Das Risiko im Griff

Marlies Gerstkämper-Oevermann

Grundsätzlich gilt: In einer Risikoanalyse zur Ermittlung des SIL sind die Auswirkungen jeder Gefahrensituation zu benennen. Insbesondere muss angegeben werden, ob Personen zu Schaden kommen können. Ferner werden auch hier die Häufigkeit und die Wahrscheinlichkeit eines Ereignisses bei der Beurteilung berücksichtigt. Die DIN EN 61511-3 führt verschiedene Verfahren zur Risikoanalyse auf, wobei der Risikograf häufig genutzt wird. Ist der SIL festgelegt, lassen sich geeignete Maßnahmen zur Risikominderung ergreifen. In prozesstechnischen Anlagen werden hierzu sicherheitsgerichtete Systeme (SIS) errichtet, in denen jede sicherheitstechnische Funktion im Fehlerfall einen „sicheren Zustand“ herbeiführt, beispielsweise eine sichere Abschaltung. Die im SIS verwendeten Komponenten müssen ebenfalls dem jeweiligen SIL entsprechen und im Fehlerfall in einen sicheren Zustand übergehen.

Zum Zeitpunkt einer ersten vorläufigen Gefahren- und Risikoanalyse hinsichtlich des SIL schreibt die DIN EN 61511-2 vor, dass durch „Anwendung des Prinzips der Eigensicherheit … Gefährdungen ausgeräumt oder so weit wie möglich reduziert wurden“. Daher können die Aktivitäten, die aus der Risikoanalyse zum Explosionsschutz resultieren, nicht automatisch zur Risikominderung durch ein SIS beitragen. Anders sieht der Fall aus, wenn sie gleichzeitig eine sicherheitstechnische Funktion (SIF) ausüben und als solche als SIS oder Teil des SIS zu betrachten sind.

Alarmkonzepte unterstützen bei der Aufdeckung der während des Prozesses auftretenden gefährlichen Fehler. Der Alarm kann dabei zur ohnehin geplanten Überwachungsebene gehören und/oder er trägt als sicherheitstechnische Funktion im Sinne der DIN EN 61511 zur Reduzierung des Risikos im SIS bei. Das ist dann der Fall, wenn seine Funktion zur Erlangung des zuvor definierten „sicheren Zustands“ benötigt wird und seine mittlere Ausfallwahrscheinlichkeit dem geforderten SIL entspricht. Alle im explosionsgefährdeten Bereich verwendeten Geräte und ihre zugehörigen Betriebsmittel müssen selbstverständlich die Anforderungen des Explosionsschutzes erfüllen.

An einem Beispiel sollen die Ex- und SIL-Maßnahmen erläutert werden. In der Anwendung werden verschiedene Stoffe in einer Dispersionsanlage gemischt. Die Maschine, die sich in einem separaten Raum befindet, verarbeitet auch Lösemittel mit anderen chemischen Substanzen. Auf der Ebene der Überwachungseinrichtungen sind Prozessalarme vorgesehen. Um sicherzustellen, dass der Behälter stets gemäß den Prozessanforderungen befüllt ist, werden Sensoren zur Füllstandmessung installiert. Sprechen die Sensoren l-01 und l-02 an, wird zwecks Anpassung der Befüllung eine Zustandsmeldung an die Auswerteeinheit geschickt. Da Behälter, Zu- und Ablauf sowie die weitere Verrohrung nicht über Flansche oder sonstige potenzielle Austrittsstellen für explosionsfähige Stoffe verfügen, ist die Anlage „technisch dicht“. Allerdings sind Einfüllstutzen vorhanden, damit sich der Behälter im Ausnahmefall manuell befüllen lässt, so dass Gase entweichen können. Beim Anliefern des Materials könnte die Anlage durch einen Gabelstapler beschädigt werden. Ferner sind Defekte in den Pumpen sowie Leckagen in den Zu- und Abläufen möglich. Schließlich muss sich gelegentlich ein Mitarbeiter zum Befüllen und Reinigen des Behälters im Gefahrenbereich aufhalten. Vor diesem Hintergrund erfolgt die Festlegung des prozesstechnischen Risikos, des tolerierbaren Risikos und der Maßnahmen zur Risikominderung.

Zur Reduzierung des Explosionsrisikos ist der Bereich rund um den Einfüllstutzen als Ex-Zone 1 festgelegt worden, denn dort kann sich gelegentlich eine gefährliche explosionsfähige Atmosphäre bilden. Detektoren messen die Konzentration gefährlicher Gase in der Umgebung des Behälters, um die Abluft über die eingebaute Absauganlage regeln zu können. Da nicht auszuschließen ist, dass die Gase im Ausnahmefall eine gefährliche explosionsfähige Atmosphäre erzeugen, ist der Produktionsraum als Ex-Zone 2 ausgelegt. Alle Geräte sollen gemäß DIN EN 60079-11 „Eigensicherheit“ zertifiziert sein, ausgenommen der Motor, für den die DIN EN 60079-7 „Erhöhte Sicherheit“ anzuwenden ist. Die Füllstandsensoren nehmen ihren Wert aus Zone 0 auf. Je nach Bauart bedeutet das eine Zertifizierung Ex II 1 G Ex ia. Sämtliche in Ex-Zone 1 um den Einfüllstutzen montierten Geräte und die Ventile im Zulauf müssen mindestens EX II 2 G Ex ib erfüllen, während für die anderen Geräte in Zone 2 mindestens EX II 3 G Ex n nach DIN EN 60079-15 oder besser ebenfalls EX II 3 G Ex ic gemäß DIN EN 60079-11 sinnvoll ist. Darüber hinaus sind weitere eigensichere Sensoren am Behälter installiert, die den maximalen und minimalen Füllstand anzeigen. Die Füllstandsensoren nehmen ihren Wert aus Zone 0 auf. Je nach Bauart bedeutet das eine Zertifizierung EX II 1 G Ex ia oder EX II 1/2 Ex ia.

Im Rahmen des Alarmierungskonzepts wird der Voralarm ausgelöst, wenn der maximale Füllstand überschritten wurde. Durch Schließung des Zulaufs lässt sich der Austritt gefährlicher Stoffe verhindern. Sofern der minimale Füllstand unterschritten ist, wird der Trockenlauf des Motors unterbunden, der durch die Wärmeentwicklung zur Zündquelle werden kann, und der Motor schaltet ab. Meldet der Detektor eine leicht erhöhte Gaskonzentration, fährt die Lüftung hoch. Außerdem wird das Bedienpersonal akustisch zum Verlassen des Raums aufgefordert oder vor dem Betreten gewarnt.

Ein Hauptalarm tritt ein, sofern der Detektor die Konzentration eines gefährlichen Gases feststellt, die oberhalb der unteren Zündschutzgrenze liegt. Zur Gefahrenprävention wird die Anlage nun spannungslos geschaltet und die Lüftung verstärkt. Außerdem erfolgt eine akustische und optische Warnung des Bedienpersonals durch eine Blitzleuchte.

Auf Basis dieser Ausgangslage erstellt das Sicherheitsteam nun einen Risikografen zwecks Bestimmung des SIL. Die Auswirkung (C) im gewählten Beispiel kann der Tod mehrerer Personen sein. In der Regel hält sich nur ein Mitarbeiter im explosionsfähigen Bereich auf, dennoch könnten im Fehlerfall mehrere Personen zur Fehlerbeseitigung anwesend sein oder durch eine Explosion eine zweite größere ausgelöst werden. Das bedeutet eine Einstufung in Cc. Die Anwesenheit von Personen ist aber eher selten (FA). Die Anlage wird durch geschulte Mitarbeiter überwacht, doch das anwesende Bedienpersonal kann ausströmende Gase unter Umständen nicht bemerken und nicht zuverlässig einschätzen, ob sich ein explosionsfähiges Gemisch in einer Gefahr drohenden Menge gebildet hat und die Gefahr durch manuellen Eingriff abwendbar ist (PB). Das hätte eine Einstufung nach SIL 3 zur Folge. Da aber durch die bereits getroffenen Maßnahmen unter anderem zum Explosionsschutz die Eintrittswahrscheinlichkeit gering ist, reicht SIL 2 aus.

Aufgrund des Ergebnisses müssen zur weiteren Risikominimierung die Anforderungen für SIL 2 erfüllt werden, wobei die entsprechenden Komponenten dafür Sorge zu tragen haben, dass die Anlage bei einer gefährlichen Situation in den „sicheren Zustand“ übergeht. Dazu sind die Maßnahmen eines Hauptalarms und des Voralarms als sicherheitstechnisches System mit einzelnen sicherheitstechnischen Funktionen zu konzipieren. Außerdem wird ein Strömungssensor eingebaut, der die Funktionsfähigkeit der Absauganlage überprüft. Jede einzelne sicherheitstechnische Funktion muss mindestens die Anforderungen gemäß SIL 2 (DIN EN 61511) einhalten.

Alarme üben in der Regel eine sicherheitstechnische Schutzfunktion aus. Der in der DIN EN 61511 genannte Zielwert für SIL 2 für diese „Anforderungsbetriebsart“ entspricht einer mittleren Ausfallwahrscheinlichkeit von >-10-3 bis <10-2 und einer Risikominderung von >100 bis <-1000. Er wird unter anderem durch den Einsatz von Komponenten erreicht, die nach DIN EN 61508 begutachtet worden sind. Im Rahmen der sicherheitstechnischen Funktion tragen alle Geräte mit ihrer Ausfallwahrscheinlichkeit (PFD) zur Gesamt-Ausfallwahrscheinlichkeit der kompletten Signalkette bei. Das gilt auch für die außerhalb des Produktionsraums installierten zugehörigen eigensicheren Betriebsmittel für die Trennung der eigensicheren Signalkreise von den Steuersignalkreisen und der Auswerteeinheit.

Bei Alarmfunktionen ist die Anforderung „low demand“ an die Geräte mit der ermittelten Ausfallwahrscheinlichkeit PFD zuzüglich der einzuhaltenden Fehlerraten ausreichend. Bei SIL 2 und einem einfachen Aufbau bedeutet dies ein Verhältnis von ungefährlichen Fehlern zu den insgesamt möglichen Fehlern von 60 bis 90 %.

Die Flexibilität bei der Planung eines sicherheitsgerichteten Systems (SIS) inklusive Explosionsschutz erhöht sich zunehmend, da immer mehr Lösungen für diese Aufgabenstellung entwickelt werden. Phoenix Contact bietet hier ein umfassendes Portfolio von gemäß SIL und Ex zertifizierten Geräten an. Dazu zählt beispielsweise die Produktfamilie Contactron im Bereich der Leistungselektronik.

Zur Umsetzung der Eigensicherheit empfiehlt sich die Verwendung von Ex-i- Trennern mit Beurteilung oder Zertifizierung gemäß SIL 2 oder SIL 3. Mit den steckbaren Modulen PI-Ex lassen sich verschiedenste wartungs- und installationsoptimierte Konzepte platzsparend realisieren. Gleiches gilt für die schmale sowie einfach handhabbare Produktfamilie MACX Analog Ex.

Online-Info www.cav.de/0110421