Effiziente Anlagensicherheit – ein Widerspruch?
Mit Mitteln der Prozessleittechnik sicherheitsrelevante Prozessgrößen überwachen
Die Gesamtkostenbetrachtung im Anlagenlebenszyklus wird bei der Planung immer wichtiger. Automatisierungstechnik ist der Schlüssel zur Sicherung der Wettbewerbsfähigkeit.
Verfahrensprozesse laufen weitestgehend selbsttätig und werden zur Erhöhung der Produktausbeute näher in Grenzbereichen z. B. von Druck und Temperatur gefahren. Das Gefährdungsrisiko für Mensch, Umwelt und Anlage steigt und damit auch die Anforderungen an die Zuverlässigkeit der eingesetzten Sicherheitstechnik. Das Funktionieren der Sicherheitseinrichtungen muss – so verlangt es auch der Gesetzgeber – regelmäßig überprüft werden um ein Versagen im Anforderungsfall und damit eine Gefährdung ausschließen zu können.
Die heutige Praxis zeigt, dass diese Wiederholungsprüfungen (Proof-Tests) einen hohen Personal- und Zeitaufwand und immense Kosten zur Folge haben. Insbesondere ist bei Konti-Anlagen, die über mehrere Jahre rund um die Uhr laufen, ein Anlagenstillstand ausschließlich für Prüfungen kostenmäßig nicht vertretbar.
Ausfallursachen von Sicherheitseinrichtungen
Sicherheitseinrichtungen mit Mitteln der Prozessleittechnik, so genannte PLT-Schutzeinrichtungen (SIL-Loops), überwachen sicherheitsrelevante Prozessgrößen und bringen beim Überschreiten eines Grenzwertes die Anlage in einen sicheren Zustand. Versagt der Schutzkreis und bleibt dies unerkannt, steigt die Eintrittswahrscheinlichkeit einer Gefährdung und damit das Anlagenrisiko. Diese gefährlichen, unerkannten Fehler – sogenannte passive Fehler – blockieren die Schutzfunktion und verhindern deren sicheres Eingreifen im Störfall. Um die passiven Ausfälle aufzudecken, müssen Schutzkreise im Rahmen einer regelmäßigen Wiederholungsprüfung auf vorhandene passive Fehler wiederkehrend geprüft werden.
Studien, aber auch Erfahrungen aus der Praxis belegen, dass in zwei Dritteln der Fälle nicht der zufällige Ausfall einer Schutzkreis-Komponente die Ursache für das Versagen einer Schutzeinrichtung ist, sondern dieser auf einen systematischen Fehler mit bestimmbarer und reproduzierbarer Ausfallursache zurückgeführt werden kann. Zu den systematischen, passiven Fehlern zählen Spezifikations- und Fertigungsfehler beim Hersteller oder Entwurfs- und Projektierungsfehler beim Planer. Montage- und Inbetriebnahmefehler beim Errichter oder Einflüsse durch die Prozessbedingungen oder während der Instandhaltung sind ebenfalls denkbar.
Vermeidung systematischer Fehler bei Planung, Errichtung und Betrieb
Zufällige Fehler lassen sich prinzipiell nicht vermeiden. Redundanz oder Diagnoseeinrichtungen dienen lediglich ihrer Beherrschung. Systematische Fehler lassen sich auf Grund ihrer eindeutigen Ursache prinzipiell, z. B. durch Qualitätssicherungssysteme (QS), vermeiden.
Zur Entwicklung und Fertigung messtechnischer Komponenten für PLT-Schutzeinrichtungen nutzt Endress+Hauser ein zertifiziertes Functional Safety Management-System (FSM) und einen Entwicklungs- und Änderungsprozess nach IEC 61508. Das vermeidet systematische Fehler und liefert zuverlässige Geräte mit hoher Qualität ab Zeitpunkt der Produkteinführung. Die nach SIL3 entwickelte Gerätesoftware erlaubt sogar den Aufbau von Schutzeinrichtungen nach SIL3 auch in homogener Redundanz (identische Gerätetypen). Für Anlagenbetreiber kann das die Lagerhaltung vereinfachen.
Da dem Hersteller keine Informationen über den späteren Einsatz des Messgerätes vorliegen, kann er lediglich den Messpfad vom Prozessanschluss bis zum „sicheren Ausgangssignal“ – in der Regel der 4 … 20 mA Stromausgang – qualifizieren. Im sogenannten Safety-Manual sind für den Planer, Errichter und Betreiber alle wichtigen Informationen wie sicherheitsrelevanten Parameter, die Einsatzgrenzen, die Durchführung der Wiederholungsprüfung, zusammengefasst.
Endress+Hauser hat sich beim Thema Funktionale Sicherheit von Beginn an mit der Aufgabe „Vermeidung systematischer Fehler“ auch auf Seiten der Planer, Errichter und Betreiber auseinandergesetzt. Zum Beispiel vereinfacht das umfangreiche Portfolio mit über 100 SIL-bewerteten bzw. nach IEC 61508 entwickelten Gerätelinien bei den Messgrößen Füllstand, Durchfluss, Temperatur, Druck oder pH-Analyse die Auswahl der richtigen Messtechnik passend zur Messaufgabe.
Sicherheit und Effizienz durch Einheitlichkeit und neue Prüffunktionen
Das einheitliche Konzept der neuen Zweileiter-Gerätefamilie von Endress+Hauser für Durchfluss und Füllstand zeigt Durchgängigkeit und Einheitlichkeit in der Feldinstrumentierung. Gleichgültig ob Durchflussmessgerät Promass/Promag/Prowirl 200 oder Füllstandmessgerät Levelflex 5x/Micropilot 5x: das einheitliche Bedienkonzept, Geräte- und Prozessdiagnose, Hardware- und Softwareentwicklung nach IEC 61508 (SIL2/3) sowie integrierte Prüffunktionen für die Wiederholungsprüfung (Heartbeat-Technologie) bieten höchste Sicherheit und vermeiden passive Fehler.
Für den Betrieb in PLT-Schutzeinrichtungen wird eine SIL-Bediensequenz mit reduziertem Parametersatz durchlaufen. Fehleingaben werden bei kritischen Parametern (z. B. Dämpfung des Messsignals) entweder durch automatische Vorgaben oder Bereichsüberprüfungen vermieden. Abschließend muss der Inbetriebnehmer alle sicherheitsrelevanten Parameter im Dialog verifizieren und bestätigten. Ein SIL-Verriegelungscode sichert vor unbefugtem Zugriff. Selbsttestfunktionen überprüfen die zuverlässige Gerätefunktion.
Hohe Prüftiefe ohne Ausbau oder Prozessunterbrechung
Wiederholungsprüfungen dienen bei Sicherheitseinrichtungen der Feststellung von passiven Fehlern (zufällige und systematische) und sollen die einwandfreie Funktion und Wirksamkeit der Schutzfunktion nachweisen. Die Prüfintervalle und der Prüfumfang obliegen dem Betreiber oder sind teilweise gesetzlich geregelt. Durch die heute in den Geräten integrierten Diagnose- und Selbsttestfunktionen geht der Trend hin zur Flexibilisierung (Verlängerung) der Prüfintervalle.
Das Instandhaltungspersonal berichtet gerade bei der Prüfung von Durchflussmessgeräten über besondere Herausforderungen und hohen Prüfaufwand. Durchflussmessgeräte findet man häufig in qualitäts- oder abrechnungsrelevanten Messstellen, wo im Rahmen der Qualitätssicherung bzw. der Eichpflicht oder beim CO2-Emissionshandel die Messunsicherheit oder Messfehlergrenzen einer gesetzlichen Nachweispflicht unterliegen. Deshalb werden Durchflussmessgeräte heute in der Regel durch eine Kalibrierung geprüft. Auch wenn diese durch den akkreditierten Endress+Hauser Vorort-Kalibrierservice gemäß ISO/IEC 1705 direkt beim Kunden durchgeführt werden kann, sind damit ein hoher personeller und zeitlicher Aufwand, Kosten und Risiken verbunden.
Bei Füllstandmessstellen kann unter Umständen der Behälter wegen einer vorhandenen Drucküberlagerung oder Inertisierung bzw. Toxizität des gelagerten Produkts nicht geöffnet werden. Auch ist ein Anfahren bestimmter Referenz- oder Schaltpunkte verfahrenstechnisch oder mangels Produktverfügbarkeit nicht immer möglich.
Endress+Hauser bietet für verschiedene Messverfahren effiziente Gerätelösungen mit Prüfkonzepten, die eine einfache und schnelle Funktionsprüfung „auf Knopfdruck“ im eingebauten Zustand ohne Prozessunterbrechung mit Prüftiefen (PTC – Prooftest-Coverage) bis über 90 % ermöglichen und gesetzliche Auflagen erfüllen.
- Grenzschalter Liquiphant M FLT5x mit PFM-Elektronik und Funktionsprüfung über eine Prüftaste am Messumformer
- Grenzschalter Liquiphant FailSafe FTL8x mit einem Sensor-Prüfintervall von 12 Jahren und Prüftaste am Sensor und Messumformer
- Füllstandmessgeräte Levelflex und Micropilot mit integrierter Geräte-Prüffunktion
- Temperatur Kopftransmitter iTEMP TMT82 mit vereinfachter Geräteprüfung über das Aufsteckdisplay
- Proline 2 Durchflussmessgeräte Promass, Promag und Prowirl mit Geräteverifikation in Verbindung mit dem Prüftool Fieldcheck
- Neue Proline Zweileiter-Durchflussgerätelinie Promass 200, Promag 200 und Prowirl 200 mit Heartbeat Technology zur Geräteverifikation. Heartbeat Technology ist im Messgerät integriert und über alle Bedien- und Systemschnittstellen verfügbar. Es ist eine metrologisch rückführbare, TÜV geprüfte, Testmethode. Die Prüfergebnisse werden vom Gerät ausgewertet, interpretiert und als Protokoll im pdf-Format verfügbar gemacht.
… und der Nutzen für den Anlagenbetreiber?
Geräteprüfung ohne Ausbau und Prozessunterbrechung sichert Verfügbarkeit und Qualität, reduziert personellen Aufwand und materielle Kosten, verlängert und vereinfacht Kalibrierzyklen. Ein verkürzter Aufenthalt im Gefahrenbereich bedeutet auch für das Anlagenpersonal eine geringere Gefährdung, während einheitlich konzipierte Geräte leichter geschult werden können. Automatisierte und dokumentierte Diagnosefunktionalitäten reduzieren den Zeitaufwand.
Effiziente Anlagensicherheit ist also kein Widerspruch in sich. Ganz im Gegenteil: mit sinnvollen Sicherheits- und Prüfkonzepten können Anlagenbetreiber den Normen zur Anlagensicherheit begegnen und die Wettbewerbsfähigkeit erhalten.