Anlagenbau & Prozesstechnik

Neuzertifizierung von SIL-Geräten: Herausforderungen und Chancen

04.12.2017 -

Eine Neuzertifizierung eines bewährten Gerätes steht dem eines neuen nach SIL –Vorgaben entwickelten Gerätes in nichts nach. Die „Felderfahrungen“ sind dabei von Vorteil.

Ein Wermuts-Tropfen aus Hersteller-Sicht ist jedoch vorhanden: Ein neu zertifiziertes Gerät kann nur mit sehr viel Aufwand um weitere Features, Messbereiche, Prozessanschlüsse erweitert oder ergänzt werden. Der Grund: Es ist auf einen bestimmten Ausführungszustand zertifiziert (Firmware, Hardware, spezifische Ausführungen) und trägt den Zusatz „SIL Einstufung aufgrund Betriebsbewährtheit“ (engl. Bezeichnung: SIL – proven in use).

Betriebsbewährtes SIL-fähiges Gerät
Das in Fulda beheimatete und nach den beiden Anfangs-Initialen des Firmengründers JUchheim MOritz benannte Unternehmen Jumo ist ein familiengeführter Mittelständler im Bereich der industriellen Mess-, Regel und Automatisierungstechnologie. Beim Blick auf das Produktportfolio wird schnell klar, dass das Wissen um die Sensor- und Reglertechnologie ein tragendes Element des Unternehmens ist.
Schon frühzeitig hat sich das Unternehmen aus Fulda um hohe und erhöhte Sicherheit bei Sensoren und Thermostaten gekümmert. Thermostate, Temperaturwächter, Temperaturbegrenzer, Sicherheitstemperaturbegrenzer – allen Geräten ist gemein, dass sie die gemessenen Temperaturen sicher überwachen und gegebenenfalls sicher abschalten.
Im Reigen der Jumo Sicherheits-Sensorik gibt es nun einen weiteren frischen Trieb. Die Jumo dTRANS p20 Drucktransmitter Familie mit Hart-Protokoll. Eigensicher oder druckfest gekapselt für Absolut-/Relativ- oder Differenzdruckmessungen. Die Geräteserie wurde nun vom TÜV Nord nach der neuesten Norm DIN EN 61508/-1/-2: 2011 Pfad 2H neu zertifiziert. (IEC 61508: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme Teil 1 und Teil 2). Der Drucktransmitter ist nun eingestuft als betriebsbewährtes SIL-fähiges Gerät für Sicherheitseinrichtungen (engl. Bezeichnung: proven-in-use).
Doch was genau heißt eigentlich „neuzertifiziert“? Ist dies überhaupt „echtes“ SIL? Muss ein mustergültiges SIL-Gerät nicht von Grund auf nach IEC61508 entwickelt werden?
Ganz im Gegenteil ist man geneigt zu sagen. Eine Neuzertifizierung ist ein äußerst zeitintensives Unterfangen, bei dem tatsächlich alle relevanten Komponenten und Teile einer aufwändigen Prüfung unterzogen und entsprechende Nachweise gefordert werden. Eine Neuzertifizierung gemäß DIN EN 61508/-1/-2: 2011 Pfad 2H heißt für den Hersteller konkret:

Kenndaten und Architektur
Es ist eine Fehlerbetrachtung nach DIN EN61508-2 Tabelle A1 mit entsprechendem Diagnosedeckungsgrad für SIL 2 (Typ B) zu erstellen. Für die präzise Ermittlung der Fehlerverteilungen und Fehlerraten sind entsprechende IEC Normen sowie herstellerspezifische Angaben heranzuziehen. Darüber hinaus muss eine FMEDA (Failure Mode Effect Diagnostic Analysis) bis auf Bauteilebene durchgeführt, berechnet und bewertet werden. Als letzter Schritt ist die gesamte Druckmessumformer-Architektur sowohl elektronisch, softwaretechnisch als auch mechanisch zu bewerten und zu beurteilen. Die gesammelten und bewerteten Daten fließen in die Gesamtbetrachtung ein.

Retouren-Statistik
Darüber hinaus sind entsprechende Fehlerbetrachtungen auf Basis der verkauften Stückzahlen und Reparaturen vorzunehmen. Alle dort festgestellten Fehlermöglichkeiten müssen kategorisiert und jeder einzelne Zustand mit entsprechenden Verbesserungsvorschlägen und hinreichenden Verbesserungsumsetzungen versehen werden. Das heißt, es ist immer eine Untersuchung zur Gewährleistung der funktionalen Sicherheit sicherzustellen und eine Unterteilung in systematische beziehungsweise zufällige Fehler vorzunehmen. Das Umsetzen der genannten Verbesserungen ist nachzuweisen. Aus den kategorisierten Fehlern sind entsprechende Ausfallstatistiken und Ausfallraten zu erstellen und mit entsprechenden Matrix-Einteilungen in gefährlich, ungefährlich, detektierbar, nicht-detektierbar zu versehen. Auch diese gesammelten und bewerteten Daten fließen in die Gesamtbetrachtung mit ein.

Validierung der Produktion
Mit entsprechenden Vorgabedokumenten des Fertigungsprozesses sind alle Arbeitsanweisungen in der Produktion anzugeben. Für die Serienfreigabe sind in zusätzlichen, spezifischen Dokumenten die einzelnen Prozessschritte innerhalb der Produktion genau zu definieren. Managementdokumente für die Fertigungseinführung sind ebenfalls überzuführen. Das sind zum Beispiel Basisdokumente für die Serienfreigabe inklusive aller relevanten Zeichnungen, Prüfanweisungen und Anpassungen des Konfigurations- als auch des Abgleichplanes.
Die Produktion ist neben bereits bestehenden Überwachungseinrichtungen/-Audits, wie etwa für Atex, Qualitätsmanagement ISO 9001, Maritime Zulassungen, Eurasische Zulassungen, auch noch bezüglich funktionaler Sicherheit zu auditieren.

TÜV Nord als Schiedsrichter
Man muss sich an dieser Stelle bewusst machen, dass die vorgenannten Schritte zwar im eigenen Haus zu erstellen sind, aber von Verantwortlichen einer neutralen Stelle begleitet, verifiziert und letztendlich validiert werden müssen. Es ist sicherlich nachvollziehbar, dass eine solch tiefgehende Begleitung interner Prozess und Abläufe durch eine betriebsfremde Person erhebliche organisatorische Auswirkungen verursacht, von den Kosten einmal ganz abgesehen. Der Aufwand ist aber tatsächlich sinnvoll, da alle Prozesse schonungslos offengelegt werden. Mögliche Schwachstellen werden so deutlich benannt und es besteht die Chance einer Veränderung.
Jumo hatte allerdings auch schon bei der Entwicklung der Jumo dTRANS p20 Serie den Fokus auf Sicherheit und Zuverlässigkeit gelegt. Die Prozesstranmsitter hatten daher von Beginn an interne Diagnosealgorithmen implementiert – zur Überprüfung der Korrektheit und Gültigkeit aller Prozessvariablen sowie der ordnungsgemäßen Funktion der Speicher. Auch die Ausgangsstufe der Druckmessgeräte wurden und werden durch Rücklesen des analogen Ausgangssignals und Auslesen der Versorgungsspannung fortwährend auf mögliche Unregelmäßigkeiten überprüft.
Jeder Jumo dTRANS p20 und jeder Jumo dTRANS p20 Delta erhält nach erfolgreichem Fertigungs- und Kalibrierprozess ein Kalibrierzeugnis. In diesem wird der analoge Stromausgang bezogen auf ein vorgegebenes Drucksig­nal bestätigt. Die Justierung und Prüfung erfolgt mit Prüfmitteln, deren Rückführbarkeit auf nationale Normale (DAkkS) gegeben ist.

Sicherheitsfunktion und Safety Manual
Die Zielsetzung lag bei den Ausführungen Jumo dTRANS p20 und Jumo dTRANS p20 Delta auf der Architektur 1oo1 (one-out-of-one). Für diese Architektur ist die Hardware-Fehlertoleranz genau Null (HFT= 0). Damit ergibt sich entsprechend dem Architekturpfad 2H der DIN EN 61508/-1/-2: 2011 bei Low Demand Anforderungen: Die Druckmessumformer sind einkanalig bis SIL 2 einsetzbar (HFT = 0). Die Sicherheitsfunktion bezieht sich auf das Messen von Drücken und wird in einem separat beigefügtem Safety Manual genau beschrieben. Die Jumo dTRANS p20 erzeugen einen prozessbezogenen Messwert, der zum Automatisierungssystem als 4 bis 20 mA Ausgangssignal übertragen wird. Dabei gilt: Der Stromausgang ist das einzige sicherheitsgerichtete Signal des Mess­umformers. Das parallel verfügbare Hart-Signal dient lediglich als Kommunikations- bzw. Konfigurationssignal. Die Sicherheitsfunktion ist spezifiziert nach Namur NE 43, was heißt: Das gültige Ausgangssignal liegt zwischen 3,8 und 20,5 mA (Messinformation). Das Ausgangssig­nal (Ausfallinformation) im Fehlerfall kann auf ≤ 3,6 mA oder ≥ 21,0 mA eingestellt werden.

Nachzertifizierung gemäß DIN EN 61508/-1/-2: 2011, Pfad 2H
Selbst in dieser kurzen Beschreibung dürfte deutlich geworden sein, dass eine Neuzertifizierung nach DIN EN 61508/-1/-2: 2011 tatsächlich ein zuverlässiges Gerät garantiert – für den harten Einsatz in sicherheitskritischen Systemen. Und um die zu Beginn gestellte Frage zu antworten: „Ja, ein neu zertifiziertes Gerät ist ‚echtes‘ SIL!“

Kontakt

Jumo GmbH & Co. KG

Moritz-Juchheim-Straße 1
36039 Fulda
Deutschland

+49 661 6003 0