Als Teilbereich der Anlagensicherheit zielt die funktionale Sicherheit darauf ab, durch eine strukturierte Vorgehensweise Gefährdungen zu identifizieren und wirksame Maßnahmen zur Risikominimierung zu ergreifen. Dies geschieht häufig durch Sicherheitssysteme auf Basis der Prozessautomatisierung – man spricht hier auch von Sicherheitseinrichtungen oder „­Safety Instrumented Systems“ (SIS).

Die international gültigen Normen IEC 61508 (Basisnorm zur funktionalen Sicherheit) und IEC 61511 (Sektornorm für Anwendungen in der Prozessindustrie), aber auch die Richtlinie VDI/VDE 2180 sind hier von zentraler Bedeutung: Sie beschreiben detailliert, wie Sicherheitssysteme zu planen, zu bauen, zu installieren, zu betreiben und zu warten sind. Vier Schritte sind dabei wesentlich:

1. Risikobewertung
2. Festlegung von Maßnahmen
3. Einsatz geeigneter Arbeitsmittel
4. wiederkehrende Prüfung

Risikobeurteilung und ­Sicherheits-Integritätslevel SIL

Ausgangspunkt ist die Risikobeurteilung (HAZOP-Analyse). Hierfür hat sich insbesondere in der Chemie der Risikograph bewährt: Mit ihm werden das mögliche Schadensausmaß, das von leichten, reversiblen Verletzungen (S1) bis zu katastrophalen Auswirkungen mit vielen Toten (S4) reicht, die Häufigkeit und Dauer des Aufenthalts von Personen im Gefahrenbereich sowie die Möglichkeiten zur Schadensvermeidung bewertet. In Kombination mit der Eintrittswahrscheinlichkeit liefert der Risikograph schließlich den Sicherheitsintegritätslevel SIL.

Der SIL beschreibt, wie aufwändig die einzelnen Maßnahmen sein müssen, um die von einer Anlage ausgehenden Risiken auf ein akzeptables Restrisiko zu reduzieren. Je höher der SIL, desto geringer ist die Wahrscheinlichkeit, dass ein Fehler in der Sicherheitseinrichtung dazu führt, dass diese nicht funktioniert, wenn sie benötigt wird. So liegt die Ausfallwahrscheinlichkeit einer SIL 2 Sicherheitseinrichtung bei 0,01, d.h. die Sicherheitsfunktion darf rechnerisch weniger als einmal in 100 Jahren oder einmal in 100 bis 1.000 Anforderungen ausfallen. Bei SIL 3 liegt dieser Wert bei über 1.143 Jahren oder einem Ausfall bei 1.000 bis 10.000 Anforderungen.

In der Chemie sind SIL zwischen 1 und 3 üblich, wobei versucht wird, die aufwendige SIL 3-Absicherung durch verfahrenstechnische Maßnahmen im Vorfeld zu vermeiden. Ein typisches Beispiel für eine SIL-3-Anforderung sind Gasbrenner: Wenn ein Brenner nicht zündet oder die Flamme erlischt, könnte sich unverbranntes Gas in der Brennkammer ansammeln und explodieren. Die Risikobeurteilung führt hier in der Regel dazu, dass die Sicherheitsfunktionen und -systeme, die zur Beherrschung solcher Risiken eingesetzt werden, SIL 3 erfüllen müssen. Typische SIL 2-Anwendungen sind z. B. die Füllstandsüberwachung von Chemikalientanks.

SIL von Komponenten und Sicherheitskreisen

Sicherheitseinrichtungen bestehen in der Regel aus drei Komponenten: Der Sensorik, die z.B. Temperatur, Druck oder Füllstand misst, einer Steuerung und der Aktorik, z.B. einer Armatur, die eine Leitung verschließt. Obwohl für jede Komponente einer Sicherheitseinrichtung in der Regel Geräte mit dem entsprechenden SIL am Markt verfügbar sind, sollten Planer und Betreiber daraus nicht den Schluss ziehen, dass die ausschließliche Verwendung von bspw. SIL-2-Geräten automatisch zu einer SIL-2-Sicherheitseinrichtung führt.

Ob eine Sicherheitseinrichtung insgesamt den geforderten SIL erreicht, muss im Einzelfall nachgewiesen werden – entweder durch Betriebsbewährung oder durch rechnerischen Nachweis. Letzterer erfolgt auf Basis der Angaben in den Herstellererklärungen bzw. Gerätezertifikaten. Auch ein Gerät mit einer Herstellererklärung oder einem Gerätezertifikat sollte einer nachträglichen, in der Regel verkürzten Betriebsbewährung unterzogen werden.

Ob eine Sicherheitseinrichtung funktioniert, wenn sie benötigt wird, hängt von verschiedenen Faktoren ab. Im Allgemeinen unterscheidet man zwischen systematischen Fehlern und zufälligen Fehlern. Zu den systematischen Fehlern gehört z. B. eine falsche Materialauswahl: So können korrosive Stoffe die Funktion eines Sensors oder Aktors beeinträchtigen. Systematische Fehler können durch sorgfältige Planung, systematisches Qualitätsmanagement und technische Maßnahmen vermieden werden. Zufällige Fehler lassen sich damit jedoch nicht verhindern. Um diese beherrschbar zu machen, wird aus Gerätekenngrößen wie Ausfallrate (PFD, PFH) etc. die Ausfallwahrscheinlichkeit durch zufällige Fehler berechnet. Ergibt diese Berechnung für ein Gerät oder eine gesamte Sicherheitseinrichtung (Loop) einen niedrigeren SIL als die Risikobetrachtung erfordert, sind weitere Maßnahmen wie z.B. Redundanz oder der Einsatz von Komponenten mit höherem SIL erforderlich.

Regelmäßige Prüfungen sichern den SIL

Mit der richtigen Auswahl und Auslegung einer Sicherheitseinrichtung ist es jedoch nicht getan. Denn im Betrieb treten Alterungsprozesse auf, die zu einer Erhöhung der Ausfallwahrscheinlichkeit (Probability of Failure on Demand, PFD) führen. In der Folge wird der geforderte SIL irgendwann nicht mehr erreicht.

Regelmäßige Prüfungen helfen, Fehler aufzudecken und die Ausfallwahrscheinlichkeit wieder zu reduzieren. Dies hat jedoch seinen Preis: Je häufiger geprüft wird, desto geringer ist die Verfügbarkeit der Anlage. Da sich Anlagenbetreiber möglichst lange Revisionszyklen wünschen, wurden in den letzten Jahren Konzepte entwickelt, um die oft starren Prüfzyklen zu verlängern. Denn in der Praxis werden Sicherheitseinrichtungen meist jährlich oder in noch kürzeren Abständen geprüft. Die Anwendervereinigung Namur, in der viele Betreiber von Chemieanlagen organisiert sind, hat im Arbeitsblatt NA 106 „Flexible Prüfung von Feldgeräten in PLT-Sicherheitseinrichtungen“ beschrieben, wie durch Redundanz, Gerätediagnose oder Einzelprüfung der Komponenten einer SIS die Prüfzyklen flexibilisiert werden können.

Gleiche Geräte für SIL- und Nicht-SIL-Anwendungen

Geräte mit SIL-Zertifikat werden von Anlagenbauern und Betreibern längst nicht mehr ausschließlich für Anwendungen in sicherheitsgerichteten Anlagen spezifiziert. SIL wurde in den letzten Jahren häufig auch als Qualitätsmerkmal vermarktet. Aber nicht nur: Dass immer mehr Betreiber Geräte mit SIL-Zertifikat fordern, hat auch handfeste Gründe – dazu gehört die einfachere Lagerhaltung, wenn bspw. Füllstandmessgeräte sowohl in Regelkreisen als auch in Sicherheitseinrichtungen eingesetzt werden können. Außerdem vermeiden Betreiber so, dass versehentlich Geräte ohne SIL-Zertifikat oder nicht betriebsbewährte Geräte in Sicherheitseinrichtungen eingesetzt werden.

Vega hat auch deshalb die neuesten Radarsensoren Vegapuls 6X zur Füllstandmessung komplett auf Basis der IEC 61508 entwickelt: Im Betrieb sorgen zahlreiche Diagnosefunktionen kontinuierlich dafür, dass gefährliche Fehler frühzeitig erkannt werden. Bei einem Gerätefehler geht der Sensor automatisch in den sicheren Zustand über. Die für Flüssigkeiten und Schüttgüter gleichermaßen geeigneten Geräte sind bis SIL 2 geeignet und können redundant aufgebaut sogar bis SIL 3 eingesetzt werden. Auch über die Betriebsphase haben die Entwickler intensiv nachgedacht. So wird bspw. am Ende der Inbetriebnahme oder der Wiederholungsprüfung ein Dokument erstellt, das die Durchführung bestätigt und alle geprüften Punkte auflistet. Die Dokumentation der Prüfungen ist wichtig, um im Bedarfsfall gegenüber Aufsichtsbehörden die ordnungsgemäße Inbetriebnahme bzw. Prüfung nachweisen zu können. Mit Radarsensoren von Vega stehen diese Informationen auf Knopfdruck zur Verfügung: Auf Wunsch des Betreibers werden diese Nachweise auch mit einem myVega-­Account synchronisiert und dort gespeichert.
Bei der SIL-Ausführung des Vegapuls 6X kann die Zusatzdiagnose über die Bedienung deaktiviert werden. Damit verhält sich der Sensor bei Bedarf ohne Einschränkungen wie ein Standardgerät. Dies hilft Betreibern, die eingesetzten Geräte zu standardisieren und ein und dasselbe Radargerät sowohl in Sicherheitseinrichtungen als auch für normale Betriebsmessungen einzusetzen. Dies vereinfacht die Lagerhaltung und reduziert die Komplexität in den Anlagen.

Sicherheit für die Sicherheit

Neben den oben beschriebenen systematischen und zufälligen Fehlern gewinnt die Sicherheit vor Cyber-Angriffen in verfahrenstechnischen Anlagen immer mehr an Bedeutung. Dies gilt auch für Sicherheitseinrichtungen der funktionalen Sicherheit – denn ohne Security gibt es keine Safety. Nicht zuletzt der 2017 bekannt gewordene gezielte Angriff auf die Safety-Systeme einer petrochemischen Anlage in Saudi-Arabien („TRISIS“) hat das Bewusstsein für dieses Thema geschärft. Auch bei der Entwicklung des Vegapuls 6X haben die Softwareingenieure daher größten Wert auf Cybersecurity gelegt. Die Geräte sind konform zum wichtigen Standard IEC 62443-4-2 und erfüllen die strengen Anforderungen an sichere Kommunikation und Zugriffskontrolle.

Fazit

Die Umsetzung von SIL-Standards in der chemischen Industrie ist entscheidend, um Risiken zu minimieren und Mensch und Umwelt zu schützen. Durch eine strukturierte Vorgehensweise und den Einsatz zertifizierter Sicherheitseinrichtungen können Anlagenbetreiber das Restrisiko deutlich reduzieren.

Gleichzeitig sind regelmäßige Prüfungen und die Berücksichtigung von Cybersecurity-Aspekten unerlässlich, um die Funktionalität und Sicherheit der Systeme langfristig zu gewährleisten. Geräte, die von Anfang an nach den Vorgaben der IEC 61508 (Funktionale Sicherheit) sowie der IEC 62443 (Cybersecurity) entwickelt wurden, helfen Betreibern, nicht nur die Anlagenrisiken sicher zu beherrschen, sondern auch ruhig schlafen zu können.

Autor:

   Carsten Bopp, Außendienst Vega Grieshaber