Startseite » Chemie » MSR-Technik (Chemie) »

Funktionale Sicherheit in der Petrochemie

Öl – Gas – SIL3
Funktionale Sicherheit in der Petrochemie

Der Stellenwert funktionaler Sicherheit ist in der Petrochemie wie in der gesamten Prozessindustrie hoch. Selbst Versicherungsprämien für die Betreiber orientieren sich daran, wie stark eine Anlage mit risikomindernden Maßnahmen ausgestattet ist. Damit kommt der funktionalen Sicherheit nicht nur eine hohe Bedeutung beim Schutz von Menschen, Anlagen und Umwelt zu, sondern ist darüber hinaus ein nicht zu unterschätzender ökonomischer Faktor.

Sind Rohöl und Gas aus den unterirdischen Lagerstätten gefördert, müssen sie chemisch bearbeitet werden, um aus dem Gemisch verschiedener Kohlenwasserstoffe Verbindungen herzustellen. Die zwei wesentlichen Stufen in diesem Prozess sind die Raffination und das sogenannte Cracking. Während bei der fraktionierten Destillation ein Stoffgemisch in seine Bestandteile getrennt wird, finden in den Crackern chemische Prozesse statt. In den Anlagen der Petrochemie stellen Abweichungen vom Prozessablauf besonders häufig gefährliche Fehler dar. Petrochemie bedeutet daher automatisch SIL3. Anbieter von Interfaceprodukten werden bei den großen Leitsystemherstellern nur noch gelistet, wenn das gesamte Portfolio für den Einsatz in SIL3-Anwendungen geeignet und auch entsprechend getestet ist.

Die Grundsätze der funktionalen Sicherheit sind in der IEC/EN 61508 dargelegt, die 1998 erstmals veröffentlicht wurde, seit 2010 in der sogenannten Edition 2. Davon abgeleitet ist es die IEC 61511, die die Grundsätze der funktionalen Sicherheit für sicherheitstechnische Systeme in der Prozessindustrie beschreibt. Bei der Umsetzung dieser Vorgaben lassen sich in den letzten Jahren einige Trends feststellen.

Es werden zunehmend Feld- und Interface-Geräte mit SIL-Eignung auch dort eingesetzt, wo eine solche Anforderung aufgrund einer Risikobeurteilung gar nicht besteht. Wird nur noch ein einheitlicher Gerätetyp verwendet, vereinfacht dies die Lagerhaltung und schließt Verwechslungen von Geräten mit und ohne SIL-Eignung aus. Bei Pepperl+Fuchs werden heute rund zwei Drittel aller Interface-Geräte mit SIL2- oder SIL3-Eignung ausgeliefert

Schneller Shut-down

Kommt es nun zu kritischen Betriebszuständen in den Anlagen, muss die Sicherheitssteuerung (ESD, Emergency Shut Down System) die Stoffzufuhr stoppen und Leitungen entlüften. Dazu werden häufig Magnetventile eingesetzt, die als vorgeschaltete Schnittstelle zwischen der elektrischen Steuerungsebene und dem pneumatischen Antrieb dienen. Sie werden über Elektromagneten betätigt und können sehr schnell schalten. Die Ansteuerung erfolgt über Ventilsteuerbausteine, die den eigensicheren Feldstromkreis schützen und zudem eine galvanische Trennung zwischen der Steuerung und dem eigensicheren Magnetventil herstellen. Ventilsteuerbausteine verhindern zudem Kompatibilitätsprobleme zwischen dem Feldgerät und der Diagnosefunktion der digitalen Ausgangs(DO-)karten der Sicherheitssteuerung. Während die allgemeine Sicherheitsfunktion unbeeinträchtigt bleibt, kann der Benutzer die verfügbaren Diagnose- und Schutzmaßnahmen der DO-Karten während des Betriebs in vollem Umfang nutzen. Dazu gehören Testimpulse mit Frequenzen im kHz-Bereich und einer Dauer im Mikrosekunden-Bereich, ein bestimmter Laststrom (abhängig von Karte und Hersteller) im Ein/Aus-Zustand sowie eine Begrenzung des Einschaltstroms zum Schutz der DO-Karte. Sensoren überwachen die Abschaltung. Darüber hinaus müssen im Notfall akustische und optische Warnsysteme sowie Feuerlöscheinrichtungen aktiviert werden. Dies erfolgt mithilfe von Sicherheitsrelais.

Sicherheitsrelais mit Selbstdiagnose

Um die Verfügbarkeit der Sicherheitsfunktionen zu optimieren, hat Pepperl+Fuchs ein Sicherheitsrelais entwickelt, das eine Fehlerüberwachung der Schaltelemente, eine Selbstdiagnose sowie eine Leitungsfehlerüberwachung in Bezug auf feldseitige Kurzschlüsse und Leitungsbrüche beinhaltet. Um die Verfügbarkeit der Sicherheitsfunktionen zu erhöhen, wurden alle Kontakte redundant angeordnet. Die Konstruktion basiert auf der sogenannten MooN-Architektur: Das heißt, von N vorhandenen Elementen müssen M funktionieren.

Die Selbstdiagnose erfolgt durch ein zeitversetztes Schalten der Elementarrelais – bei jedem Schaltvorgang wird eines geprüft. In ETS (Energized-to-safe, sicheres Anschalten)-Schaltkreisen werden bei drei aufeinanderfolgenden Schaltvorgängen zunächst alle drei Relais der beiden Kontaktgruppen geschlossen. Während der Verzögerungszeit prüft das Gerät, ob dieser Vorgang den Stromkreis schließt und erkennt so einen fehlerhaften Kontakt. Durch eine Änderung der Reihenfolge bei dem zeitverzögerten Schalten sind nach drei Schaltvorgängen alle Kontakte überprüft. Bei der Diagnose von DTS (De-energized-to-safe, sicheres Abschalten)-Schaltkreisen erfolgt die Prüfung nicht beim Abschalten, sondern beim Wiedereinschaltvorgang: Zunächst werden zwei Relaiskontakte gleichzeitig und dann zeitverzögert der dritte Kontakt geschlossen. Bevor dieser schließt, darf kein Strom fließen; anderenfalls ist dieses Relais defekt, da es den Stromkreis nicht trennt. Bei jedem Schaltzyklus wird ein anderes Relais geprüft. Typischerweise erfolgt eine Prüfung einmal im Jahr. Das heißt, das Sicherheitsrelais führt die beschriebene Routine einmal aus und ist nach drei Jahren ohne zusätzlichen Aufwand einmal vollständig getestet.

Die Leitungsfehlertransparenz bietet eine lückenlose Überwachung von Spannung und Lastwiderstand. Sie erkennt feldseitige Kurzschlüsse und Leitungsbrüche und kann sie einem spezifischen Signalkreis zuordnen.

Auch an eine schnelle Anpassung des Sicherheitsrelais wurde gedacht. Der Eingangskreis ist für alle Geräte identisch. Das heißt, ist ein Gerät an einer DO-Karte der Steuerung einmal getestet, sind alle anderen Module der Sicherheitsrelais ebenfalls kompatibel. Die komplette Produktfamilie der einkanaligen und schleifengespeisten Sicherheitsrelais KFD2-RSH umfasst insgesamt vier Module für DTS- und ETS-Anwendungen mit wahlweise 24 V(DC) oder 230 V(AC). Sie sind zugelassen für die Atex-Zone 2, genügen SIL 3 (IEC 61508 ed2) und PL e (EN/ISO 13849 für die DTS-Module).

Verlängerung der Prüfzyklen

Immer häufiger wird von den Betreibern eine Verlängerung der Prüfzyklen für sicherheitsgerichtete Einrichtungen diskutiert. Da bei Prüfungen auch immer wieder systematische Fehler aufgedeckt werden, beispielsweise eine Medienunverträglichkeit von Feldgeräten, sollten Betreiber den Nutzen von verlängerten Prüfzyklen und mögliche Nachteile genau abwägen. Derzeit wird versucht, Prüfzyklen von typischerweise einem Jahr auf bis zu fünf Jahren auszuweiten. In der Regel wird eine Anlage oder Anlagenteil in gewissen Abständen zu Wartungszwecken heruntergefahren, anstatt jedes Gerät einzeln zu prüfen. Auch hier gilt: Das schwächste Glied bestimmt die Stärke der Kette, alle verwendeten Komponenten müssen sich in den angestrebten Wartungszyklus einordnen lassen, sprich selbst einzeln hinreichend lange Proof-Zeit aufweisen.

Pepperl+Fuchs hat mit der Entwicklung des Sicherheitsrelais mit Selbstdiagnose genau auf diese Entwicklung reagiert. Durch die Diagnose des Zustands der Elementarrelais liegen die Proofzeiten bei weit über zehn Jahren.

Redundante SIL2-Geräte statt SIL3

Neben der oben erwähnten Selbstdiagnose von Geräten hat sich bei SIL3-Anwendungen der redundante Aufbau aus SIL2-Geräten etabliert. Dies ist zulässig, wenn dabei systematische Fehler soweit wie möglich ausgeschlossen werden. Dies kann durch heterogene Redundanz gewährleistet werden. Auch eine homogene Redundanz ist möglich, wenn es sich um Geräte mit systematischer Eignung für SIL3-Anwendungen handelt. Diese systematische Eignung kann durch ein Functional-Safety-Management (FSM)-Zertifikat nachgewiesen werden. In Fällen, bei denen auch die Maschinenrichtlinie Anwendung findet, gilt zusätzlich die EMV-Norm EN 61326–3–1, nach der bei einigen Prüfungen für ein SIL2-Gerät die drei bis fünffache Prüfdauer verlangt wird, wenn es für SIL3-Anwendungen eingesetzt werden soll. In der entsprechenden Norm für den PA-Bereich EMV-Norm EN 61326–3–2 gibt es diese Forderung allerdings nicht.

Pepperl+Fuchs AG, Mannheim


Autor: Andreas Grimsehl

Product Marketing Manager Interface Technology,

Pepperl+Fuchs

Unsere Whitepaper-Empfehlung
Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de