Das Thema funktionale Sicherheit spielt gerade in der petrochemischen Industrie eine wichtige Rolle. Auch Behörden und Versicherungen verlangen in zunehmendem Maße, die Methoden der funktionalen Sicherheit bei der Anlagenplanung zu berücksichtigen. Für prozesstechnische Anlagen sind hier insbesondere die Normen IEC 61508 und IEC 61511 relevant. Die Grundidee besteht darin, dass die Prozesse in einer Anlage auf mögliche Gefahren für Mensch und Umwelt untersucht werden, zum Beispiel mithilfe einer Gefährdungs- und Risikoanalyse. Den ermittelten Risiken entsprechend, sind Maßnahmen zur Risikoreduzierung festzulegen. Sogenannte PLT-Schutzeinrichtungen oder sicherheitstechnische Systeme (safety instrumented systems, SIS) bilden dabei eine der möglichen Maßnahmen. Abhängig von Schadensausmaß und Eintrittswahrscheinlichkeit der Gefahr wird eine Sicherheitsanforderungsstufe (safety integrity level, SIL) festgelegt, die das SIS erfüllen muss.
Die Überwachung von Pumpen in industriellen Prozessen ist weit mehr als eine reine Schutzmaßnahme für das Pumpenaggregat. Neben der präventiven Wartung und...
Die Aufgabe eines sicherheitstechnischen Systems besteht darin, gefährliche Entwicklungen in einem Prozess automatisch zu erkennen und – ebenfalls automatisch – Gegenmaßnahmen einzuleiten, die dafür sorgen, dass die Anlage in einem sicheren Zustand bleibt bzw. wieder in einen solchen gebracht wird. Ein Beispiel dafür ist das Schließen einer Rohrleitung in einem Notfall. Um diese Aufgabe zu erfüllen, besteht ein SIS immer mindestens aus einem Sensor, einer Logikeinheit und einem Aktor, der die Gegenmaßnahme ausführt. Dieser Aktor kann zum Beispiel aus einem elektrischen Stellantrieb und einer Armatur bestehen. Die internationalen Normen IEC 61508 und IEC 61511 definieren drei Hauptkriterien, die das SIS erfüllen muss: systematische Eignung, maximale erlaubte Ausfallwahrscheinlichkeit bei Anforderung (PFD) und Einschränkungen hinsichtlich der Architektur. Dies bedeutet implizit, dass auch die einzelnen Komponenten des SIS bestimmte Voraussetzungen erfüllen müssen.
Systematische Eignung
Die systematische Eignung (systematic capability, SC) soll sicherstellen, dass eine Komponente für ein SIS mit einer bestimmten SIL-Anforderung prinzipiell geeignet ist. Die IEC 61508 definiert dazu zwei unterschiedliche Methoden: Die erste Methode (Route 1S) verlangt, dass bestimmte Prozeduren während der Entwicklung, Herstellung, Wartung etc. eingehalten werden. Damit sollen systematische Fehler vermieden werden, z. B. die falsche Dimensionierung oder Fehler im Design von Bauteilen. Diese Methode wird vor allem für neu zu entwickelnde Geräte eingesetzt. Die zweite Methode (Route 2S) beruht auf der Auswertung von Felddaten, um eine Aussage über die Betriebsbewährung der Komponenten zu erhalten und die erforderliche Zuverlässigkeit nachzuweisen. Diese Methode wird vor allem für bereits länger existierende Gerätetypen verwendet, für die es bereits eine Vielzahl an Feldrücklaufdaten gibt. Bei einem SIS müssen alle Komponenten die entsprechende systematische Eignung für den geforderten SIL aufweisen.
Ausfallwahrscheinlichkeit bei Anforderung
Die Ausfallwahrscheinlichkeit bei Anforderung (probability of failure on demand, PFD) beschreibt die Wahrscheinlichkeit, dass das SIS die Sicherheitsfunktion bei Anforderung nicht ausführen kann. In den Normen wird immer der maximal erlaubte PFD-Wert für das gesamte SIS angegeben. Da das SIS mindestens aus einem Sensor, einer Sicherheitssteuerung, beispielsweise einer Sicherheits-SPS und einem Aktor, besteht, darf die Summe der PFD-Werte dieser Komponenten nicht den erlaubten PFD-Wert für den geforderten SIL des ganzen SIS überschreiten. Innerhalb eines einfach ausgebauten sicherheitstechnischen Systems, in dem alle Elemente je einfach vertreten sind, muss der PFD-Wert jedes einzelnen Systembestandteils deutlich niedriger sein, als der zulässige PFD-Wert des Gesamtsystems. In den Normen gibt es keine Vorgabe, wie der PFD-Wert des Gesamtsystems auf die Systemkomponenten aufzuteilen ist, in der Praxis hat sich aber eine Aufteilung in 15 % Logikeinheit, 35 % Sensor, 25 % Stellantrieb und 25 % Armatur und Getriebe als gute Planungsgrundlage erwiesen. Armatur, Getriebe und Antrieb bilden in Summe den Aktor. Nach dieser Aufschlüsselung sollte ein Stellantrieb für ein SIS mit SIL 2 einen PFD-Wert von kleiner oder gleich 2,5 x 10-3 aufweisen.
Robuste Systemarchitektur
Die Architektur eines SIS sollte so robust und fehlertolerant wie möglich sein. Auch hier sind wieder zwei Herangehensweisen zu unterscheiden: Die Route 1H in der IEC 61508 verlangt eine Kombination aus ausreichender Redundanz in der Systemarchitektur und einem Mindestwert für den Anteil sicherer Fehler (safe failure fraction, SFF). Der SFF-Wert beschreibt den prozentualen Anteil ungefährlicher oder erkannter gefahrbringender Ausfälle an der Gesamtfehlerzahl. Bei der zweiten Methode, der Route 2H, ist dagegen eine ausreichende Redundanz im Systemaufbau und zusätzlich umfangreiche Felderfahrung bei den eingesetzten Bauteilen erforderlich. Die Anforderungen an die Architektur müssen auf Teilsystemebene erfüllt sein. Bei der Auswahl von Komponenten für ein Teilsystem eines SIS darf die Route 2H nur dann angewendet werden, wenn alle Elemente des Teilsystems die Anforderungen erfüllen. Ist dies nicht der Fall, muss die Route 1H angewendet werden und das Teilsystem den Mindestwert für den SFF erreichen. Beispielsweise müsste ein Teilsystem für ein SIS mit SIL 2, das keine Redundanz vorweisen kann, aber komplexe elektronische Komponenten wie Mikroprozessoren einsetzt, mindestens einen SFF von 90 % erreichen. Es ist nicht unbedingt erforderlich, dass alle Komponenten in diesem Teilsystem einen entsprechenden SFF haben. Aber wenn eine Komponente mit einem niedrigeren SFF eingesetzt wird, dann setzt dies voraus, dass andere Komponenten die Anforderungen übererfüllen und einen höheren SFF aufweisen. Insgesamt ist es bei der Route 1H für Planer empfehlenswert, nur Komponenten einzusetzen, die für sich den Mindest-SFF für den erforderlichen SIL erfüllen. SIL-Zertifikate der in Frage kommenden Geräte sollten sorgfältig geprüft werden, da sie nicht immer diese Empfehlung bezüglich des SFF berücksichtigen.
Spezielle Anforderungen an Stellantriebe
Anders als reine Elektronikkomponenten sind Feldgeräte wie Sensoren, Stellantriebe und Armaturen häufig starken Umwelteinflüssen ausgesetzt. Dazu zählen hohe Temperaturen, Druck, Feuchtigkeit, eine durch Salz oder durch Luftverschmutzungen aggressive Umgebungsatmosphäre und Schwingungen. Außerdem können Feldgeräte unterschiedlich korrosiven Medien in den Rohrleitungen ausgesetzt sein. Diesen Bedingungen im Einsatz müssen die Komponenten während der gesamten geplanten Lebensdauer des SIS standhalten. Daher muss bei der Auswahl von Geräten für ein SIS auch untersucht werden, ob sie sich für die zu erwartenden Umgebungsbedingungen eignen. Ist der Einsatzrahmen entsprechend schwierig, ist dies sogar wichtiger als die in einem Zertifikat bescheinigte SIL-Fähigkeit, da eine Komponente, die den Umwelt- und Prozessbedingungen nicht standhält, über kurz oder lang ausfallen wird. Und wenn dies passiert, dann erfüllt das gesamte SIS selbst das niedrigste SIL-1-Niveau nicht.
Hier kommt es also darauf an, robuste und umfangreich getestete Produkte einzusetzen. Im Bereich der elektrischen Stellantriebe setzt Auma diesbezüglich Maßstäbe. Mit einem weiten Einsatztemperaturbereich von -60 bis + 60 °C, einer robusten, ausgereiften Konstruktion und einem hervorragenden Korrosionsschutz sind neben der SIL-Zulassung auch diese Grundvoraussetzungen gegeben, um die Stellantriebe in einem sicherheitstechnischen System einzusetzen. Einige weitere technische Fragen sollten außerdem immer geklärt werden, bevor ein Stellantrieb in einem SIS eingesetzt wird. Die im Folgenden aufgeführten Punkte erheben keinen Anspruch auf Vollständigkeit, jedoch zeigt die Praxis, dass sie manchmal vergessen werden – was eine folgenschwere Fehlauslegung des SIS zur Folge haben kann.
Weitere technische Fragen
Am wichtigsten ist zunächst einmal die Frage, welche Sicherheitsfunktion der Stellantrieb ausführen soll. Außerdem muss geklärt werden, ob der Stellantrieb nur eine oder gleich mehrere Sicherheitsfunktionen ausführen soll, die vielleicht sogar unterschiedlichen sicherheitstechnischen Funktionen (safety instrumented function, SIF) angehören. Soll ein und derselbe Stellantrieb verschiedene Sicherheitsfunktionen ausführen, zum Beispiel „Sicheres Schließen“ und „Sicherer Stopp“, dann muss sichergestellt werden, dass die festgelegte Priorität den Anforderungen des SIS gerecht wird. Weiterhin müssen die Anforderungen der SIF detailliert untersucht werden. Beim sicheren Öffnen oder sicheren Schließen (Safe Emergency Shutdown, safe ESD) ist es zum Beispiel von Bedeutung, die Abschaltkriterien in den Endlagen zu definieren. Diese können, müssen aber nicht die gleichen sein wie im Normalbetrieb.
Auch sollten Schutzfunktionen wie der thermische Motorschutz und Überlastschutz betrachtet werden. Im Normalbetrieb sind dies wertvolle Funktionen, die sowohl den Stellantrieb als auch die Armatur vor Schäden bewahren. Im Zusammenhang mit einer Sicherheitsfunktion kann es jedoch wichtig sein, die gesetzten Grenzwerte zu ignorieren und die Ausführung der Sicherheitsfunktion im Anforderungsfall sicherzustellen. Andererseits sind auch Umstände denkbar, bei denen diese Schutzfunktionen auch für die SIF notwendig sind. Würde zum Beispiel in einem explosionsgefährdeten Bereich der thermische Motorschutz außer Kraft gesetzt, könnte die heiße Motorgehäuseoberfläche eine Explosion auslösen. Für jedes einzelne SIS muss also untersucht werden, welche Schutzfunktionen sinnvoll sind und welche nicht. Auma-Stellantriebe bieten die Möglichkeit, die Schutzfunktionen des Antriebs entsprechend den Anforderungen des Sicherheitssystems zu konfigurieren.
Die Sicherheitsfunktion „Sicherer Stopp“ ist bei Verwendung elektrischer Stellantriebe normalerweise einfacher zu definieren. Aber auch hier müssen Fragen geklärt werden, zum Beispiel wie viel Nachlauf erlaubt ist und ob Selbsthemmung erforderlich ist. Nicht alle Stellantriebe mit der Sicherheitsfunktion „Sicherer Stopp“ sind selbsthemmend. Daher müssen ggf. weitere Maßnahmen getroffen werden, damit das System im Anforderungsfall nicht nur den Stellantriebsmotor abschaltet, sondern auch sicherstellt, dass die Armatur anschließend in der gewünschten Position gehalten wird.
Trennen von Prozess und SIS
Im Normalfall sollte ein SIS vollständig physikalisch getrennt vom normalen Prozessleitsystem (BPCS) aufgebaut werden. Was Sensoren und Steuerungen angeht, ist dies in der Regel auch der Fall. Beim Aktor – also dem Stellantrieb und der Armatur – ist dieser Ansatz jedoch oft zeit- und kostenintensiv, da jeweils zwei Stellantriebe und Armaturen gekauft, installiert, in Betrieb genommen und gewartet werden müssen. Daher ist ein Trend zu beobachten, dass dieselbe Armatur und derselbe Stellantrieb häufig sowohl für die Prozessregelung als auch für das SIS eingesetzt werden. Ist dies erlaubt? Und wenn ja, unter welchen Bedingungen?
Die IEC 61511–1 11.2.2, 11.2.4 und 11.2.10 besagen, dass der Einsatz von nur einer Armatur und einem Stellantrieb grundsätzlich erlaubt ist, aber dass in diesem Fall einige Bedingungen zu beachten sind. Die folgende Liste zeigt die wichtigsten Einschränkungen:
- Alle Komponenten, die sowohl vom SIS als auch vom BPCS verwendet werden, müssen als Teil des SIS behandelt werden. Dies bedeutet unter anderem, dass sie die Anforderungen der IEC 61508 erfüllen müssen.
- Der Ausfall einer Komponente, die sowohl Teil des SIS als auch des BPCS ist, darf nicht zu einem Ausfall des BPCS und damit wiederum zu einem Anfordern der Sicherheitsfunktion des SIS führen.
- SIS und BPCS müssen ausreichend getrennt sein, damit ein Ausfall im BPCS das SIS nicht negativ beeinflusst.
Während der erste Punkt selbsterklärend ist, lässt sich der zweite Punkt mit einem Beispiel veranschaulichen: Angenommen, am Einlass eines Öltanks soll ein SIS installiert werden, das ein Überfüllen des Tanks verhindert. Wenn die Armatur am Tankeinlass die einzige Instanz im BPCS ist, die ein Befüllen des Tanks verhindert, z. B. weil immer ausreichend Druck in der Leitung ist, dann darf diese Armatur nach der IEC 61511 nicht für das SIS verwendet werden. Der Grund: Wenn diese Armatur als Teil des BPCS ausfällt, würde die Sicherheitsfunktion des SIS angefordert werden, könnte aber wegen eben dieses Ausfalls nicht ausgeführt werden.
Der dritte Punkt betrifft vor allem die integrierte Steuerung des Stellantriebs, da hier die Signale von BPCS und SIS zusammentreffen. Hier muss sichergestellt sein, dass unter keinen Umständen ein Ausfall des BPCS Funktionen des SIS zerstört oder außer Kraft setzt. Dies bedeutet im Einzelnen: Die Signale des SIS müssen immer Vorrang haben vor Signalen des BPCS, alle Leitungen vom BPCS müssen von der Stellantriebssteuerung galvanisch getrennt sein, damit zum Beispiel eine im BPCS verursachte Überspannung nicht die Elektronik des Stellantriebs zerstört. Aus dem gleichen Grund müssen alle Ein- und Ausgänge für das BPCS galvanisch getrennt sein von den Ein- und Ausgängen für das SIS. Insbesondere der letzte Punkt wird in der Praxis häufig nicht beachtet. Kann die galvanische Trennung nicht gewährleistet werden, dann müssen zumindest einzelne Teile des BPCS als Teil des SIS behandelt werden.
Suchwort: cavPC117auma
Im Überblick : Elektrische Stellantriebe
Auma bietet ein breites Portfolio an zertifizierten Stellantrieben für unterschiedliche SIL-Anforderungen an. So sind zum Beispiel die Drehantriebe SA .2 und
SAEx .2 sowie die Schwenkantriebe SQ .2 und SQEx .2 mit der Stellantriebssteuerung AC .2 bzw. ACExC .2 in Ausführung SIL vom TÜV zertifiziert und für höchste Sicherheitsanforderungen bis SIL 2/SIL 3 zugelassen (SIL 3 bei redundantem Systemaufbau). Diese Produkte erfüllen die erhöhten Anforderungen der aktuellen zweiten Fassung der IEC 61508. Für die Stellantriebssteuerungen AC/ACExC .2 SIL hat Auma ein besonders sicheres SIL-Modul entwickelt, das für die Ausführung der Sicherheitsfunktionen zuständig ist.
Die Stellantriebe zeichnen sich dadurch aus, dass für die Ausführung der Sicherheitsfunktion verschiedene Abschaltkriterien konfiguriert werden können. Dazu zählen zum Beispiel die Abschaltung in der Weg-Endlage oder der Drehmoment-Endlage. Dadurch lassen sich mechanische Belastungen an der Armatur minimieren.