Risikoreduzierende Schutzfunktion
Systematische Fehler in SIL-Schutzkreisen vermeiden
Anlagen der chemischen Industrie werden heute mit hohem Automatisierungsgrad quasi selbsttätig im Grenzbereich betrieben. Die Schutzfunktion SIL wird hier vorgestellt.
Von Anlagen und Maschinen können, z. B. bei Störfällen, Risiken ausgehen, die derart bedrohlich sind, dass Ihnen Menschen und Umwelt unter keinen Umständen ausgesetzt werden dürfen. Ist dies der Fall, sind Maßnahmen zu ergreifen um das vorhandene Ausgangsrisiko auf ein vertretbares Restrisiko zu reduzieren. Oft werden hierzu Schutzkreise mit Mitteln der Prozessleittechnik eingesetzt. Diese sogenannten PLT-Schutzeinrichtungen (SIL-Loops) überwachen sicherheitsrelevante Prozessgrößen und bringen beim Überschreiten eines Grenzwertes die Anlage in einen sicheren Zustand. Sie vermindern das Risiko durch die reduzierte Eintrittswahrscheinlichkeit eines Störfalles. Entscheidend dabei ist die Zuverlässigkeit des Schutzkreises und damit auch die der verwendeten Automatisierungskomponenten (Sensoren, Steuerung, Aktoren).
Anforderungen an SIL-Schutzkreise
Der SIL (Safety Integrity Level) ist ein Maß zur Quantifizierung der Risikoreduzierung einer PLT-Schutzeinrichtung, nicht eine Geräte- oder Anlageneigenschaft, wie häufig irrtümlich angenommen wird. Der Wert bezieht sich auf die risikoreduzierende Schutzfunktion, allerdings müssen die für den Sicherheitskreis verwendeten Geräte SIL-geeignet sein. Herstellerangaben zu SIL beziehen sich daher auf die Eignung der Geräte in Schutzfunktionen entsprechender SIL-Stufen (SIL2, 3). Je höher das Ausgangsrisiko, desto höher der erforderliche SIL der Schutzfunktion. Es sind 4 SIL-Stufen (1-4) in den Normen IEC61511, 61511 festgelegt.
Entscheidend für den sicheren Anlagenbetrieb ist die Verfügbarkeit der Schutzfunktion. Schutzeinrichtungen müssen zuverlässig sein. Versagt der Schutzkreis, z. B. durch den Ausfall einer Komponente der PLT-Schutzeinrichtung, und bleibt dies unerkannt, steigt die Eintrittswahrscheinlichkeit einer Gefährdung und damit das Anlagenrisiko. In der Realität ist es nicht möglich, absolut fehlerfreie Sicherheitseinrichtungen zu errichten und zu betreiben.
Ausfallarten und Versagensursachen von Schutzkreisen
Nicht alle Geräteausfälle führen zu einem Versagen von Schutzeinrichtungen. Aktive Fehler lösen die Schutzfunktion aus, ohne das die Überwachungsbedingungen erfüllt sind - und beeinträchtigen damit nur die Anlagenverfügbarkeit. Passive Fehler führen zu einem kritischen Betriebszustand. Diese gefährlichen, unerkannten Fehler blockieren die Schutzfunktion und verhindern das sichere Eingreifen im Störfall. Um diese aufzudecken, müssen Schutzkreise im Rahmen einer regelmäßigen Wiederholungsprüfung auf vorhandene passive Fehler kontrolliert werden. Bei der Auslegung einer PLT-Schutzeinrichtung sind bezüglich ihres Fehlerverhaltens in Abhängigkeit ihrer SIL-Einstufung Grenzwerte für die Wahrscheinlichkeit passiver Ausfälle einzuhalten und rechnerisch nachzuweisen. Dies setzt die Kenntnis belastbarer Ausfallraten für die eingesetzten PLT-Komponenten voraus.
Darum ist häufig zu beobachten, dass im Rahmen der Planung eines PLT-Schutzkreises, mit Hilfe der Ausfallraten (λDU) der gefährlichen, unerkannten Fehler aus den Herstellerangaben aller PLT-Komponenten eine Gesamtausfallrate berechnet wird und gegebenenfalls durch redundante Strukturen die Einhaltung des zulässigen Grenzwertes sichergestellt wird. Die Sammlung von Geräte-Zertifikaten erhöht die vermeintliche Sicherheit alles richtig getan zu haben. War es das? Nein!
Vergessen wird dabei, dass diese Rechnung nur zufällige Ausfälle, z. B. den eines elektronischen Bauteils, berücksichtigt. Die Ausfallraten dieser zufälligen, passiven Bauteilefehler werden durch den Hersteller einer PLT-Komponente zu einer Gesamtausfallrate zusammengefasst und dem Planer einer Schutzeinrichtung zur Verfügung gestellt.
Studien, z. B. der HSE (Health and Safety Executive, Großbritannien), aber auch Erfahrungen aus der Praxis belegen, dass in den häufigsten Fällen nicht der zufällige Ausfall, die Ursache für das Versagen einer Schutzeinrichtung ist, sondern dieses auf systematische (passive) Fehler zurückzuführen ist. In über 2/3 der untersuchten Fälle waren die Fehler bereits in einem System vorhanden bevor die Anlage in Betrieb ging und eindeutig auf die Ursache (z. B. menschliches Versagen bei Spezifikation, Planung, Installation und Inbetriebnahme) rückschließbar.
Systematische (passive) Fehler haben grundsätzlich bestimmbare und reproduzierbare Ursachen. Zu diesen zählen Spezifikations- und Fertigungsfehler beim Hersteller oder Entwurfs- und Projektierungsfehler beim Planer, sowie Montage- und Inbetriebnahmefehler beim Errichter. Beim Betreiber sind es häufig Fehler bei der Instandhaltung. Softwarefehler zählen im Übrigen ebenfalls zu den systematischen Fehlern.
Vermeidung systematischer Fehler bei Planung, Errichtung und Betrieb
Zufällige Fehler lassen sich prinzipiell nicht vermeiden. Zu den technischen Maßnahmen zur Fehlerbeherrschung zählen redundante Strukturen oder Diagnoseeinrichtungen, die während des Betriebs automatisch ablaufen. Systematische Fehler lassen sich auf Grund ihrer eindeutigen Ursache prinzipiell, z. B. durch QS-Systeme, vermeiden.
Endress+Hauser setzt zur Entwicklung und Fertigung messtechnischer Komponenten für PLT-Schutzeinrichtungen ein zertifiziertes Functional Safety Management-System (FSM) ein und einen Entwicklungs- und Änderungsprozess nach IEC61508 ein. Dies vermeidet systematische Fehler und liefert zuverlässige Geräte mit hoher Qualität ab Produkteinführung. Die nach SIL3 entwickelte Gerätesoftware erlaubt sogar den Aufbau von Schutzeinrichtungen nach SIL3 auch in homogener Redundanz - das reduziert die Lagerhaltung. Zusätzliche Vorteile sind lange Prüffristen durch umfangreiche Gerätediagnosen sowie der Einsatz in SIL2-Schutzkreisen ohne umfangreiche Betriebserprobungen.
Der SIL-Bewertung durch den Gerätehersteller sind Grenzen gesetzt. Da die späteren Einsatzbedingungen stark variieren, kann der Hersteller z. B. die messtechnische Komponente lediglich vom Prozessanschluss bis zum „sicheren Ausgangssignal", in der Regel der 4-20mA Stromausgang, qualifizieren. Im sogenannten Safety-Manual sind alle wichtigen Informationen zu Auslegung, Errichtung und Betrieb, wie z. B. sicherheitsrelevante Parameter, die Einsatzgrenzen, die Durchführung der Wiederholungsprüfung, zusammengefasst. Dieses ist unter www.de.endress.com/sil jederzeit verfügbar.
Typische Fehlerquellen bei der Auswahl und Auslegung der messtechnischen Komponenten einer PLT-Schutzeinrichtung sind z. B. die Wahl eines ungeeigneten physikalischen Messprinzips (magnetisch-induktives Durchflussmessverfahren bei nichtleitenden Flüssigkeiten) oder die ungenügende Berücksichtigung von Prozess- und Umgebungsbedingungen. Während des Betriebes kann dies messstoffbedingt zu Korrosion, Abrasion oder Ansatzbildung führen, mit der Folge eines passiven Ausfalls in Form eines hohen Messfehlers oder im schlimmsten Fall mit dem Ausfall des Messsignals. Auch bei der Montage (z. B. ungeeigneter Einbauort), Verdrahtung oder der Konfiguration/Parametrierung des Messgerätes sind Fehlerquellen möglich. Ebenso während des Betriebes z. B. bei der Wartung oder Durchführung von Wiederholungsprüfungen.
Safety by Design
Endress+Hauser hat sich von Beginn an mit dem Thema „Vermeidung systematischer Fehler" auch auf Seite der Planer, Errichter und Betreiber auseinandergesetzt und sorgt unter dem Motto „Safety by Design" mit verfügbaren Tools aber auch mit innovativen Gerätefunktionen/-eigenschaften für einen nachhaltig sicheren Anlagenbetrieb.
Ein paar Beispiele sollen dies verdeutlichen:
Ein umfangreiches Portfolio mit über 100 SIL-bewerteten bzw. nach IEC61508 entwickelten Gerätelinien mit unterschiedlichen physikalischen Messprinzipien bei den Messgrößen Füllstand, Durchfluss, Temperatur, Druck, pH vereinfacht die Auswahl der richtigen Messtechnik passend zur Messaufgabe. Der kostenlose (Online-)Applicator (www.de.endress.com/applicator) unterstützt zuverlässig die sichere Auswahl und Auslegung beim Engineering von z. B. einer Temperaturmessstelle. Der Bruch des Temperaturfühlerschutzrohres in Abb. 2 wäre bei Nutzung des Applicator-Moduls „Sizing Thermowell" sicherlich vermeidbar gewesen.
Das Coriolis-Durchflussmessverfahren ist, durch die vielzähligen Vorteile, das in der chemischen Industrie am häufigsten eingesetzte Durchflussmessverfahren.
Die in den Datenblättern spezifizierte Messunsicherheit bezieht sich auf Referenzbedingungen, wie sie beispielsweise während der Kalibrierung vorherrschen. In der Praxis kommt es jedoch zu schwankenden Prozesstemperaturen/-drücken und Umweltbedingungen z. B. in Freianlagen, sowie mechanischen Vibrationen oder Anlagenverspannungen. Alle diese Einflüsse resultieren in einer „Praxisgenauigkeit" die entscheidend sowohl für einen zuverlässigen Messwert bei Schutzeinrichtungen als auch für die Qualität der hergestellten Produkte ist. Der Proline Promass ist unempfindlich gegen Vibration und Rohrverspannungen, gegenseitiger Beeinflussung (Crosstalk) bei Flansch/Flansch-Montage von zwei Geräten, z. B. bei Einsatz in redundanten Sicherheitsstrukturen, und bietet damit höchste Praxisgenauigkeit bei einfacher und kostengünstiger Montage.
Einheitlichkeit schafft Sicherheit und Effizienz. Das einheitliche Konzept der neuen Zweileiter-Gerätefamilie für Durchfluss und Füllstand setzt neue Maßstäbe für Durchgängigkeit und Einheitlichkeit in der Feldinstrumentierung. Gleichgültig ob Durchflussmessgerät Promass/Promag/Prowirl 200 oder Füllstandmessgerät Levelflex 5x/Micropilot 5x: das einheitliche Bedienkonzept, Geräte- und Prozessdiagnose, Hardware- und Softwareentwicklung nach IEC61508 (SIL2/3) sowie integrierte Prüffunktionen für die Wiederholungsprüfung (Heartbeat-Technologie) bieten höchste Sicherheit. Sie vermeiden passive Fehler bei Planung, Errichtung und während des Betriebes. Für den Betrieb in PLT-Schutzeinrichtungen wird eine SIL-Bediensequenz mit reduziertem Parametersatz durchlaufen. Fehleingaben werden bei kritischen Parametern (z. B. Dämpfung des Messsignals) entweder durch automatische Vorgaben oder Bereichsüberprüfungen vermieden. Abschließend muss der Inbetriebnehmer alle sicherheitsrelevanten Parameter im Dialog verifizieren und bestätigen. Ein SIL-Verriegelungscode sichert vor unbefugtem Zugriff. Selbsttestfunktionen überprüfen die zuverlässige Gerätefunktion.
Fazit
Wie diese Beispiele zeigen, vermeiden effektive Planungswerkzeuge für die Auswahl und Auslegung des Messgerätes, aber auch innovative und übergreifende Gerätekonzepte systematische Fehler und sind Garant für hohe Anlagensicherheit und Wirtschaftlichkeit.