Startseite » Chemie »

SIL im Gerätestandard

Produktionsanlagen zuverlässig überwachen und sicher abschalten
SIL im Gerätestandard

2. Februar 2005
6 Minuten Lesezeit
Moderne Anlagentechnik ist in der heutigen Zeit ohne intelligente und programmierbare Systeme undenkbar. Für den Betreiber stellt sich dabei jedoch die Frage, wie er die sicherheitsrelevanten Eigenschaften der verwendeten Komponenten nutzen kann, um letztendlich die Sicherheit seiner Gesamtanlage bei kritischen Anwendungen bestimmen zu können.

Gerhard Jung

Bediente man sich in der Vergangenheit überwiegend deterministischer Ansätze, um die Sicherheit von Komponenten und Anlagenteilen zu beschreiben, so sind der Deterministik bei rechnergestützten Systemen Grenzen gesetzt. Mit Hilfe traditioneller Beurteilungsmaßstäbe diskreter Elektrik und Elektronik kann das Ausfallverhalten von Mikroprozessoren oder Feldbussegmenten nicht vorhergesagt werden. Trotzdem – oder gerade deshalb – ordnet der Gesetzgeber die Verantwortung für das Risiko, das von der Anlage ausgeht, dem Anlagenbetreiber zu. Er muss den Nachweis führen, dass sie unter sicherheitstechnischen Aspekten sowohl analysiert als auch die von ihr ausgehenden Risiken betrachtet und bewertet sind.
Die Situation des Anlagenbetreibers hat sich dennoch – durch den Übergang von der deterministischen zur probabilistischen Betrachtungsweise risikoreduzierender Maßnahmen – grundlegend verbessert. Das erreichte Erbebnis resultiert dabei nicht nur aus den verwendeten Komponenten mit ihren probabilistischen und somit quantitativen Eigenschaften, sondern viel mehr aus der qualitativen Umsetzung geeigneter Maßnahmen wie Auswertestrukturen und Funktionsprüfungen.
Versagenswahrscheinlichkeiten risikoreduzierender Maßnahmen
Bei der bisherigen, deterministischen Vorgehensweise wurde festgelegt, welche Fehler nicht betrachtet werden, da ihr Eintreten nicht mehr glaubhaft erschien. Eine undankbare Aufgabe, denn diese erfahrungsbasierte Sicherheitsauslegung bedeutete in der Vergangenheit stets die Übernahme einer sehr großen persönlichen Verantwortung für den Anlagenbetreiber oder dessen Beauftragten. Es fehlten mathematisch formulierte Angaben über die quantitativen Eigenschaften der zur Risikoreduktion verwendeten Komponenten und Einheiten.
SIL1, SIL2 oder SIL3?
An dieser Stelle werden die Hersteller von Automatisierungskomponenten mit der Forderung nach Geräten mit Qualifikationen im Bereich SIL1, SIL2 oder SIL3 aus dem Anwenderkreis konfrontiert. In diesem Zusammenhang wird oft übersehen, dass das Risikopotenzial der Anlage (oder des Anlagenteiles) nicht durch einzelne Komponenten beherrscht werden kann. Risikoreduzierung ist das gemeinsame Ergebnis aus den Eigenschaften der verwendeten Komponenten, den Auswertestrukturen und den organisatorischen Maßnahmen. Darf beispielsweise die Temperatur eines Reaktorbehälters bestimmte Grenzwerte nicht übersteigen, so macht es wenig Sinn, sich nur an den Eigenschaften einzelner Funktionsteile wie Temperaturmessumformer, Grenzwertschalter oder Stellglieder zu orientieren. Ergibt die Risikoanalyse ein Risikopotenzial von SIL3 für die mögliche Auswirkung einer Überhitzung des Reaktorbehälters, so muss die Gesamtfunktion der Temperaturbegrenzung als risikoreduzierende Maßnahme ebenfalls SIL3 entsprechen.
Für die Gesamtfunktion der Temperaturbegrenzung müssen in diesem Fall mindestens folgende Faktoren berücksichtigt werden:
  • Erfassung der Reaktortemperatur – Eigenschaften der Temperaturfühler, Montageart und -ort sowie die Integrität der Zuleitungen sind zu klären
  • Grenzwertverarbeitung – hierzu gehören die Eigenschaften der Grenzwertschalter und die Festlegung der Schaltpunkte
  • Kühlvorgang/Bereitstellung des Kühlmediums – Eigenschaften der Ventile/Stellglieder und der Wärmetauscher sowie die Verfügbarkeit des Kühlmediums sind zu beachten
  • organisatorische Maßnahmen – Schulung des Anlagenpersonales und regelmäßige Funktionsprüfungen sind erforderlich
Sind bei den ersten drei Punkten einige der Schritte besonders kritisch, so hat der Betreiber die Möglichkeit, das Ergebnis durch redundante Auswertestrukturen, zum Beispiel durch eine 1oo2 (1 out of 2)-Auswahl, zu verbessern. Alternativ zu der 1oo2-Struktur könnte er auch eine einfache Auswertestruktur beibehalten und im Gegenzug dafür die Zeitabstände zwischen den regelmäßigen Funktionsprüfungen kürzer gestalten. Die Verwendung der einfachen Auswertestruktur vermeidet b-Faktoren. Die b-Faktoren werden als rechnerischer Risikozuschlag berücksichtigt, sobald die Realisierung der risikoreduzierenden Einrichtung Anteile von common-cause-Fehlern, also Fehlern mit gemeinsamer Ursache, beinhaltet.
Der Betreiber ist in der Lage, „seine“ Sicherheitseinrichtung zu optimieren. Dabei können die Lösungswege zur funktionalen Sicherheit, an die jeweilige Situation angepasst, von Anlage zu Anlage durchaus unterschiedlich sein.
In die Praxis umgesetzt
Als Hersteller von Komponenten und Systemen zur Prozessautomation hat Pepperl+Fuchs sehr früh die Vorteile erkannt, die die Probabilistik dem Betreiber bieten kann. Die Bewertung der Geräte nach der IEC 61508 bietet dem Betreiber die Grundlage für eine eigene Gesamtbetrachtung aller im System vorhandenen technischen und organisatorischen Gegebenheiten. Dies lässt sich am Beispiel des Transmitterspeisegerätes KFD2-STC4-Ex1 und seiner Kennwerte erläutern. Transmitterspeisegeräte als Schnittstellen zwischen den (eigensicheren) Transmittern und den PLS-Eingängen arbeiten mit dem Signalpegel 4 bis 20 mA. Wird gemäß NE43 übertragen, so findet eine Unterscheidung zwischen dem Unterschreiten des Messbereiches (4,0 bis 3,8 mA) und einem Leitungsbruch (<3,6 mA) statt. Ebenso kann zwischen dem Überschreiten des Messbereichs (20 bis 20,5 mA) und einem Leitungskurzschluss (21 mA oder höher) unterschieden werden. Die Rückschlüsse aus den Diagnosemöglichkeiten sind für die sicherheitstechnische Beurteilung der Signalwerte von hoher Bedeutung. Kernstück der Betrachtung ist die Diagnosefähigkeit der Sicherheitssteuerung.
Werden beide Leitungsfehlervarianten – der Leitungsbruch (Fail low) und der Leitungskurzschluss (Fail High) – von der Sicherheitssteuerung erkannt und verarbeitet, führen mehr als 90 % der theoretisch zu erwartenden Fehler zu einem sicheren Zustand der Steuerung. Das bedeutet im Gegenzug, dass nur etwa 10 % der möglichen Fehler der Sicherheitsfunktion abträglich sind. Ist dagegen die Sicherheitssteuerung weder in der Lage einen Leitungsbruch, noch einen Leitungskurzschluss zu erkennen, können nur 52 % der theoretisch zu erwartenden Fehler abgedeckt werden. Mit anderen Worten: Jeder zweite Fehler könnte, da unbemerkt, zum Versagen der Sicherheitsfunktion führen (s.a. Tabelle). Um SIL2 zu erreichen, verlangt die IEC 61511 mindestens einen SFF (Safe Failure Fraction, Anteil der Fehler die zu einem sicheren Zustand führen) von >60 %. Da im zweiten Beispiel dieser Wert nicht erreicht wird, sind hier – obwohl die gleichen Transmitter und Transmitterspeisegeräte verwendet werden – nur Einstufungen bis SIL1 erlaubt. Da die mittlere Versagenswahrscheinlichkeit im Anforderungsfalle (PFD AVG) von der Diagnosefähigkeit der Sicherheitssteuerung ebenfalls beeinflusst wird, ergibt sich mit steigender Diagnoseabdeckung auch die Möglichkeit, die zeitlichen Abstände der Funktionsprüfungen größer zu wählen.
Gerätekennwerte via Internet
Bei der Auslegung sicherheitsrelevanter Kreise stehen die beteiligten Komponenten in Interaktion zueinander. Somit bestimmt die Diagnosefähigkeit der Sicherheitssteuerung in Abhängigkeit von der Unterstützung durch die Interfacebausteine den erreichbaren SIL. Zusätzlich zum Hardwareanteil der Gerätehersteller müssen die organisatorischen Maßnahmen des Betreibers mit berücksichtigt werden.
Um für die Hardware eine solide statistische Basis zu gewährleisten, quantifiziert Pepperl+Fuchs deshalb stets die Kennwerte der Standardgeräte. Außerdem zeichnen sich diese Standardgeräte durch hohe Stückzahlen und durch stabile Fertigungsmethoden und Chargenprozesse aus. Sämtliche SIL-Assessments sind mit allen notwendigen Gerätekennwerten ausgestattet und via Internet (www.pepperl-fuchs.com) frei zugänglich.
www.cav.de
cav 452
IEC 61511 Functional Safety Courses
SIl Assessments und Kennwerte der Pepperl+Fuchs-Geräte
Interkama* – Internationale Leitmesse der Prozessautomation
Unsere Webinar-Empfehlung
Teilen:
Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de