falsche Angaben in der Spezifikation oder Softwarefehler und können damit während Planung, Installation und Betrieb vermieden werden. Ursachen systematischer Fehler sind häufig in dem Prozess selber oder in den Umgebungsbedingungen zu finden. Mit dem kostenlosen Online-Tool Applicator von Endress+Hauser können systematische Fehler bei der Auslegung der Messgeräte vermieden werden (Abb. 1). Durch die schrittweise Online-Produktauswahl und -dimensionierung ist eine komfortable Auswahl, Dimensionierung und Konfiguration des für die Messaufgabe geeigneten Produktes entsprechend der spezifischen Industrieanwendung möglich.
Zufällige Fehler
Zufällige Fehler, wie z. B. Kurzschluss eines Widerstandes sind dagegen unvermeidbar und können nur durch Diagnosen oder Wiederholungsprüfungen, also durch technische Maßnahmen detektiert werden. Etwa 98 % der zufälligen Fehler sind in der Elektronik zu finden und werden in den typischen sicherheitstechnischen Kenngrößen (λ-Werte, SFF, PFD, etc.) bewertet. In den SIL-Berechnungen werden nur zufällige Fehler berücksichtigt.
SIL-Inbetriebnahme
Beim Einsatz der Geräte in PLT-Schutzeinrichtungen muss die Geräteparametrierung zwei Anforderungen erfüllen:
Bestätigungskonzept: Nachgewiesenes unabhängiges Überprüfen eingegebener sicherheitsrelevanter Parameter
Verriegelungskonzept: Verriegelung des Gerätes nach erfolgter Parametrierung (gemäß IEC 61511-1 und NE 79)
Die sichere Parametrierung hat zum Ziel, dass alle für die Sicherheitsfunktion notwendigen Parameter eingestellt und auf Korrektheit kontrolliert werden. Darüber hinaus werden die Parameter durch eine Verriegelung gegen Manipulation während der Ausführung der Sicherheitsfunktion geschützt. Erst nach Aktivierung der Sicherheitsfunktion gelten die im Handbuch zur Funktionalen Sicherheit dokumentierten SIL-Kennwerte. Zur Aktivierung des SIL-Betriebs muss eine Bediensequenz durchgeführt werden. Die Bedienung kann über eine Vor-Ort-Anzeige (falls vorhanden), mittels eines Bedientools (z. B. Endress+Hauser FieldCare) oder über einen integrierten Webserver erfolgen. Dabei werden beim Durchlaufen der Inbetriebnahmesequenz kritische Parameter entweder automatisch vom Gerät auf Standardwerte gestellt oder zur Vor-Ort-Anzeige/zum Bedientool übertragen, um die Einstellung zu kontrollieren und die Korrektheit zu bestätigen. Ein moderner Software-Assistent (SIL-IBN Wizard) ermöglicht eine komfortable und sichere Inbetriebnahme der Messgeräte; alle relevanten Schritte sind in einer einzigen geführten Abfolge enthalten. Dies gilt für einfache, wie auch für anspruchsvollere Anwendungen.
Regelmäßige Prüfungen
Bei einer Schutzeinrichtung steigt mit zunehmender Betriebsdauer die Wahrscheinlichkeit allmählich an, dass in der Komponente ein zufälliger, gefährlicher unerkennbarer Fehler aufgetreten ist und die Schutzfunktion bei Anforderung versagen würde. Aus diesem Grund ist es erforderlich für Schutzeinrichtungen in regelmäßigen Abständen eine wiederkehrende Prüfung durchzuführen. Das Prüfintervall muss so gewählt werden, dass in der Zwischenzeit simultan der Ausfall der Schutzeinrichtung und die Anforderung aus dem Prozess nicht zu erwarten ist. Das typische Prüfintervall in der Praxis beträgt 1 Jahr. Laut IEC 61508 dient die wiederkehrende Prüfung dazu, versteckte gefährliche Ausfälle (dangerous undetected λDU) aufzudecken und damit das System in einen „Wie-neu Zustand“ zu bringen. Die wiederkehrende Prüfung muss nach einer schriftlichen Prüfanweisung erfolgen. Die Häufigkeit der Wiederholprüfung hängt dabei im Wesentlichen vom Ausfallgrenzwert, also dem erforderlichen SIL-Level der PLT-Schutzeinrichtung ab. Die Wirksamkeit der Wiederholungsprüfung wird durch die „Proof Test Coverage“ (PTC) ausgedrückt. Diese beschreibt, wie nah ein System an den „Wie-Neu-Zustand“ gebracht werden kann. Die Proof Test Coverage hat einen großen Einfluss auf das Prüfergebnis und somit auf den Wert von PFDavg (PFD – Probability of Failure on Demand) und den erreichbaren SIL-Level.
Zu einem bestimmten Zeitpunkt ergibt sich die Wahrscheinlichkeit des Ausfalls näherungsweise aus dem Produkt der Ausfallrate λDU und der Betriebsdauer T mit PFD = λDU x T. Der PFDavg ist das Maß für das Sicherheitsniveau und muss je nach gefordertem SIL-Level in den bestimmten Grenzen liegen. Wie aus der Formel ersichtlich, hängt dieser Wert sowohl von der Dauer des Prüfintervalls Ti, als auch von den gefährlichen unerkannten Fehlern λDU ab und kann damit stark beeinflusst werden.
Bei Messgeräten mit niedrigen λDU-Werten (niedrige FIT-Werte) bzw. hohen Diagnosen (z. B. Liquiphant Failsafe mit λDU = 3 FIT) steigt die Ausfallwahrscheinlichkeit im Vergleich zu Geräten mit mehr gefährlich unerkannten Fehlern langsamer an und ermöglicht längere Prüfintervalle und damit eine Reduktion der Anzahl an aufwändigen, zeit- und kostenintensiven Wiederholungsprüfungen.
Neueste Gerätetechnologien, wie die Heartbeat Technology oder eine Knopfdruckprüfung wie beim Liquiphant FailSafe ermöglichen eine einfache Wiederholungsprüfung. Diese vereinfachten Wiederholungsprüfungen weisen zwar eine PTC < 100 % auf und decken damit nicht alle gefährlich unerkannten Fehler auf, aber ermöglichen eine einfache Teilprüfung des Messgerätes und eine Reduzierung der Ausfallwahrscheinlichkeit. Eine Kombination aus Voll- und Teilprüfung ermöglicht eine kosten- und zeiteffiziente Wiederholungsprüfung des Messgerätes ohne Kompromisse bei der Sicherheit einzugehen.
Fazit
Die Funktionale Sicherheit ist während der gesamten Lebenszyklus eines Messgerätes zu berücksichtigen. Bei der Auslegung und Planung der PLT-Schutzeinrichtungen sind systematische Fehler zu vermeiden und zufällige Fehler in den SIL-Berechnungen zu berücksichtigen. Bei der Inbetriebnahme von SIL-Geräten kann durch eine geführte Inbetriebnahme (SIL Wizard), in der kritische und sicherheitsrelevante Parameter überprüft und bestätigt werden, die Inbetriebnahme von SIL-Messstellen wesentlich vereinfacht werden. Intelligente und wirtschaftliche Prüfkonzepte, wie Prüftaster oder die Heartbeat Technology von Endress+Hauser bieten größtmögliche Anlagenverfügbarkeit, reduzieren Kosten und sparen Zeit, ohne dabei Kompromisse bei der Anlagensicherheit einzugehen.