Sind Rohöl und Gas aus den unterirdischen Lagerstätten gefördert, müssen sie chemisch bearbeitet werden, um aus dem Gemisch verschiedener Kohlenwasserstoffe Verbindungen herzustellen. Die zwei wesentlichen Stufen in diesem Prozess sind die Raffination und das sogenannte Cracking. Während bei der fraktionierten Destillation ein Stoffgemisch in seine Bestandteile getrennt wird, finden in den Crackern chemische Prozesse statt. In den Anlagen der Petrochemie stellen Abweichungen vom Prozessablauf besonders häufig gefährliche Fehler dar. Petrochemie bedeutet daher automatisch SIL3. Anbieter von Interfaceprodukten werden bei den großen Leitsystemherstellern nur noch gelistet, wenn das gesamte Portfolio für den Einsatz in SIL3-Anwendungen geeignet und auch entsprechend getestet ist.
Die Grundsätze der funktionalen Sicherheit sind in der IEC/EN 61508 dargelegt, die 1998 erstmals veröffentlicht wurde, seit 2010 in der sogenannten Edition 2. Davon abgeleitet ist es die IEC 61511, die die Grundsätze der funktionalen Sicherheit für sicherheitstechnische Systeme in der Prozessindustrie beschreibt. Bei der Umsetzung dieser Vorgaben lassen sich in den letzten Jahren einige Trends feststellen.
Es werden zunehmend Feld- und Interface-Geräte mit SIL-Eignung auch dort eingesetzt, wo eine solche Anforderung aufgrund einer Risikobeurteilung gar nicht besteht. Wird nur noch ein einheitlicher Gerätetyp verwendet, vereinfacht dies die Lagerhaltung und schließt Verwechslungen von Geräten mit und ohne SIL-Eignung aus. Bei Pepperl+Fuchs werden heute rund zwei Drittel aller Interface-Geräte mit SIL2- oder SIL3-Eignung ausgeliefert
Schneller Shut-down
Kommt es nun zu kritischen Betriebszuständen in den Anlagen, muss die Sicherheitssteuerung (ESD, Emergency Shut Down System) die Stoffzufuhr stoppen und Leitungen entlüften. Dazu werden häufig Magnetventile eingesetzt, die als vorgeschaltete Schnittstelle zwischen der elektrischen Steuerungsebene und dem pneumatischen Antrieb dienen. Sie werden über Elektromagneten betätigt und können sehr schnell schalten. Die Ansteuerung erfolgt über Ventilsteuerbausteine, die den eigensicheren Feldstromkreis schützen und zudem eine galvanische Trennung zwischen der Steuerung und dem eigensicheren Magnetventil herstellen. Ventilsteuerbausteine verhindern zudem Kompatibilitätsprobleme zwischen dem Feldgerät und der Diagnosefunktion der digitalen Ausgangs(DO-)karten der Sicherheitssteuerung. Während die allgemeine Sicherheitsfunktion unbeeinträchtigt bleibt, kann der Benutzer die verfügbaren Diagnose- und Schutzmaßnahmen der DO-Karten während des Betriebs in vollem Umfang nutzen. Dazu gehören Testimpulse mit Frequenzen im kHz-Bereich und einer Dauer im Mikrosekunden-Bereich, ein bestimmter Laststrom (abhängig von Karte und Hersteller) im Ein/Aus-Zustand sowie eine Begrenzung des Einschaltstroms zum Schutz der DO-Karte. Sensoren überwachen die Abschaltung. Darüber hinaus müssen im Notfall akustische und optische Warnsysteme sowie Feuerlöscheinrichtungen aktiviert werden. Dies erfolgt mithilfe von Sicherheitsrelais.
Sicherheitsrelais mit Selbstdiagnose
Um die Verfügbarkeit der Sicherheitsfunktionen zu optimieren, hat Pepperl+Fuchs ein Sicherheitsrelais entwickelt, das eine Fehlerüberwachung der Schaltelemente, eine Selbstdiagnose sowie eine Leitungsfehlerüberwachung in Bezug auf feldseitige Kurzschlüsse und Leitungsbrüche beinhaltet. Um die Verfügbarkeit der Sicherheitsfunktionen zu erhöhen, wurden alle Kontakte redundant angeordnet. Die Konstruktion basiert auf der sogenannten MooN-Architektur: Das heißt, von N vorhandenen Elementen müssen M funktionieren.
Die Selbstdiagnose erfolgt durch ein zeitversetztes Schalten der Elementarrelais – bei jedem Schaltvorgang wird eines geprüft. In ETS (Energized-to-safe, sicheres Anschalten)-Schaltkreisen werden bei drei aufeinanderfolgenden Schaltvorgängen zunächst alle drei Relais der beiden Kontaktgruppen geschlossen. Während der Verzögerungszeit prüft das Gerät, ob dieser Vorgang den Stromkreis schließt und erkennt so einen fehlerhaften Kontakt. Durch eine Änderung der Reihenfolge bei dem zeitverzögerten Schalten sind nach drei Schaltvorgängen alle Kontakte überprüft. Bei der Diagnose von DTS (De-energized-to-safe, sicheres Abschalten)-Schaltkreisen erfolgt die Prüfung nicht beim Abschalten, sondern beim Wiedereinschaltvorgang: Zunächst werden zwei Relaiskontakte gleichzeitig und dann zeitverzögert der dritte Kontakt geschlossen. Bevor dieser schließt, darf kein Strom fließen; anderenfalls ist dieses Relais defekt, da es den Stromkreis nicht trennt. Bei jedem Schaltzyklus wird ein anderes Relais geprüft. Typischerweise erfolgt eine Prüfung einmal im Jahr. Das heißt, das Sicherheitsrelais führt die beschriebene Routine einmal aus und ist nach drei Jahren ohne zusätzlichen Aufwand einmal vollständig getestet.
Die Leitungsfehlertransparenz bietet eine lückenlose Überwachung von Spannung und Lastwiderstand. Sie erkennt feldseitige Kurzschlüsse und Leitungsbrüche und kann sie einem spezifischen Signalkreis zuordnen.
Auch an eine schnelle Anpassung des Sicherheitsrelais wurde gedacht. Der Eingangskreis ist für alle Geräte identisch. Das heißt, ist ein Gerät an einer DO-Karte der Steuerung einmal getestet, sind alle anderen Module der Sicherheitsrelais ebenfalls kompatibel. Die komplette Produktfamilie der einkanaligen und schleifengespeisten Sicherheitsrelais KFD2-RSH umfasst insgesamt vier Module für DTS- und ETS-Anwendungen mit wahlweise 24 V(DC) oder 230 V(AC). Sie sind zugelassen für die Atex-Zone 2, genügen SIL 3 (IEC 61508 ed2) und PL e (EN/ISO 13849 für die DTS-Module).
Verlängerung der Prüfzyklen
Immer häufiger wird von den Betreibern eine Verlängerung der Prüfzyklen für sicherheitsgerichtete Einrichtungen diskutiert. Da bei Prüfungen auch immer wieder systematische Fehler aufgedeckt werden, beispielsweise eine Medienunverträglichkeit von Feldgeräten, sollten Betreiber den Nutzen von verlängerten Prüfzyklen und mögliche Nachteile genau abwägen. Derzeit wird versucht, Prüfzyklen von typischerweise einem Jahr auf bis zu fünf Jahren auszuweiten. In der Regel wird eine Anlage oder Anlagenteil in gewissen Abständen zu Wartungszwecken heruntergefahren, anstatt jedes Gerät einzeln zu prüfen. Auch hier gilt: Das schwächste Glied bestimmt die Stärke der Kette, alle verwendeten Komponenten müssen sich in den angestrebten Wartungszyklus einordnen lassen, sprich selbst einzeln hinreichend lange Proof-Zeit aufweisen.
Pepperl+Fuchs hat mit der Entwicklung des Sicherheitsrelais mit Selbstdiagnose genau auf diese Entwicklung reagiert. Durch die Diagnose des Zustands der Elementarrelais liegen die Proofzeiten bei weit über zehn Jahren.
Redundante SIL2-Geräte statt SIL3
Neben der oben erwähnten Selbstdiagnose von Geräten hat sich bei SIL3-Anwendungen der redundante Aufbau aus SIL2-Geräten etabliert. Dies ist zulässig, wenn dabei systematische Fehler soweit wie möglich ausgeschlossen werden. Dies kann durch heterogene Redundanz gewährleistet werden. Auch eine homogene Redundanz ist möglich, wenn es sich um Geräte mit systematischer Eignung für SIL3-Anwendungen handelt. Diese systematische Eignung kann durch ein Functional-Safety-Management (FSM)-Zertifikat nachgewiesen werden. In Fällen, bei denen auch die Maschinenrichtlinie Anwendung findet, gilt zusätzlich die EMV-Norm EN 61326–3–1, nach der bei einigen Prüfungen für ein SIL2-Gerät die drei bis fünffache Prüfdauer verlangt wird, wenn es für SIL3-Anwendungen eingesetzt werden soll. In der entsprechenden Norm für den PA-Bereich EMV-Norm EN 61326–3–2 gibt es diese Forderung allerdings nicht.
Pepperl+Fuchs AG, Mannheim
Autor: Andreas Grimsehl
Product Marketing Manager Interface Technology,
Pepperl+Fuchs
