Sichere Loops

Dr. Peter Stipp

Bei jeder Anlagenplanung und Modifikation muss das Risiko eines Störfallereignisses durch entsprechende Gefahren- und Risikoanalysen soweit reduziert werden, dass ein tolerierbares Maß für Mensch und Umwelt erreicht wird. Speziell bei einer Modifikation ist zu beachten, dass die Rückwirkungsfreiheit, das heißt die Einflussfaktoren auf andere Anlagenteile oder Funktionen, nachgewiesen wird. Nur eine genaue Betrachtung aller Fehlerverteilungen im Sicherheits-Lebenszyklus ermöglicht daher eine systematische Herangehensweise an die Probleme der funktionalen Sicherheit. Nach IEC 61508 ist dabei nicht nur in jeder einzelnen Phase eine Zieldefinition notwendig, es besteht darüber hinaus auch die Forderung, dass der Weg zur Erreichung dieser Ziele nachvollziehbar dokumentiert wird – dies gilt auch für die Definition des Anwendungsbereiches.

Die bisherige Vorgehensweise ist daher zunächst die Darstellung der Korrelation von Häufigkeit und Auswirkung eines Störfalls in einer Risikomatrix. Die Grundüberlegungen, die hier einfließen, stammen ihrerseits aus einer Analyse wie dem PAAG- bzw. HAZOP-Verfahren (Hazard Operability Study). Dabei geht es um die Prognose, das Auffinden und das Abschätzen eines Ereignisses sowie entsprechender Gegenmaßnahmen. Dabei werden, vereinfacht ausgedrückt, qualitative Leitworte wie „Nein“ oder „Weniger“ auf einzelne Prozessgrößen angewendet. Eine weitere induktive, also nach vorne gerichtete Methode, ist die FMEA-Prüfung (Failure Mode Effect and Analysis). Im Gegensatz dazu wird bei einer deduktiven Methode, wie der Fehlerbaumanalyse, eine rückwärts gerichtete Herleitung von möglichen Fehlerquellen betrachtet. Auch das LOPA-Verfahren beschreibt nach IEC 61511 die Reduzierung von Risiken auf unterschiedlichen Schichten.

Aus den Vorgaben eines möglichen Störfalls werden dann über einen Risikograf entsprechende Zuordnungen der Sicherheitsanforderungen und -einstufungen nach SIL (Safety Integrated Level) bzw. den früheren Anforderungsklassen (AK) ermittelt – und zwar für jede einzelne Sicherheitsfunktion des EMSR-Bereiches. Je höher die Wahrscheinlichkeit für einen Störfall und je größer der zu erwartende Schaden, umso höher ist auch die Einstufung von SIL 1 bis SIL 4 bzw. AK 0 bis AK 8. Eine mögliche leichte Verletzung an einem Garagentor wird beispielsweise mit SIL 1 (AK 2), ein Versagen des ABS-Systemes im PKW mit SIL 4 (AK 7-8) eingestuft. Für die Realisierung eines Trockenlaufschutzes in der Prozessindustrie mit gezielter Abschaltung einer Pumpe bei zu geringem Durchfluss, folgt aus HAZOP – je nach Produkt oder Prozessverfahren – für die Reduzierung auf ein tolerierbares Risiko ein SIL 2-Wert, aus einer Überdrucksicherung mit Öffnung des Ablassventils beispielsweise ein SIL 3-Wert. Ein solcher Übergang eines Ventils mit SIL 3-Einstufung in eine Fail-Safe-Position bedeutet im so genannten Low Demand Mode eine Fehlschaltung auf ca. 1000 Schaltungen. Das heißt, unter der Annahme einer möglichen Fail-Safe-Position pro Jahr folgt eine Fehlschaltung in ca. 1000 Jahren.

Ein definierter SIL-Wert nach IEC 61508 beschreibt sowohl das zu erreichende Sicherheitsniveau der kompletten Anlage, als auch das der einzelnen Systeme, da bei einer Analyse der Sicherheits-Loops die Wahrscheinlichkeit eines Störfalls natürlich auch von der Zuverlässigkeit jeder einzelnen Komponente abhängt. Diese müssen also mindestens den gleichen SIL-Wert erreichen. An dieser Stelle kommen neue Geräte ins Spiel, die bereits nach SIL zertifiziert sind. Für bereits vorhandene Anlagen und Geräte kann das Kriterium der Betriebssicherheit nach IEC 61511 weiterhin herangezogen werden. SIL-zertifizierte Geräte werden von den Betreibern immer häufiger in sicherheitsrelevante Prozesse eingebunden, da sie aufgrund ihrer exakt definierten Sicherheitsstandards verlängerte Prüfintervalle erlauben. Der Vorteil hierbei ist ein verlängerter Zeitraum bis zur nächsten Revision, was die Kosten deutlich reduziert.

Zu den genannten Sicherheitsanalysen werden dann noch bestimmte Modelle wie Fluss- und Einliniendiagramme ergänzt, die beispielsweise die notwendigen Ein- und Ausgänge aller beteiligten Feldgeräte genau definieren. Werden jetzt noch das Sicherheitshandbuch des Systems und der eingesetzten Geräte mit hinzugenommen, ist der erste Schritt der Anlagenplanung vollzogen. Und genau das ist der Zeitpunkt, an dem das Kalkulationstool Silence ins Spiel kommt, um den Anwender bei der weiteren normengerechten Planung zu unterstützen.

Das Tool wurde von Hima entwickelt, ist weltweit das erste TÜV-geprüfte und berechnet nach IEC 61508 die Ausfallwahrscheinlichkeiten und SIL-Werte von Sicherheitsloops. Es unterstützt damit den Anwender bei der weiterführenden normgerechten Anlagenplanung, die auf den zuvor beschriebenen Analysen und Anforderungen aufsetzt. Neben der Korrektheit der verwendeten Systemdaten wurden auch die benutzten Gleichungen geprüft, auf deren Basis unterschiedliche Systemarchitekturen für die notwendigen Sicherheitsfunktionen berechnet werden. Diese Architekturen sind neben dem Sicherheitslebenszyklus der Hardware ein wichtiger Baustein dafür, wie die benötigte Sicherheit erreicht und auch beibehalten werden kann. Sie sind abhängig von den eingesetzten Geräten und Anforderungen, die von dem Tool berechnet werden – eine Betrachtung der rein quantitativen Werte von Ausfallwahrscheinlichkeiten ist nicht ausreichend.

Alle nach IEC 61508 geforderten Berechnungen von Sicherheitsloops, bestehend aus Sensoren, programmierbaren elektrischen Systemen (PES) und Aktoren, werden von diesem Tool unterstützt. Bereits integriert sind die Datenbanken aller Hima-Systeme H41q/H51q, Himatrix und Planar4. Darüber hinaus sind auch Daten der folgenden Feldgerätehersteller zur Berechnung enthalten: Die Sensoren und Aktoren von ABB, Emerson und Smar, sowie verschiedene Geräte von Pepperl&Fuchs/Elcon. Weitere Punkte zur Unterstützung des Anwenders sind interne Plausibilitätsprüfungen des Systems und zusätzliche Hilfen, die die entsprechenden Schritte genau dokumentieren. Hinzu kommen eine einfache Drag&Drop-Bedienung sowie die Möglichkeit einer individuellen Festlegung der Wartungsintervalle.

Die Auswahlkriterien eines Anwenders für ein neues System stützen sich oft auch auf dessen Flexibilität. Aus diesem Grund wurde in diesem Tool die Möglichkeit bedacht, Sicherheitsdaten von Sensoren, Aktoren und Sicherheitssystemen anderer Hersteller übernehmen zu können. Dies erfolgt über einen Editor, mit dessen Hilfe die Daten automatisch auf Basis von Plausibilitätsprüfungen eingepflegt werden. Sie sind dann ebenfalls Bestandteil der Dokumentation eines Anlagenprojektes mit genau definierten Abläufen. Für den Anwender ist dies eine enorme Hilfe, da auch die Dokumentation im Tool vom TÜV nach IEC 61508 anerkannt wurde und er sich dadurch die oft langwierigen Genehmigungsverfahren erheblich vereinfachen kann.

Je nach Aufgabenstellung können auch die geringeren Anforderungen aus der Norm IEC 61511 berücksichtigt werden. Dabei ist es allerdings wichtig zu dokumentieren, dass ein Gerät nach IEC 61511 eingepflegt wurde, da bei der Berechnung von Fehlertoleranzen im Hinblick auf den erreichbaren SIL ein Unterschied zu IEC 61508 besteht. Die Standardeinstellung des Kalkulationstools Silence ist IEC 61508.

Um die Integrität von sicherheitsgerichteten Systemen, bestehend aus mehreren Einzelsystemen, zu bestimmen, benötigt man die so genannten mittleren Ausfall-Wahrscheinlichkeiten PFD beziehungsweise PFH. Diese Größen bezeichnen die Ausfallwahrscheinlichkeit bei niedriger bzw. hoher Anforderung, die über die eingangs erwähnten Analysen vorgegeben werden. Um nun die mittlere Ausfallwahrscheinlichkeit für jedes Teilsystem über das Tool zu berechnen, werden im Wesentlichen die oben beschriebene Systemarchitektur mit den entsprechenden Kanälen, deren Ausfallrate und Diagnoseabdeckung, sowie Gewichtungsfaktoren für Ausfälle mit gemeinsamer Ursache benötigt.

Die genannte Ausfallrate Die genannte Ausfallrate Die genannte Ausfallrate resultiert aus unterschiedlichen Fehlern des Systems und gibt die Unzuverlässigkeit von Anlagen ohne geplante Stillstandzeiten an. Je kleiner der Wert resultiert aus unterschiedlichen Fehlern des Systems und gibt die Unzuverlässigkeit von Anlagen ohne geplante Stillstandzeiten an. Je kleiner der Wert , umso größer ist auch die Verfügbarkeit und damit auch die Effektivität und Wirtschaftlichkeit eines Prozesses – was natürlich ebenfalls eine sehr hohe Priorität hat. Weitere Faktoren, die in die Berechnung des Gesamtsystems eingehen, sind die Anteile der sicherheitsrelevanten Fehler SFF (Safe-Failure-Fraction) und der Diagnoseaufdeckungsgrad DC (Diagnostic Coverage). Beide Faktoren setzen bestimmte Fehler im Sicherheitssystem ins Verhältnis, machen also Aussagen über unterschiedliche Ausfallraten.

Sind alle Daten vorhanden, errechnet das Tool über die PFD- bzw. PFH-Bestimmungsgleichungen für die ausgewählten Systemarchitekturen alle weiteren Daten für den gesamten Sicherheitslebenszyklus des Systems. Hervorzuheben ist hier, dass bei der Berechnung dieser Gleichungen über das Silence-Tool nach IEC 61508 ein beliebiger Zeitraum zugrunde gelegt wird – im Gegensatz zu den oftmals verwendeten Zeiträumen von nur einem halben Jahr aus den ISA-Berechnungen. Dort fehlen der Diagnoseaufdeckungsgrad und auch die Berücksichtigung von Fehlern gemeinsamen Ursprungs, was zu einer deutlichen Abweichung der PFD-Zahlen führt.

cav 402