Wesentliche Merkmale von Schutzsystemen im Sinne der SIL-Norm EN 61508 sind die mittlere Ausfallwahrscheinlichkeit innerhalb eines vorgegebenen Prüfintervalls und der Anteil der nicht-erkennbaren gefährlichen Fehler. Um Gaswarnanlagen so zu konzipieren, dass sie z.B. nach SIL 2 eingestuft werden können, muss der Anlagenplaner bei der Auswahl der Teilsysteme neben den messtechnischen Vorschriften insbesondere auch gewisse numerische Grenzen dieser Zuverlässigkeitsparameter berücksichtigen.
Dr. Wolfgang Jessel
Werden brennbare Gase oder Flüssigkeiten gelagert, abgefüllt, verarbeitet oder transportiert, ist stets davon auszugehen, dass sich solche Substanzen bei Prozessfehlern entzünden und auf diese Weise erhebliche Anlagen- und Personenschäden verursachen. Freisetzungen von unter Druck stehenden oder tiefkalt verflüssigten Gasen, Leckagen an Rohrleitungssystemen, das Austreten brennbarer Flüssigkeitsdämpfe durch schadhafte Ventile oder schlecht dichtende Verschlüsse können folgenschwere Explosionen und schwer beherrschbare Großbrände nach sich ziehen, wenn sie unerkannt bleiben. In diesem Sinne sind Gaswarnanlagen Frühwarnsysteme, die diese gefahrvollen Zustände so rechtzeitig detektieren, dass noch Gegenmaßnahmen eingeleitet werden können und ein Anlagenschaden gänzlich abgewendet, zumindest aber gering gehalten werden kann.
Messtechnische Normen
Solche Gaswarnanlagen unterliegen nicht nur deshalb der Richtlinie 94/9/EG (Atex 95), weil sie selbstverständlich explosionsgeschützt ausgeführt sein müssen, sondern insbesondere auch deshalb, weil sie in der Lage sind, explosionsfähige Atmosphären frühzeitig zu detektieren und deren Entstehung durch eingeleitete Gegenmaßnahmen sogar verhindern können. Die Gaswarnanlage ist demnach Bestandteil einer Sicherheitskette und muss für solche Sicherheitsanwendungen zusätzlich auch als Baumuster durch eine benannte Stelle auf Eignung geprüft worden sein (Richtlinie 94/9/EG, Anh. II, Pkt.1.5.5 „Messfunktion für den Explosionsschutz“). Die dieser Prüfung zugrunde liegenden Normen EN 50054 ff sind unter der Richtlinie 94/9/EG harmonisiert, werden aber in absehbarer Zeit durch die Normenreihe 61779-1 bis -5 ersetzt.
Basierend auf der ebenfalls harmonisierten Norm EN 1127-1 sind derart geprüfte Gaswarnanlagen aktive Betriebsmittel zur Konzentrationsbegrenzung (Abs. 6.2.2.2), einer grundlegenden Explosionsschutzmaßnahme von so hohem Rang, dass sich der vor Jahrzehnten etablierte Begriff primärer Explosionsschutz hartnäckig erhalten hat. Weniger bekannt ist, dass der Einsatz eignungsgeprüfter Gaswarnanlagen die Größe der explosionsgefährdeten Bereiche (Ex-Zonen) erheblich reduzieren kann und damit nicht nur betriebliche Vereinfachungen, sondern letztendlich auch Einsparungen ermöglicht.
Gleichermaßen fallen auch Sauerstoff messende Gaswarngeräte dann unter die Richtlinie, wenn sie die Sauerstoffbegrenzung in Inertisierungsprozessen überwachen. Die diesbezügliche harmonisierte messtechnische Prüfnorm ist die EN 50104.
Die messtechnischen Normen werden – sofern die Gaswarngeräte digitale Elektronik enthalten – ergänzt durch die EN 50271. Die Prüfung nach dieser Norm bewertet insbesondere auch die Software-Struktur und -Stabilität, mögliche Sonderzustände, interne Diagnoseeinrichtungen sowie selbstverständlich die Hardware, das Zusammenspiel einzelner elektronischer Bauteile und die Zuverlässigkeit des Funktionskonzeptes.
Beim Entwurf der EN 50271 stand die funktionale Sicherheit im Vordergrund, und es verwundert nicht, dass in dieser Norm bereits Teilanforderungen der SIL-Norm EN 61508 umgesetzt worden sind.
Safety Integrity Level
Hier soll ein weiterer Teilaspekt der EN 61508 betrachtet werden, der es dem Anlagenplaner unter gewissen Voraussetzungen ermöglicht, die Zuverlässigkeit einer sicherheitsgerichteten Anlage durch rechnerische Bewertung nachzuweisen. Im Sinne der EN 61508 muss ein Schutzsystem, das zur Vermeidung von Personen- und Umweltschäden sowie Schäden an Sachwerten eingesetzt wird, je nach zu erwartendem Schadensausmaß gewisse Zuverlässigkeitsanforderungen erfüllen, die über den sog. Safety Integrity Level (SIL) definiert sind.
Der Begriff der Zuverlässigkeit stützt sich auf Wahrscheinlichkeitsaussagen der Form „Wie groß ist die Wahrscheinlichkeit eines Schutzsystems dafür, dass es gerade dann versagt, wenn es seine Sicherheitsfunktion ausführen soll?“
Gefährliche Fehler
Sicherheitsgerichtete Anlagen müssen demnach so beschaffen sein, dass Fehler, die die funktionale Sicherheit beeinträchtigen können, durch entsprechende Selbstdiagnose-Einrichtungen und Testroutinen erkannt, abgefangen und gemeldet werden und die Anlage in den sicheren Zustand überführen. Solche so genannten erkennbaren gefährlichen Fehler sind unverzüglich zu beheben. Das ist auch im Interesse des Betreibers, denn eine Anlage im sicheren Zustand ist zwar sicher – aber eben nicht grundsätzlich auch betriebsbereit.
Doch auch Diagnose-Einrichtungen haben ihre Grenzen. Zu einem gewissen Prozentsatz gibt es stets auch nicht erkennbare gefährliche Fehler, das sind solche Fehler, die unentdeckt bleiben und ein Versagen der Sicherheitsfunktion (SIF, Safety Integrity Function) nach sich ziehen. Die einzige Möglichkeit, solche Fehler aufzudecken, ist eine routinemäßige Anlagenprüfung. Das ist der Grund, warum der Zeitraum zwischen zwei solcher Prüfungen, das Prüfintervall TP, eine so bedeutende Rolle bei der Sicherheitsbetrachtung spielt.
Der Anteil der sicheren Fehler (das sind Fehler, die zwar die Sicherheitsfunktion beeinträchtigen aber erkennbar sind, ergänzt durch die Fehler, die keinen Einfluss auf die Sicherheitsfunktion haben) im Verhältnis zu allen möglichen Fehlern wird als Safe Failure Fraction (SFF) bezeichnet. Der SFF muss für SIL-2-Anlagen mehr als 90 % betragen – d. h. der Anteil der nicht-erkennbaren gefährlichen Fehler darf 10 % nicht überschreiten.
Das allein ist aber noch nicht ausreichend. Wenn es denn solche nicht-erkennbaren gefährlichen Fehler gibt, muss man ja auch die Wahrscheinlichkeit ihres Auftretens innerhalb des Prüfintervalls TP bewerten, d. h. eine Aussage darüber treffen, wie wahrscheinlich ein Versagen des Schutzsystems im Falle einer Anforderung der Sicherheitsfunktion ist.
Versagenswahrscheinlichkeit
Die statistische Rechengröße, die den nicht-erkennbaren gefährlichen Fehler und das Prüfintervall beinhaltet, wird als mittlere Versagenswahrscheinlichkeit PFDAVG (Probability of Failure on Demand) angeben und darf je nach gefordertem SIL gewisse Grenzen nicht überschreiten. Für Anlagen nach SIL 2 muss beispielsweise sichergestellt sein, dass die PFDAVG weniger als 0.01 beträgt, d.h. erst bei mehr als 100 Anforderungen der Sicherheitsfunktion darf das Schutzsystem nur einmal versagen.
Doch bezieht sich die funktionale Sicherheit und damit die mittlere Versagenswahrscheinlichkeit PFDAVG auf die gesamte Anlage, die sich in die folgenden Teilsysteme aufgliedern lässt:
- Messgrößenaufnehmer (SE, Sensor, Versagenswahrscheinlichkeit PFDSE)
- zentrale Auswerte-Elektronik (LS, Logic Solver, Versagenswahrscheinlichkeit PFDLS) und
- Aktuatoren (FE, Final Elements, Versagenswahrscheinlichkeit PFDFE)
Für die gesamte Anlage ergibt sich die Versagenswahrscheinlichkeit durch Addition:
PFDAVG = PFDSE + PFDLS + PFDFE
Für die Ermittlung der PFDSE z. B. eines Messgrößenaufnehmers ist eine sehr umfangreiche Bewertung aller nur denkbaren Fehler und deren Auswirkungen bis in die Bauteilebene hinunter erforderlich (FMEDA, Failure modes, effects and diagnostic analysis), die ohne die Mithilfe hierauf spezialisierter Experten kaum durchführbar ist. Das Ergebnis der FMEDA ist eine Auflistung unterschiedlicher Fehlertypen mit den ermittelten Fehlerraten l (in h-1), aus der sich insbesondere auch die Fehlerrate lDU des nicht-erkennbaren gefährlichen Fehlers ergibt (DU steht für dangerous undetected). Ein solcher Fehler würde beispielsweise vorliegen, wenn ein 4…20-mA-Transmitter zur Gasdetektion aufgrund eines internen Fehlers trotz gefährlich hoher Gaskonzentration ein Messsignal von 4 mA (kein Gas) ausgibt. Tritt ein solcher seltener Fehlerzustand ein, bleibt er bis zur nächsten periodisch durchzuführenden Prüfung (Prüfintervall TP) unerkannt, um dann sofort erkannt und innerhalb kurzer Zeit (MTTR, Mean time to restore) behoben zu werden. Im statistischen Mittel bleibt dieser Fehler für die Hälfte des Prüfintervalls TP unerkannt. Und für den gleichen Zeitraum, vermehrt um die Reparaturzeit, kann die Anlage ihre Sicherheitsfunktion nicht ausführen. Demnach ist in einem solchen Fall die mittlere Versagenswahrscheinlichkeit
Die Näherung ist zulässig, da üblicherweise die Reparaturzeit nur wenige Stunden beträgt während das Prüfintervall im Bereich mehrerer Monate liegt.
Beispiel
Die Fehlerrate eines nicht-erkennbaren gefährlichen Fehlers liegt bei lDU = 10-6 h-1 (d.h. 1 Fehler in 106 Stunden oder 114 Jahren). Wird die Anlage jährlich (alle 8760 Stunden) geprüft, so ergibt sich
Auch der durch Diagnose-Einrichtungen erkannte gefährliche Fehler (Fehlerrate lDD, DD steht für dangerous detected) hat natürlich einen – wenn auch geringen – Einfluss auf die PFD, da die Sicherheitsfunktion ja auch während der Reparaturzeit MTTR nicht gegeben ist. Die MTTR wird rechnerisch meist mit acht Stunden bewertet, Voraussetzung hierfür ist natürlich eine entsprechend ausgelegte Ersatzteilbevorratung und ein unverzüglich eingeleiteter Reparatur-Service. Hierfür, wie auch für die Einhaltung der geforderten Prüfintervalle TP, ist der Sicherheitsingenieur zuständig.
Wenn man Anlagenteile redundant auslegt oder einer Mehrheitsentscheidung (sog. voting, z.B. 2-aus-3-Entscheidung) unterwirft, so ergeben sich von der obigen Formel abweichende Rechenregeln, z.B. ergibt sich bei zweifacher Redundanz eine Versagenswahrscheinlichkeit von
Die sich ergebenden Zahlenwerte sind zwar sehr klein (mit den obigen Vorgaben erhält man PFDAVG = 2.6·10-5), doch müssen realistischerweise auch Fehler betrachtet werden, die auf beide Teilsysteme gleichzeitig einwirken und so die Redundanz wieder aufheben, die sog. common cause failures. Deren Anteil wird durch einen b-Faktor angegeben, der meist zu 0.05 oder 0.1 angenommen wird.
In der Praxis ist selbst bei kleinem b-Faktor der zweite Term meist der Größere.
Anlagenplanung
Die PFDAVG der gesamten Anlage ist also bestimmt durch
- die Fehlerrate des nicht erkennbaren gefährlichen Fehlers lDU
- die Wahl der Prüfintervalle TP
- die Architektur (linear, redundant, Mehrheitsentscheidungen)
Die Fehlerrate lDU ist beim Teilsystem durch eine FMEDA ermittelt, meist durch unabhängige Prüfinstitute zertifiziert und durch Qualitätssicherungsmaßnahmen festgeschrieben. Für den Anlagenplaner liegen die Freiheitsgrade also in der Wahl des Prüfintervalls und der Architektur der Gesamtanlage. Doch gibt es praktische Grenzen: Zu kurz gewählte Prüfintervalle sind betriebsmäßig unerwünscht, da sie einen häufigeren Anlagenausfall bedingen können, und Redundanzen oder Mehrheitsentscheidungen sind ein erheblicher Kostenfaktor.
So liegt es im Bestreben des Anlagenplaners, Teilsysteme zu verwenden, die bei nur jährlich stattfindender Prüfung und gänzlich ohne Redundanzen die maximal zulässige PFD möglichst weit unterschreiten.
Für eine nach SIL 2 eingestufte Anlage macht der Planer z.B. folgende Rechnung auf: Er verwendet einen Messgrößenaufnehmer mit PFDSE = 0.002 und ein Auswertesystem mit PFDLS = 0.001 bei jeweils jährlicher Prüfung.
Um die für SIL 2 geforderte PFDAVG < 0.01 sicherzustellen, müssen die noch zu beschaffenden Aktuatoren eine PFDFE von weniger als 0.008 aufweisen, sofern sie ebenfalls nur jährlich geprüft werden sollen.
HFT und Redundanzen
Die Hardware-Fehlertoleranz HFT kennzeichnet das Verhalten eines komplexen Systems oder Teilsystems im Fehlerfall. Bei linearer Architektur, d. h. einem System ohne Redundanzen, ist die Sicherheitsfunktion bei Vorliegen nur eines Fehlers (HFT = 0) nicht mehr gewährleistet, während eine redundante Architektur auch im Fehlerfall noch betriebsbereit bleibt (HFT = 1 oder höher).
Man entnimmt der Tabelle 1 (s. EN 61508, Abschnitt 7.4.3.1.4), dass bei linearer Architektur (HFT = 0) eine SIL-2-Einstufung nur dann erreicht wird, wenn der SFF größer als 90 % ist, d.h. der Anteil der nicht-erkennbaren gefährlichen Fehler muss weniger als 10 % betragen. Liegt der SFF hingegen bei nur 80 %, so lässt sich SIL 2 nur durch Redundanz (HFT = 1) erreichen.
Die funktionale Sicherheit eines Teilsystems (z.B. eines Messgrößenaufnehmers) ist also nur dann vollständig spezifiziert, wenn sowohl die PFD mit dem zugehörigen Testintervall TP, der SFF und die HFT angegeben sind.
Messgrößenaufnehmer für SIL 2
Auf Seiten der 4…20-mA-Messgrößenaufnehmer zur Gasdetektion stellt Dräger Safety drei durch ein unabhängiges Institut bewertete Geräte vor (Tabelle 2).
Wie aus den relevanten tabellierten Kenngrößen der Polytron-Transmitter zu ersehen ist, eignen sich diese Messgrößenaufnehmer für die Zusammenstellung einer nach SIL 2 eingestuften Gaswarnanlage.
Dass gemäß EN 61508 der komplette Lebenszyklus eines Schutzsystems, insbesondere Betrieb und Wartung, betrachtet werden muss, wurde hier aus Gründen der Übersichtlichkeit vernachlässigt. Vielmehr sollte der Umgang mit den einschlägigen Begriffen dieser Norm im Zusammenhang mit Schutzsystemen im Vordergrund stehen.
cav 402
DKE:Rechtliche Stellung der Normen der Reihe DIN EN 61508
Risikoreduzierung durch funktionale Sicherheit
RWTÜV AG: Funktionale Sicherheit/ Safety Integrity Level
Unsere Whitepaper-Empfehlung
Wasserstoff gilt als Schlüssel für die Dekarbonisierung der Chemieindustrie. Doch die Nutzung des vermeintlichen Hoffnungsträgers Hydrogen birgt auch Gefahren und stellt die Branche vor neue Herausforderungen, die das gratis Whitepaper „H2 wie Hoffnungsträger?“ näher für Sie…
Teilen:
