Funktionale Sicherheit

Dipl.-Ing. (FH) Wolfgang Perenthaler

Die erste Umsetzung der noch neuen IEC-Normen erfolgte in Großbritannien bereits vor etwa zwei Jahren. Anhand eines Risikographen, wie auch schon aus der DIN bekannt, werden die Gefährdungspotenziale einer Anlage oder eines Anlagenteils beurteilt. Im so genannten Risk assessment – der Risikobeurteilung – wird ein sicherheitsrelevanter Ausrüstungsteil der Anlage genauer untersucht. Die Kriterien, die dazu herangezogen werden, ähneln stark den Kriterien aus der DIN.

Aus dieser Untersuchung geht dann hervor, ob dem betreffenden Ausrüstungsteil eine Sicherheitsfunktion zuzuschreiben ist und welches Gefährdungspotential damit abgedeckt werden muss. Der so genannte Safety Integrity Level (SIL 1 bis 4) beschreibt als Ergebnis die Maßnahmen zur Risikobeherrschung. Zur Erreichung des SIL muss die gesamte Messkette herangezogen werden. Die Instrumentierung einer solchen Anwendung kann dann auf zwei Arten erfolgen:

Als betriebsbewährt gelten Ausrüstungsteile, die bereits in einer Mindeststückzahl über einen definierten Zeitraum in gleichem oder zumindest vergleichbarem Einsatzbereich betrieben werden und als sicher in ihrer Funktion gelten. Die IEC 61511 beziffert hier die Summe der Einsatzzeit auf mindestens 30 Mio. Stunden (Einbeziehung aller eingesetzten Geräte). Neben der IEC 61511 behandelt auch die Namur-Empfehlung NE 93 die Kriterien für die Betriebsbewährtheit. Die SIL-Qualifikation beruht also hier auf reinen Erfahrungswerten des Anwenders. Werden die Kriterien an die Betriebsbewährtheit eingehalten und sind keine oder statistisch vertretbare passive Fehlfunktionen aufgetreten, so kann der Anwender das Gerät bis zur Sicherheitsstufe SIL 2 einstufen.

Basis bei dieser Art der Auslegung bzw. SIL-Qualifikation ist ein umfangreiches Statistikwesen über das Ausfallverhalten aller betroffenen Sensoren und Logikeinheiten wie zum Beispiel eine SPS oder Aktoren. Allerdings verfügen SPSen bereits seit Jahren über entsprechende Qualifikationen. Das Problem hierbei ist jedoch die Anwendung bzw. der Prozess selbst. Wo zieht man hier die Linie beziehungsweise wie kommt man mit noch vertretbaren Mitteln zu einem vernünftigen Ergebnis? In der chemischen Industrie sind nahezu alle Prozesse unterschiedlich (Mediumsdichte, Viskosität, Druck, Temperatur, Einbaulage, Überlauf-/Trockenlaufschutz, Beständigkeit, Werkstoffe, Behältergröße, usw.). Eine Qualifikation nach IEC 61511, also Betriebsbewährtheit, ist nur über einen längeren Betrachtungszeitraum und wohl nur für große Unternehmen praktikabel. Zudem ist der Aufwand gegenüber dem Nutzen abzuwägen. In der petrochemischen Industrie sind in der Regel die Prozesse von Werk zu Werk und von Produktionsstätte zu Produktionsstätte nahezu vergleichbar. Eine Qualifikation nach SIL ist hier im Branchenvergleich um ein Vielfaches vereinfacht.

Immer mehr Hersteller gehen dazu über, ihre Geräte nach den neuen Normen zur Funktionalen Sicherheit (IEC 61508 und 61511) zu qualifizieren. Um eine Messkette richtig auslegen zu können, benötigt der Anwender vom Hersteller ein umfangreiches Zahlenwerk, das die Grundlage zur Berechnung einer solchen sicherheitsrelevanten Einrichtung liefert. Einige Geräte wie der Vibrationsgrenzschalter Vega-swing 60 sind bereits nach der IEC 61508 entwickelt. Bei diesen Geräten sind alle technischen Daten und Prozessdaten in die Betrachtung vorab eingeflossen. Die Einsatzgrenzen sind dementsprechend festgelegt und werden im Sicherheitshandbuch zusätzlich zu den sicherheitsrelevanten Eckdaten angegeben.

Geht ein Hersteller über die Betriebsbewährung nach IEC 61511, wie zum Beispiel bei den Radarsensoren Vegapuls 40 und 50, so stehen ihm im Vergleich zu einzelnen Anwendern ein Vielfaches an Erfahrungswerten zur Verfügung. Und das über den gesamten Anwendungsbereich des Gerätes. Zudem muss der Hersteller zur FMEDA (Failure Mode, Effect and Diagnostics Analysis) die IEC 61508 heranziehen. Diese Art zur Feststellung der Gerätesicherheit ist momentan noch die Regel. Auch Vega geht mit den bereits auf dem Markt befindlichen Geräten diesen Weg. Da natürlich auch hier die 30-Mio.-Stunden-Regelung gilt, kann eine Qualifikation auf dieser Basis nie bei einem neu auf den Markt eingeführten Gerät erfolgen.

War bisher nach den DIN V 19250 und 19251 jeder Teilnehmer einer Messkette bzw. eines Sicherheitsloops zum Beispiel AK 4, so war die gesamte Messkette AK 4. Bei der IEC sieht das etwas anders aus. Ein Gerät hat keinen SIL, es kann aufgrund der Sicherheitskennzahlen in einer Messkette gemäß einer SIL X eingesetzt werden. Diese Sicherheitskennzahlen finden sich in der technischen Dokumentation des Gerätes, dem so genannten Sicherheitshandbuch, oder auch Safety Manual, wieder. Unter anderem ist die gefährliche Versagenswahrscheinlichkeit (PFD) eine der wichtigsten Größen. Sie ist erster Anhaltspunkt, ob und in welchem SIL das Gerät einsetzbar ist. So fordert zum Beispiel SIL 2 eine gefährliche Versagenswahrscheinlichkeit der Messkette zwischen 1 x 10-3 und 1 x 10-2. Die PFD der Messketten-Teilnehmer werden im Gegensatz zur DIN zusammengerechnet. Es muss also sichergestellt sein, dass die Summe der PFD aller Teilnehmer zum Beispiel bei SIL 2 den Wert von 0,99 x 10-2 nicht übersteigt. So kann es ohne Weiteres passieren, dass eine Messkette aus Komponenten, die mutmaßlich für SIL 2 geeignet sind, plötzlich in der Summe nur noch SIL 1 als Ergebnis hat. Um trotzdem diese Komponenten benutzen zu können, kann zum Beispiel ein Gerät doppelt in einer Oder-Schaltung verwendet (1oo2), oder das vorgeschriebene Prüfintervall muss verkürzt werden. Dadurch reduziert sich der PFD der Messkette und man erreicht wieder den geforderten SIL.

SIL bedeutet aber auch einen wiederkehrenden Funktionstest, dessen Prüfzyklus sich nach der gesamten Messkette richtet. So sind die gefährlichen Versagenswahrscheinlichkeiten (PFD) nicht nur ein wichtiges Maß für die Auslegung sondern auch für das Prüfintervall. Da der PFD in der Regel für den Einsatz über ein Jahr gilt, ist der Testzyklus auch ein Jahr. Wie auch bei der WHG-Überfüllsicherung muss dann, sofern nicht anders bescheinigt, beispielsweise eine Nassprüfung (Anfahren oder Ausbauen) durchgeführt werden. Beim Vibrationsgrenzschalter Vegaswing Serie 60 gibt es mehrere Varianten.

Abhängig von der zu erreichenden SIL und der jeweiligen PFD, kann der Prüfzyklus kürzer oder länger als ein Jahr werden. Es wird angenommen, dass der PFD eines Gerätes bei der Inbetriebnahme sowie nach Abschluss jeder Prüfung Null und nach einem Jahr der angegebene Wert erreicht ist. Des Weiteren wird von einer linearen Kennlinie ausgegangen (Bild 2). Wird der Prüfzyklus zum Beispiel auf ein halbes Jahr reduziert, halbiert sich auch der PFD der Messkette entsprechend. Erhöht sich der Prüfzyklus zum Beispiel auf zwei Jahre, so verdoppelt sich theoretisch der PFD.

Der Vibrationsgrenzschalter Vegaswing Serie 60 kann mit verschiedenen Elektronikausführungen aufgrund der hohen Gerätesicherheit in Messketten mit der Anforderung SIL 2 und SIL 3 eingesetzt werden. Einkanalig in SIL 2 und redundant mit einer „Eins aus zwei“-Auswertung (1oo2 – one out of two) in SIL 3. Damit sind auch die Einsatzkriterien der Namur-Empfehlung NE 79 bis Risikobereich II erfüllt. Die Radarsensoren der Serien Vegapuls 40 und 50 genügen in der Ausführung mit Ausgang 4…20 mA (loop powered) den Anforderungen für den Einsatz in SIL -2-Anwendungen. Sie können als Überlaufschutz, Trockenlaufschutz aber auch im kontinuierlichen Betrieb in sicherheitsrelevanten Messketten nach SIL 2 integriert werden. Im Risikobereich II (SIL 3) können die Radarsensoren Vegapuls zum Beispiel mit einem Vegaswing 60 kombiniert (Oder-verschaltet) werden. Der Vorteil: Die kontinuierliche Messung kann in das Sicherheitskonzept einbezogen werden (Bild 3), die Überfüllsicherung ist zudem diversitär ausgelegt.

Speziell im Zusammenhang mit Risikobereich II (SIL 3) stellt sich eine weitere Frage: Wie ist die Anlagenverfügbarkeit, wenn anstatt zwei voneinander unabhängiger Geräte in 1oo2 ein einzelnes (1oo1 – one out of one) für SIL 3 verwendbares Gerät zum Einsatz kommt? Wird die Anlage durch solche Systeme in den sicheren Zustand geführt, so muss sie laut Norm auch dort gehalten werden, bis das System wieder funktionstüchtig ist. In einer 1oo2-Auswertung hingegen kann die Anlage unter bestimmten Voraussetzungen trotz Defekts eines Messketten-Teilnehmers noch weiter betrieben werden, was die Anlagenverfügbarkeit sicherlich bei eventuellen Ausfällen erhöht. Diese Philosophie der 1oo2 verfolgt auch die NE 93 in diesem Risikobereich.

Aufgrund der universellen Beschreibungen in den sehr umfangreichen IEC-Normen, wird sich das Anwendungsgebiet wie auch schon in Großbritannien über alle Branchen hinwegziehen. Es ist für den Anwender jedoch mit deutlichem Aufwand verbunden, alle Aspekte der Funktionalen Sicherheit auszuloten und die Risikobeurteilung durchzuführen. Verschiedene Softwarewerkzeuge wurden bereits entwickelt, die ein Anwender zur Sicherheitsbetrachtung einsetzten kann und ihm somit die Geräteauswahl und Auslegung deutlich vereinfacht. Und doch liegt es immer in der Verantwortung des Anlagenbetreibers, ob und mit welcher Sicherheitstechnik er seine Anlage ausrüstet. Immer das Gerät mit der gerade höchsten Sicherheit (SIL) einzusetzen ist zwar pragmatisch, führt aber andererseits zu deutlich höheren Kosten bei der Anschaffung. Ab dem SIL 3 zum Beispiel, reden wir unter anderem von Redundanzen, die sich im Messstellenpreis in der Regel deutlich niederschlagen.

cav 400