Stellventile vor Ausfällen schützen

Autoren Marcel Richter Produktmanagement und -marketing Stellungsregler und Stellventilzubehör, Samson Monika Schneider Technische Redaktion, Samson

Ein sicherheitsgerichtetes System (SIS) in der Prozessindustrie besteht aus Sensoren, einer sicherheitsgerichteten Steuerung und einem Aktor. Betrachtet man den Safety-Life-Cycle des Aktors, so ergibt sich eine klare Rollenverteilung (vgl. hierzu auch cav 6-2014, S. 54, „Rollenverteilung in der Prozessindustrie“): Die Hersteller von Sicherheitskomponenten entwickeln und fertigen gemäß IEC 61508. Für Planer, Errichter und Betreiber von Sicherheitskreisen ist die IEC 61511 entscheidend. Dem Anwender des sicherheitsgerichteten Kreises wird durch die – auf den internationalen Normen IEC 61508 und IEC 61511 basierende – VDI 2180 eine praxisnahe deutsche Richtlinie mit Hinweisen für Planung, Errichtung und Betrieb des SIS zur Verfügung gestellt. Sie fordert Maßnahmen gegen systematische und zufällige Fehler sowie zur Fehlertoleranz.

Systematische Fehler beeinflussen grundlegend die Zuverlässigkeit mechanischer Komponenten. Für die fachgerechte Auswahl und Auslegung einer Komponente reicht es nicht aus, die rechnerisch geforderte Sicherheitsintegrität zu erreichen. Zusätzlich muss die Komponente auch so gewählt sein, dass sie von ihrer Funktionsweise und Auslegung dem Prozess entspricht. Weiterhin müssen die Voraussetzungen für den zuverlässigen Betrieb einer Komponente geschaffen werden. Es ist einleuchtend, dass beispielsweise ein Sicherheitsventil im Sicherheitsfall nur dann zuverlässig arbeitet, wenn es seine Funktion (Fahren in die geforderte Endlage) jederzeit erfüllen kann. Ausschlaggebend hierfür ist die Beachtung der Herstellerangaben zu Einbau, Montage und Betrieb des Ventils. Auch darf die Funktion des Sicherheitsventils durch äußere mechanische Einflussnahme oder temporäre Ereignisse nicht beeinträchtigt werden. Systematische Fehler können statistisch nicht beschrieben werden. Sie sind durch geeignete Maßnahmen im Zuge eines ganzheitlichen Functional-Safety-Management-Systems (FSM) unter dem Gesichtspunkt der Fehlervermeidung beherrschbar bzw. auszuschließen. Es kann allerdings zu systematischen unentdeckten Fehlern kommen.

Ein klassisches Beispiel für einen systematischen unentdeckten Fehler ist ein korrekt eingebauter, montierter und in Betrieb genommener Kugelhahn, der sich im Sicherheitsfall nicht bewegt, weil sich die Kugel in der Betriebsstellung festgefressen hat. Dieser Umstand kann dadurch begründet sein, dass die Armatur ihre Betriebsstellung über einen längeren Zeitraum nicht verlassen hat. Geeignete Gegenmaßnahmen wie das Durchführen regelmäßiger Funktionsprüfungen bei Anlagenstillstand oder das automatisierte Prüfen im Anlagenbetrieb – als erste Maßnahme sei hier der Teilhubtest (PST) genannt – obliegen dem Betreiber und bilden nach dem aktuellen Stand der Sicherheitstechnik eine sinnvolle Ergänzung im FSM.

Im Gegensatz dazu sind zufällige Fehler statistisch erfassbar. Bei elektronischen Komponenten sind sie unvermeidbar, in vielen Fällen führen sie zu einem Ausfall der Sicherheitsfunktion. Bei mechanischen Komponenten sind zufällige Fehler nur schwer vorstellbar, wenn im Zuge eines ganzheitlichen Safety-Life-Cycles die Vorgaben der IEC 61508 auf Herstellerseite und der IEC 61511 auf Anwenderseite berücksichtigt wurden. Obwohl zufällige Fehler bei mechanischen Komponenten äußerst selten auftreten, verlangt die Norm ihre Berücksichtigung. Dies erfolgt im Wesentlichen durch die Gesamtausfallrate für gefährliche unerkannte Fehler λDU. Dieser Wert kann den Herstellerangaben entnommen werden. Richtwerte auf Grundlage einer Worst-Case-Abschätzung für betriebsbewährte Geräte bietet zudem auch die Namur-Empfehlung NE 130. Mit der Gesamtausfallrate für gefährliche unerkannte Fehler lässt sich die mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im Anforderungsfall (PFDavg) berechnen. Der PFDavg-Wert steht im direkten Zusammenhang zum Sicherheits-Integritätslevel (SIL) nach IEC 61511. Die Fehlertoleranz ist die Eigenschaft des Sicherheitskreises, seine Sicherheitsfunktion auch dann noch zu erfüllen, wenn Fehler an der Hard- oder Software auftreten. Ein gängiges Verfahren zur Erhöhung der Fehlertoleranz ist der Einsatz redundanter Systeme. In redundant ausgelegten sicherheitsgerichteten Kreisen hat die Funktionsstörung einer Einzelkomponente keinen Einfluss auf das Sicherheitsverhalten des Sicherheitskreises, da eine zweite Komponente die Sicherheitsfunktion der fehlerbehafteten Komponente übernimmt.

Bei Auswahl der einzelnen Sicherheitskomponenten sollten Planer, Errichter und Betreiber von Anlagen auf das Wissen der Hersteller zurückgreifen. So entwickeln und fertigen beispielsweise die Unternehmen der Samson Group die gesamte Aktorik vom Ventil über den Antrieb bis hin zu den Anbaugeräten wie Stellungsregler, Magnetventil oder Grenzsignalgeber. Samsomatic hat bereits 1995 Magnetventile nach der damals gültigen Vornorm DIN V 19251 für den Einsatz in Sicherheitsabsperrarmaturen zertifizieren lassen. Sie haben sich seitdem im Betrieb bewährt und kommen heute auch in smarten Anbaugeräten von Samson zum Einsatz. 2006 wurden die Stellungsreglerversionen der Bauart 3730 mit der Funktion Emergency Shut Down (ESD) herausgebracht. Das sichere Entlüften ist seitdem mit Samson-Geräten möglich, sowohl in den Stellungsreglerbauarten 3730 und 3731 als auch in der in einem Gerät integrierten Magnetventil- und Grenzsignalfunktion des intelligenten Grenzsignalgebers Typ 3738.

Als einer der ersten Ventilhersteller hat sich Samson im Dezember 2011 den gesamten Entwicklungs-, Konstruktions-, Produktions- und Verkaufsprozess von Ventilen nach IEC 61508–1 vom TÜV SÜD auditieren lassen. Für Anlagenplaner und -betreiber bietet eine solche herstellerseitige Zertifizierung Vorteile beim Nachweis der Betriebsbewährung nach NE 130: durch sie wird die Betriebserprobungsphase um ein halbes Jahr verkürzt.

Trotz der strikten Rollenverteilung durch die IEC 61508 und IEC 61511 sieht sich das Unternehmen in der Verantwortung, den Anwender mit Informationen rund um das Thema „Funktionale Sicherheit“ zu unterstützen. Dies erfolgt z. B. durch die Veranstaltungsreihe „SIL in der Praxis“ und durch praxisnahe Schulungen. Im Zusammenhang dieses Artikels soll vor allem das Seminar „SSA – Stellgeräte in sicherheitsgerichteten Anwendungen“ erwähnt werden, das sich mit der Aktorik und den zugehörigen Anbaugeräten befasst. Bestandteil der Veranstaltung ist die praxisnahe Demonstration eines gesamten sicherheitsgerichteten Systems sowie die Gelegenheit zum praxisnahen Dialog zwischen Teilnehmern und Referenten aus Entwicklung, Produktmanagement und Service.

prozesstechnik-online.de/cav0814422