Whitepaper SIL END - Endress+Hauser · PDF filePLT-Schutzeinrichtungen haben in der Praxis...

WHITEPAPER SIL – sicher und effizient umsetzen

1 / 28

Funktionale Sicherheit in der Prozesstechnik

Abstract

Störfälle in verfahrenstechnischen Anlagen können Mensch und Umwelt

gefährden oder zu Sachschäden führen. Schutzeinrichtungen mit Mitteln

der Prozessleittechnik (PLT) reduzieren das Risiko und bringen Anlagen

in den sicheren Zustand. Die notwendige regelmäßige Überprüfung von

PLT-Schutzeinrichtungen ist zeit- und kostenintensiv und senkt die

Anlagenverfügbarkeit. Häufig sind Ausfallursachen bei Sicherheits-

einrichtungen systematischer Natur und werden bereits während der

Spezifikation, Geräteauswahl, Montage oder Inbetriebnahme „eingebaut“

- das muss nicht sein. Es gibt zahllose Geräte für zuverlässige und

effiziente Schutzeinrichtungen, Tools für eine sichere Auswahl und

Auslegung sowie kompetente Beratung und Dienstleistungen rund um das

Thema.


2 / 28

Inhalt

Was bedeutet „Funktionale Sicherheit“? Seite 3

Die Normenwelt Seite 5

SIS - Safety Instrumented System Seite 7

Gefährdungs- und Risikoanalyse Seite 10

Bewertung des kompletten Sicherheitskreises Seite 11

Fehlertypen bei Ausfall von PLT-Schutzeinrichtungen Seite 12

Redundanz Seite 15

Wiederholungsprüfungen Seite 18

Ansätze für die Auslegung Seite 21

Zertifikate Seite 22

Feldmessgeräte, Komplettlösungen und

Dienstleistungen aus einer Hand

Seite 23

Erklärende Begriffe Seite 25


3 / 28

Vor fast 30 Jahren setzte ein Unfall im norditalienischen Seveso hochgiftiges Dioxin

frei und verursachte einen erheblichen Schaden an der Umwelt. Viele Menschen

erkrankten schwer. Nur ein Zufall verhinderte, dass eine noch größere Giftstoffmenge

austrat. Als Konsequenz wurden die Gesetze und Verordnungen zum Schutz von

Mensch und Umwelt verschärft. Mitte der 80er Jahre führte die Europäische Union die

Seveso I-Richtlinie ein, die später durch die Seveso II-Richtlinie (96/82/EU) ersetzt

wurde. Die deutsche Umsetzung der Seveso-Richtlinie erfolgt durch die

Störfallverordnung im Bundes-Immissionsschutzgesetz (12. BImSchV 2000). In der

Störfallverordnung ist in §3 „Allgemeine Betreiberpflichten“ zu Normen und Regeln

vermerkt, dass die Beschaffenheit und der Betrieb der Anlagen dem Stand der Sicher-

heitstechnik entsprechen müssen. Über diese Generalklauselmethode erlangen

Normen eine rechtliche Bedeutung, obwohl sie Empfehlungen sind und ihre Anwend-

ung freiwillig ist. Da der Stand der Sicherheitstechnik den anerkannten Regeln der

Technik vorauseilt, können Normen immer nur richtungsweisend sein. Anwendungs-

spezifische Normen haben Vorrang vor Grundnormen. Seit dem Inkrafttreten der

internationalen Sicherheitsnormen IEC 61508/61511 ist Funktionale Sicherheit oder

das oft verwendete Akronym SIL (Safety Integrity Level) in aller Munde.

Was bedeutet “Funktionale Sicherheit”?

Verfahrenstechnische Anlagen besitzen unterschiedliche Gefahrenpotenziale. Die

Bandbreite dieser Gefahren reicht von Schäden der Gesundheit bei Personen, der

Umwelt und von Sachwerten bis hin zu schweren Katastrophen. Das damit verbundene

Risiko wird definiert als die Wahrscheinlichkeit des Eintritts eines gefährlichen

Ereignisses multipliziert mit dessen Auswirkungen. Um Mensch, Umwelt und Anlagen

vor Schäden zu schützen, muss der Anlagenbetreiber die Risiken seiner Anlage

anhand einer Gefährdungs- und Risikoanalyse ermitteln und anschließend mit

geeigneten Schutzmaßnahmen reduzieren. SIL beschreibt das Maß der Risiko-

reduzierung auf ein akzeptables Restrisiko.


4 / 28

Bild 1: Maßnahmen zur Risikoreduzierung

An erster Stelle steht immer das Ziel, den Prozess so zu gestalten, dass er inhärent

sicher ist. Wo das, z. B. aus verfahrenstechnischen oder wirtschaftlichen Gründen,

nicht möglich ist, sind zusätzliche Maßnahmen notwendig. Heute übernehmen immer

mehr Systeme der Automatisierungstechnik sicherheitstechnische Aufgaben.

Elektrische, elektronische oder programmierbare elektronische Sicherheitssysteme

überwachen den Prozess, greifen im Störfall in den Prozess ein und reduzieren

dadurch das Risiko eines gefährlichen Zustandes. Funktionale Sicherheit ist gegeben,

wenn die Schutzeinrichtungen korrekt funktionieren. Diese Systeme müssen ihre

bestimmungsgemäßen Funktionen (Sicherheitsfunktionen) unter definierten

Fehlerbedingungen und mit definierter hoher Wahrscheinlichkeit ausführen. Die

verwendeten Komponenten und der Schutzkreis müssen die Anforderungen relevanter

Normen erfüllen.


5 / 28

Bild 2: Anlagensteuerung und sicherheitsbezogenes System

Die Normenwelt

Am 01.08.2004 sind mit den deutschen Ausgaben der DIN EN 61508 (VDE 803) und

DIN EN 61511 (VDE810) zwei bedeutende internationale/europäische Normen in

Kraft getreten. Für die Konkretisierung und praktische Umsetzung gibt es in

Deutschland zusätzlich die VDI/VDE- und NAMUR-Richtlinien (VDI/VDE 2180

Teil 1-5, NE31, NE79, NE93, NE106, NE130).

Die DIN EN 61508 wird als Grundnorm bezeichnet und ist die Basis für Spezifikation,

Entwurf und Betrieb von sicherheitstechnischen Systemen für alle Anwendungen, in

denen elektrische, elektronische oder programmierbare elektronische Systeme zur

Ausführung von Sicherheitsfunktionen zum Einsatz kommen. Sie beschreibt als

anwendungsunabhängiger Basisstandard, die Anforderungen an Komponenten und

Systeme für Sicherheitsfunktionen, die Entwicklung anwendungsspezifischer Normen,

die Art der Risikobewertung (Risikograph) und die Maßnahmen zur Auslegung


6 / 28

entsprechender Sicherheitsfunktionen von Sensoren und Logikverarbeitung bis hin

zum Aktor bezüglich Fehlervermeidung (systematische Fehler) sowie

Fehlerbeherrschung (zufällige Fehler).

Die DIN EN 61511 ist die anwendungsspezifische Norm für die Prozessindustrie und

legt als Umsetzung der DIN EN 61508 unter anderem die Auswahlkriterien für

Komponenten der Sicherheitsfunktionen wie z. B. die Betriebsbewährung von

Sensoren und Aktoren fest.

Was ist nach Einführung der DIN EN 61508 + DIN EN 61511 anders?

Neben der Eignung der einzelnen Komponenten für den ermittelten SIL fordert die

Norm einen quantitativen Nachweis für das verbleibende Risiko. Dies erfolgt durch

eine Berechnung der gefährlichen Versagenswahrscheinlichkeit (PFD, Probability of

Failure on Demand) für die komplette PLT-Schutzeinrichtung (SIL-Loop), bestehend

aus Sensor, Steuerung (z. B. SSPS) und Aktor (Ventil). Die Versagenswahrschein-

lichkeiten aller Einzelkomponenten werden dazu bei einkanaligen Schutzeinrich-

tungen addiert. Die Prozess- und Fertigungsindustrien unterscheiden sich in den

Anforderungen an eine PLT-Schutzeinrichtung. Während in der Fertigungsindustrie

(Maschinensicherheit) eine hohe bzw. kontinuierliche Anforderungsrate (High

Demand Mode) an das Sicherheitssystem besteht, geht man in der Prozessindustrie

von einer niederen Anforderungsrate (Low Demand Mode), nicht häufiger als einmal

pro Jahr, aus.


7 / 28

Bild 3: Quantitativer Nachweis der Versagenswahrscheinlichkeit der PLT-Schutzeinrichtung

Vorteile der Norm

Die DIN EN 61508/61511 erlauben eine international harmonisierte Vorgehensweise

bei der Beurteilung von Schutzeinrichtungen sowie eine Bewertung von PLT-Geräten

im Hinblick auf systematische Fehler und statistisch belegbare Angaben von zufälligen

Fehlern (Qualität). So können Anwender ein definiertes Life-Cycle Management, d. h.

eine Dokumentation aller funktionsrelevanten Entwicklungsschritte realisieren.

Darüber hinaus ermöglicht die Norm eine komplette Bewertung der gesamten Schutz-

einrichtung (Sensor/Transmitter, Steuerung, Aktor). Die erforderliche Sicherheit ist

durch bewertete Messtechnik erreichbar, ohne aufwändige Änderung der Verfahrens-

technik und bietet Flexibilität bei Konstruktion und Qualität der Ausführung des SIL-

Loop‘s.

SIS - Safety Instrumented System

Neben den Geräteherstellern richtet sich die Umsetzung der neuen Normen in der

Prozessmesstechnik vor allem an die Betreiber von verfahrenstechnischen Anlagen

z. B. in der Chemie. PLT-Schutzeinrichtungen haben in der Praxis unterschiedliche

Bezeichnungen wie beispielsweise Z-Schaltung, EzA - Einrichtung zur Anlagen-


8 / 28

sicherheit. Die nach der Störfallverordnung relevanten PLT-Schutzeinrichtungen

umfassen durchschnittlich 3-5 % der heutigen PLT-Einrichtungen.

Bild 4: Definition und Wirkungsweisen von PLT-Einrichtungen

Aus unterschiedlichen Gründen sind betroffen:

• Die Anlagenbetreiber: „Wie kommt man zur SIL-Anforderung?“

Er muss über eine Gefährdungsanalyse den notwendigen SIL zur Risikoreduzierung

liefern und stellt die Anforderungen an den Errichter des sicherheitstechnischen

Systems.

• Der Anlagenbauer: „Wie kommt man zum SIL-Nachweis der Schutzeinrichtung?“

Er muss die PLT-Schutzeinrichtung entsprechend auslegen.

• Die Gerätehersteller: „Wie kommt man zur SIL-Bewertung der Komponenten

(Feldmessgerät, Ventil,…)?“

Er bestätigt die Klassifizierung seiner Produkte.


9 / 28

Management der Funktionalen Sicherheit

So wie der Gerätehersteller ein geeignetes Qualitätsmanagement-System für die

Entwicklung, Herstellung und Auslieferung seiner Produkte benötigt, gibt es auch

Anforderungen an den Lebenszyklus von Sicherheitsreinrichtungen beim Betreiber.

Alle Tätigkeiten – von der Gefährdungs- und Risikoanalyse über die Spezifikation,

Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetriebnahme –

werden in einem Sicherheitslebenszyklus dargestellt. Dies soll sicherstellen, dass die

geforderte Funktionale Sicherheit in jeder Betriebsart erfüllt und frei von systema-

tischen Fehlern ist. Dies garantiert die Einhaltung der Sicherheitsintegrität der

sicherheitstechnischen Funktionen nach der Montage und während des Betriebs, die

Beherrschung von Gefährdungen durch den Prozess während Instandhaltungs-

maßnahmen und nach der Außerbetriebnahme von PLT-Schutzeinrichtungen.

Bild 5: Der Sicherheitslebenszyklus


10 / 28

Gefährdungs- und Risikoanalyse

Das Risiko (R) eines technischen Prozesses ist definiert als Produkt aus Eintritts-

wahrscheinlichkeit (H) eines nichtbestimmungsgemäßen Anlagenbetriebs mit

Gefährdung von Mensch, Umwelt und Sachwerten und dem dabei möglicherweise

resultierenden Schadensausmaß (S) : R = H · S.

Das Risiko wird selten quantitativ, sondern meist nur qualitativ erfasst. Die Beurteil-

ung und Einstufung des Prozesses hinsichtlich seines Gefährdungspotenziales erfolgt

durch den Anlagenbetreiber im Rahmen von Sicherheitsgesprächen. Ein interdiszi-

plinäres Team aus Sicherheitsexperten, Verfahrenstechnikern, Planern und Projekt-

ingenieuren ermittelt und bewertet hierbei, z. B. mit Hilfe eines Risikographen, die

Ereignisse und Umstände, die zu Gefährdungen führen können. Für die Ermittlung des

erforderlichen SIL gibt es unterschiedliche Methoden (u. a. Risikograph, Risikomatrix,

HAZOP, LOPA).

Für das Maß der Risikoreduzierung unterscheidet man vier Stufen: von SIL 1 für

geringe Risikoreduzierung (mind. Faktor 10) bis SIL 4 für sehr hohe Risikoreduzierung

(mind. Faktor 10.000). Je höher das Risiko, umso zuverlässiger müssen die Einrich-

tungen zur Risikoreduzierung sein. In gleichem Maße steigen die Anforderungen an

die Gerätetechnik.

Bild 6: Erzielbare Risikoreduzierung durch PLT-Schutzreinrichtungen


11 / 28

Bewertung des kompletten Sicherheitskreises

Ein Sicherheitskreis besteht im einfachen einkanaligen Fall aus einem Sensor, einer

Steuerung (z. B. fehlersichere SPS) und einem Aktor. Die eingesetzte Steuerung kann

prinzipiell gleichzeitig mehrere Sicherheitsfunktionen (SIF – Safety Instrumented

Function) ausführen. Dabei können mehrere Sensoren und Aktoren mit der Steuerung

verbunden sein.

Bild 7: Einkanaliger Schutzeinrichtung bestehend aus Sensor, Logik und Aktor

Der Eignungsnachweis einer PLT-Schutzeinrichtung wird über die Eignung der

einzelnen Komponenten (SFF, HFT, PFDavg) und die abschließende Berechnung der

Versagenswahrscheinlichkeit PFDavg(Kreis) des gesamten Sicherheitskreises,

bestehend aus Sensor, Steuerung und Aktor, erbracht.

Die Ausfallwahrscheinlichkeit der gesamten Sicherheitskette ergibt sich im einfach-

sten Fall (einkanalig) aus der Addition der Ausfallwahrscheinlichkeiten der einzelnen

Komponenten PFDavg(Kreis) = PFDavg(Sensor) + PFDavg(Logik) + PFDavg(Aktor).

Die jeweiligen PFDavg-Werte liefert in der Regel der Gerätehersteller oder läßt sich

durch Auswertung von Ausfalldaten beim Betreiber ermitteln. Die SIL-Forderung war

das Resultat der Gefährdungs- und Risikoanalyse. Ist beispielsweise für eine PLT-


12 / 28

Schutzeinrichtung SIL 2 gefordert, darf die Ausfallwahrscheinlichkeit PFDavg (Kreis)

den Wert von 10-2 nicht überschreiten (SIL 2: 10-3 ≤ PFDavg < 10-2). Würden alle

Hersteller den Maximalwert im zulässigen Bereich der Ausfallwahrscheinlichkeiten

eines SIL ausnutzen, läge die Summe aller Einzelwahrscheinlichkeiten gewiss nicht

mehr im Bereich des geforderten SIL. Als Folge wäre trotz SIL 2-Bewertung aller

Einzelgeräte die PLT-Schutzeinrichtung nicht für SIL 2 geeignet.

Darum sind die Hersteller aufgefordert, ihre Geräte so auszulegen, dass diese nur

einen Bruchteil der eigentlich für den SIL zulässigen Versagenswahrscheinlichkeit

beanspruchen (Faustregel: Sensor max. 35 %, SPS max. 10 %, Aktor max. 50 %). Für

einen Sensor mit SIL 2-Bewertung sollte also der PFDavg einen Wert von 0,35 x 10-2

unter Berücksichtigung des Zeitintervalls für die Wiederholungsprüfung nicht

überschreiten.

Bild 8: SIL-Nachweis für eine einkanalige PLT-Schutzeinrichtung

Fehlertypen bei Ausfall von PLT-Schutzeinrichtungen

PLT-Schutzeinrichtungen müssen möglichst frei von Fehlern sein. Die DIN EN 61511

fordert deshalb, Maßnahmen gegen systematische Fehler (Fehlervermeidung) und


13 / 28

zufällige Fehler (Fehlererkennung) sowie zur Fehlertoleranz (Fehlerbeherrschung) zu

treffen. Alle Maßnahmen müssen immer gleichzeitig ergriffen werden. Auf Grund der

Auswirkung von Fehlern auf die Schutzeinrichtung teilt man diese in aktive und

passive Fehler ein. Aktive Fehler melden den Fehler, indem die Schutzfunktion aus-

gelöst wird, ohne dass die aufgabengemäß festgelegte Bedingung erfüllt ist. Passive

Fehler blockieren die Schutzfunktion durch ein Versagen der Schutzeinrichtung im

Anforderungsfall (z. B. Relais schaltet nicht, Stromausgang zeigt gültigen Messwert).

Passive Fehler lassen sich nur durch regelmäßiges Prüfen (Wiederholungsprüfung -

Proof Test) aufdecken.

Zufällige Fehler existieren nicht zum Lieferzeitpunkt. Sie ergeben sich aus Fehlern

der Hardware und treten während des Betriebs zufällig auf. Beispiele für zufällige

Fehler sind: Kurzschluss, Unterbrechung oder Wertedrift eines Bauelements. Die

Ausfallwahrscheinlichkeit und seine Wirkung auf den bewerteten Signalausgang des

Sensors wird mit Hilfe der FMEDA-Methode (Failure Modes, Effects and Diagnostic

Analysis) für alle Einzelkomponenten eines Gerätes erfasst. Das Gesamtergebnis

liefert die Ausfallraten (λ-Werte), den SFF- (Safe Failure Fraction) und den PFDavg-

Wert (Average Probability of Failure on Demand).

Bild 9: Analyse der Geräte-Hardware mittels FMEDA


14 / 28

Systematische Fehler existieren bei Feldgeräten, sofern vorhanden, bereits zum

Lieferzeitpunkt, ursächlich bei der Spezifikation, Entwicklung bzw. Herstellung der

Geräte. Beispiele sind Softwarefehler, falsche Dimensionierung von Bauteilen. Ein

Großteil der systematischen Fehler entstehen aber bei Schutzeinrichtungen zum Zeit-

punkt der Spezifikation, Auslegung, Komponentenauswahl oder durch fehlerhafte

Montage und Inbetriebnahme. Untersuchungen von Ausfällen von PLT-Schutzeinrich-

tungen nennen weitaus häufiger systematische Fehler als Ursache denn defekte

elektronische Bauteile. Beispiele für systematische Fehler bei Schutzeinrichtungen

sind ein für die Messaufgabe ungeeignetes Messverfahren oder Prozesseinflüsse wie

Korrosion oder Ansatzbildung. Die in der NAMUR-Empfehlung NE 130 beschriebene

Betriebsbewährung ist eine Methode, die Eignung von Feldgeräten für einen

spezifischen Anwendungsfall nachzuweisen.

Common-Cause-Fehler (Fehler gemeinsamer Ursache) sind Fehler, die bei

redundanten Sicherheitssystemen zum gleichzeitigen Ausfall mehrerer Kanäle führen

können. Beispiele sind elektromagnetische Störungen (EMV), Umwelteinflüsse wie

Blitzschlag, Hochwasser oder thermische bzw. mechanische Beanspruchung.

Bild 10: Versagensursachen von PLT-Schutzeinrichtungen


15 / 28

Redundanz

Genügen die Ausfallwahrscheinlichkeiten der eingesetzten Geräte nicht zur

Einhaltung des geforderten SIL eines Schutzkreises, lässt sich die Ausfallwahrschein-

lichkeit der Schutzeinrichtung durch Redundanz verkleinern. Redundanz ist ebenso

eine Maßnahme zur Fehlerbeherrschung.

Bei homogener Redundanz bieten zwei oder mehrere identische Geräte eine höhere

Verfügbarkeit der Schutzeinrichtung und vereinfachen die Lagerhaltung, Inbetrieb-

nahme sowie die Wartung. Mögliche Einschränkungen liegen in der Beherrschung

systematischer Fehler des Gerätes oder durch Prozesseinflüsse. Um mit zwei

identischen, SIL 2-bewerteten Geräten eine SIL 3 Risikoreduzierung zu erreichen, muss

die Software (systematische Fehler) die Anforderungen an SIL 3 erfüllen.

Als diversitäre Redundanz bezeichnet man zwei oder mehr Geräte mit

unterschiedlichem physikalischem Messprinzip (z. B. Magnetisch-Induktive-

Durchflussmesser (MID) wie Proline Promag und Coriolis-Durchflussmessgeräte wie

Proline Promass) bzw. gleichem Messprinzip, aber unterschiedlicher Bauart. Sie

reduziert die Versagenswahrscheinlichkeit und trägt dazu bei, systematische Fehler

besser zu beherrschen.

Je nach strukturellem Aufbau dienen zusätzliche Geräte einer Erhöhung der

Verfügbarkeit der Anlage (2oo2, 2oo3) und nicht zusätzlicher Sicherheit. Fällt ein

Gerät einer höher verfügbaren Sicherheitsfunktion aus, kann der Anwender die

Anlage weiterfahren bis das defekte Gerät innerhalb des angegebenen MTTR (Mean

Time To Repair, typischerweise 8 Stunden) repariert oder ausgetauscht wurde.


16 / 28

Bild 11: Redundante Auswahlschaltungen

Systematische Fehler minimieren

Das große Produktportfolio unterschiedlicher physikalischer Messprinzipien auch

innerhalb eines Arbeitsgebietes wie Füllstand oder Durchfluss erlaubt die Auswahl des

optimalen Messverfahrens für eine vorliegende Messaufgabe, und sichert dadurch

eine hohe Zuverlässigkeit und Genauigkeit der Messwerte (Best Fit).

Für eine zuverlässige und effiziente Schutzeinrichtung bietet Endress+Hauser neben

einem umfangreichen Geräteprogramm, bewährte Tools wie den Applicator sowie

kompetente Beratung und Dienstleistung von Experten mit hohem Fach- und

Erfahrungswissen.

Einheitliche, kompakte Safety Manuals und SIL-Datenblätter sorgen für Transparenz

und Sicherheit bei Planung, Inbetriebnahme und Funktionsprüfung

(Wiederholungsprüfung) von Schutzeinrichtungen. SIL im Standard, d. h. identische

Geräte für Standard- und Sicherheitsanwendungen, vereinfachen die Lagerhaltung.

Eine unabhängige Bewertung nach dem Vier-Augen-Prinzip sowohl auf Seite der

Hersteller wie auch beim Betreiber gibt zusätzlich Sicherheit.


17 / 28

Bestimmungsgemäßer Gebrauch

Der Anwender ist verantwortlich für den bestimmungsgemäßen Gebrauch der

eingesetzten Geräte. Eine Schutzeinrichtung kann nur dann bestimmungsgemäß

arbeiten, wenn die Herstellervorschriften zur Installation, Inbetriebnahme, Bedienung

und Wartung beachtet und insbesondere die Einflüsse des spezifischen Prozesses und

der jeweiligen Umgebung berücksichtigt werden. Anlagensicherheit lässt sich nur mit

begründetem, ingenieurmäßigem Vorgehen und in Zusammenarbeit von Anwender

und Gerätehersteller erreichen.

Durch die Medienberührung der Sensorik und Aktorik ist es wichtig, sich nicht allein

auf eine generelle Fehleranalyse oder eine Datenbank zu verlassen, sondern zusätzlich

die Eignung gezielt für den jeweiligen Prozess zu prüfen. Sensoren bzw. Aktoren sind

im Feld installiert und dadurch sowohl Umgebungsbedingungen als auch Prozess-

medien ausgesetzt. Hieraus ergeben sich chemische und physikalische Belastungen,

z. B. durch Druck, Temperatur, Vibration und Feuchte. Prozessmedien wirken durch

Korrosion, Kristallisation, Polymerisation, Abrasion, Ansatzbildung und andere

Effekte auf die Feldgeräte ein.

Beim Einsatz von Aktoren spielen zudem Strömungsgeschwindigkeiten und das

Auftreten von Kavitation eine bedeutende Rolle. Da es sich bei den oben genannten

Mechanismen um systematische Einflüsse handelt, gilt es diese bereits bei der

Anlagenplanung entsprechend zu berücksichtigen und zu vermeiden. Fehlende

Erfahrungswerte können durch besondere Maßnahmen, wie zum Beispiel verkürzte

Prüfintervalle, einbezogen werden.


18 / 28

Bild 12: Prozesseinflüsse z. B. Ansatz und Kristallisation

Wiederholungsprüfungen

Zur Aufdeckung gefährlicher unerkannter Fehler sind Wiederholungsprüfungen

unabdingbarer Bestandteil des Gesamtsicherheitskonzeptes. Das Prüfintervall ist von

den sicherheitstechnischen Kenngrößen der eingesetzten Geräte der Sicherheits-

einrichtung abhängig und wird zusammen mit dem Prüfverfahren bereits bei der

Planung festgelegt. Alle Schritte des Sicherheitslebenszyklus sind zu dokumentieren.

Dies gilt insbesondere für die Wiederholungsprüfung. Die Dokumentation dieses

Schrittes sollte auch den Zustand der Schutzeinrichtung vor der Wiederholungs-

prüfung beinhalten. Die Durchführung der Wiederholungsprüfung ist in den Safety

Manuals der Hersteller beschrieben.


19 / 28

Bild 13: Wiederkehrende Prüfung mit Prüftiefe (PTC- Proof Test Coverage) 100%

Kosten- und Zeitsparende Prüfkonzepte

Die Reduzierung der Aufenthaltsdauer im Gefahrenbereich der Anlage (z. B. bei Prüf-

ungen und Kalibrierungen) reduziert das Gefährdungsrisiko – einfache Prüfungen (auf

Knopfdruck) oder ein schneller Tausch der pH-Elektrode anstelle einer Kalibrierung

vor Ort erniedrigen das Risiko für die Mitarbeiter. Prüfungen erfordern häufig

Prozessunterbrechungen oder spezifische Prozesssituationen (z. B. Befüllen/Entleeren

von Tanks). Häufig gestaltet sich dadurch die Abstimmung zwischen Betreiber und

Prüfstelle recht schwierig bzw. machen eine fristgerechte Durchführung der Prüfung

unmöglich – einfache Prüfungen reduzieren den Aufwand und sparen Zeit und Geld.

Intelligente und wirtschaftliche Konzepte zur Funktionsprüfung ermöglichen

maximale Anlagenverfügbarkeit und Anlagensicherheit: Beste Beispiele dafür sind das

Prüfen auf Knopfdruck beim PFM-Liquiphant und die integrierten Prüffunktionen

beim Levelflex/Micropilot oder systematische Funktionsprüfungen bei der Proline 2-

Durchfluss-Gerätefamilie mit FieldCheck und Liquiphant FailSafe mit permanenter

Selbstdiagnose.


20 / 28

Bild 14: Integrierte Prüfunktion beim Levelflex FMP5x

Die Vorteile auf einen Blick:

• Prüfung im eingebauten Zustand ohne Prozessunterbrechung und Öffnen der

Produktkreisläufe sichert eine hohe Anlagenverfügbarkeit und Produktqualität.

• Hohe Prüftiefen bieten maximale Sicherheit und erlauben lange Prüfzyklen.

• Klare Aussage „bestanden/nicht bestanden“ (FieldCheck, Levelflex) reduzieren die

notwendige Entscheidungskompetenz der Mitarbeiter auf Betreiberseite und damit

den Schulungsaufwand bzw. die Qualifizierung.

• Geringerer Abstimmungsaufwand zwische Betreiber und Prüfabteilung (z. B. keine

Änderung des Füllstands während Prüfung notwendig) reduziert Zeitaufwand und

Kosten.

• Kurzer Aufenthalt in den Gefahrenbereichen/Produktionsbereichen minimiert die

Gefährdung der Prüfer vor Ort: z. B. vorkalibrierte Memosens pH-Elektroden

erlauben einen schnellen Austausch ohne Kalibrierung vor Ort.

• Vereinfachte Teilprüfungen ermöglichen verlängerte Prüfintervalle.


21 / 28

Ansätze für die Auslegung

Der Bottom up-Ansatz verwendet die von den Herstellern angegebenen sicherheits-

technischen Kenngrößen zur Auslegung und zum Eignungsnachweis der PLT-Schutz-

einrichtungen. Die Berechnung der Ausfallwahrscheinlichkeit der kompletten

Schutzeinrichtung (Sensor, Steuerung, Aktor) basiert auf diesen Einzelwerten der

Komponenten. Die vom Hersteller ermittelten Kenngrößen (Ausfallraten) beruhen auf

Datenbanken (Siemens Norm SN 29500, OREDA, etc.) und sind mit entsprechenden

Unsicherheiten behaftet.

Der Top down-Ansatz nutzt das Prinzip der Betriebsbewährung und basiert auf einer

statistischen Auswertung über mehrere Jahre gesammelter Störfalldaten von in der

Prozessindustrie eingesetzten Feldgeräten. Als Vorteil wird eine größere Praxis-

relevanz durch den näheren Bezug zu den Prozess- und Umweltanforderungen

erachtet. Nachteil dieses Ansatzes ist die Beschränkung auf spezielle Anwendungen.

Unterschiedliche Methoden der Hersteller

Eine vollständige Geräteentwicklung nach der Norm DIN EN 61508 für die Eignung

nach SIL 2/3 erfordert entsprechende Vorgehensweisen und umfangreiche

Maßnahmen im Entwicklungs-, Fertigungs- und Änderungsprozess (QM-System). Bei

der Hard- und Software des Gerätes sind Maßnahmen zur Fehlervermeidung,

Fehlererkennung und Fehlerbeherrschung zu berücksichtigen. Dadurch ist die

Entwicklung eines fehlersicheren Produkts (wie z. B. Cerabar S, Levelflex, Micropilot

oder Liquiphant Failsafe) meist sehr aufwändig.

Die im Entwicklungsprozess eingesetzten Qualitätsmanagementsysteme (FSM) sowie

geordnete Entwicklungsprozesse nach IEC 61508 und Entwurfsmethoden vermeiden

systematische Fehler weitestgehend und bieten zuverlässige Geräte mit hoher Qualität

ab Produkteinführung. Dies erlaubt den Einsatz der Geräte in Schutzeinrichtungen

direkt ab Markteinführung oder nach verkürzter Betriebserprobung laut NE 130 (1/2

Jahr anstelle 1 Jahr). Dabei sichern Änderungsprozesse nach DIN EN 61508 eine


22 / 28

gleichbleibende Qualität der Messgeräte und vermeiden erneute, aufwendige Betriebs-

bewährungsphasen. Weitere Vorteile sind lange Prüfzyklen durch umfangreiche

integrierte Gerätediagnosen sowie die direkte Eignung für einen einkanaligen Einsatz

in Schutzeinrichtungen bis SIL 2 ab Vertriebsstart.

Viele Geräte sind seit Jahren erfolgreich im Einsatz. Zur Bewertung dieser bereits

entwickelten und gefertigten Komponenten macht die DIN EN 61511 zusätzlich eine

Eignungsaussage auf Basis einer Betriebsbewährung eines Gerätes einschließlich

dessen Software und dem dazugehörigen Änderungswesen. Die Nachweisführung

erfolgt über eine ausreichende Stückzahl im Einsatz befindlicher Geräte (Prior Use).

Der Änderungsprozess an bestehenden Produkten, unabhängig der Entwicklung nach

DIN EN 61508 oder der Bewertung über Betriebsbewährung nach IEC 61511, wird bei

Endress+Hauser immer gemäß DIN EN 61508 durchgeführt. Der Anwender kann auf

eine erneute Qualifizierung verzichten und profitiert von einem erheblich geringeren

Aufwand.

Zertifikate

Als Nachweis über die SIL-Qualifizierung eines SIL-bewerteten Gerätes reicht für den

Betreiber einer Anlage nach DIN EN 61511 eine SIL-Konformitätserklärung des

Herstellers aus. Zertifikate sind weder vorgeschrieben noch von der Norm gefordert.

Bei Endress+Hauser erfolgt die Bewertung, unabhängig von der SIL-Stufe, immer nach

dem Vier-Augen-Prinzip (Unabhängigkeit des Prüfers). Um den steigenden Bedarf der

Anwender nach Zertifikaten zu bedienen, sind zum Nachweis des angewendeten Vier-

Augen-Prinzips für viele Endress+Hauser Produkte SIL-Zertifikate (TÜV, EXIDA)

verfügbar und können direkt über das Internet (www.de.endress.com/sil) bezogen

werden.


23 / 28

Beurteilung der Funktionalen Sicherheit nach DIN EN 61511:

SIL 1: unabhängige Person

SIL 2: unabhängige Abteilung

SIL 3: unabhängige Organisation

SIL 4: unabhängige Organisation

Feldmessgeräte, Komplettlösungen und Dienstleistungen aus einer Hand

Endress+Hauser unterstützt seine Kunden mit jahrelanger Kompetenz und Erfahrung

dabei, die gestellten Anforderungen zu meistern. Der Komplettanbieter für

Messtechnik liefert ein Produktportfolio SIL-bewerteter Geräte für alle wichtigen

Messgrößen der Prozesstechnik bis SIL 2 bzw. SIL 3: Druck, Temperatur, Füllstand,

Durchfluss, Systemkomponenten und als einziger Anbieter für die pH-Analyse. Das

Unternehmen ist Technologieführer bei der Entwicklung von Geräten nach SIL wie

Levelflex FMP5x, Micropilot FMR 5x, Promass 200, Promag 200, Prowirl 200 oder

den Liquiphant FailSafe. Die große Produktpalette an SIL-bewerteten Geräten spart

Zeit bei der Planung und ermöglicht die Auswahl des optimalen Messverfahrens für

eine vorgegebene Messstelle (Best Fit).

Sicher und trotzdem wirtschaftlich – kein Widerspruch

Die Anforderungen an die Anlagensicherheit steigen stetig. Gesetzliche und normative

Neuregelungen verunsichern die Betreiber. Reduzierte Vorgaben von gesetzlicher Seite

bieten einerseits mehr Flexibilität bei der Entwicklung von Sicherheitslösungen,

erfordern andererseits mehr Entscheidungsverantwortung. Höhere Anforderungen

durch neue oder geänderte Standards, Gesetze/Verordnungen, Regularien erfordern

mehr Ressourcen und Zeitaufwand. Immer mehr Anlagen werden im Grenzbereich

gefahren. Dadurch steigt deren Risiko und damit die Anforderungen an die Sicher-

heitseinrichtungen und das Schutzniveau. Der Trend zu mehr Automatisierung führt

zu erhöhtem Bedarf an Sicherheitssystemen und mehr Aufwand für die Prüfung der

eingesetzten Sicherheitseinrichtungen. Erhöhte Nachweispflichten für die Technische


24 / 28

Sicherheit erfordern eine qualitativ hochwertige Dokumentation. Zudem verlangen

Modernisierungen und Änderungen die ständige Anpassung der Sicherheitsein-

richtungen an den neuesten Stand der Technik.

Kompetente Beratung und Dienstleistungen

Mit dem SIL-Nachweis kann der Betreiber auch den Anlagenbauer oder Komponen-

tenhersteller beauftragen. Endress+Hauser bietet daher diesen SIL-Nachweis als

Dienstleistung an und hat dazu mehrere Ingenieure als "Functional Safety Engineer"

beim TÜV Süd qualifiziert. Das Unternehmen erstellt den quantitativen SIL Nachweis

nicht nur für die eigene Sensorik, sondern auch für den gesamten Schutzkreis

einschließlich Sicherheitssteuerung und Aktorik von Drittlieferanten. Der Hersteller

unterstützt den Betreiber mit seinem kompetenten Engineering Team und übernimmt

auch die effektive und sichere Auslegung und Berechnung von Schutzeinrichtungen.

Darüber hinaus bietet das Familienunternehmen seinen Kunden allgemeine oder

kundenspezifische Seminare und Online-Trainings.


25 / 28

Erklärende Begriffe

Sicherheitstechnische Kenngrößen

Zur Auslegung einer PLT-Schutzeinrichtung liefert der Hersteller sicherheits-

technische Kenngrößen für seine SIL-bewerteten Feldgeräte. Eine Übersicht aller

aktuell verfügbaren SIL-Geräte, inklusive der wichtigen Dokumentationen, sind z. B.

bei Endress+Hauser unter www.de.endress.com/sil abrufbar (SIL-Datenblatt, Safety

Manual, SIL-Konformitätserklärungen und Zertifikate). Die SIL-Datenblätter fassen die

wichtigsten sicherheitstechnischen Kenngrößen für das entsprechende Messgerät

zusammen. Im Safety Manual finden sich alle Informationen, von den

Einsatzbedingungen bis zur Durchführung der Wiederholungsprüfung. Die Dokumente

sind einheitlich für alle Geräte aufgebaut und bieten eine wertvolle Hilfe im

Engineering Prozess sowie für den Betrieb einer PLT-Schutzeinrichtung.

Ausfallraten verschiedener Fehlerarten für die Auslegung redundanter Systeme

λSD = Safe Detected Failure Rate (Ausfallrate für sichere erkannte Ausfälle)

λSU = Safe Undetected Failure Rate (Ausfallrate für sichere unerkannte Ausfälle)

λDD = Dangerous Detected Failure Rate (Ausfallrate für gefährliche erkannte Ausfälle)

λDU = Dangerous Undetected Failure Rate (Ausfallrate für gefährliche unerkannte

Ausfälle)

Die Ausfallraten werden häufig in der Einheit FIT angegeben (FIT = Failure in Time,

1 FIT = 10-9/h).

Average Probability of Failure on Demand (PFDavg)

Dieser Wert beschreibt die mittlere Ausfallwahrscheinlichkeit für einen gefährlichen

Ausfall bei Anforderung der Sicherheitsfunktion im Low Demand Mode (Anforderung

höchstens einmal pro Jahr). Er legt zusammen mit dem SFF- und HFT-Wert die SIL-

Klassifizierung einer Komponente (z. B. Sensor) fest und wird für die Berechnung der


26 / 28

Ausfallwahrscheinlichkeit einer gesamten Sicherheitskette benötigt. Je kleiner der

PFDavg-Wert eines Gerätes (unter Berücksichtigung des Prüfintervalls), umso geringer

ist die gesamte Ausfallwahrscheinlichkeit der Kette.

Für eine einkanalige Sicherheitsfunktion (keine Redundanz) wird die

Ausfallwahrscheinlichkeit PFDavg wie folgt annähernd berechnet:

T1 entspricht dem Zeitintervall für Wiederholungsprüfungen (Proof Test Intervall) zur

Aufdeckung gefährlicher unerkannter Ausfälle. Das Prüfintervall T1 hat Einfluss auf

den PFDavg-Wert.

Safe Failure Fraction (SFF)

SFF beschreibt den prozentualen Anteil an Ausfällen ohne Potenzial, das sicher-

heitsbezogene System in einen gefährlichen Zustand zu bringen. Neben der

Einhaltung von Maximalwerten für die gefährliche Versagenswahrscheinlichkeit

(PFDavg) ist der erreichbare Safety Integrity Level (SIL) einer Sicherheitsfunktion nach

DIN EN 61508 zusätzlich von der Kombination der Kenngrößen SFF und HFT abhängig

(Bild 3)

Hardware Fault Tolerance (HFT)

Die Hardware-Fehlertoleranz (HFT) ist die Fähigkeit eines Systems, eine

Sicherheitsfunktion bei Hardwarefehlern weiter korrekt auszuführen. Eine HFT von N

bedeutet, dass N+1 Fehler zu einem Verlust der Sicherheitsfunktion führen können.

Ein Signalkreis mit redundanter Architektur (1oo2) hat die Hardware-Fehlertoleranz


27 / 28

von HFT = 1. Dies bedeutet, dass der Ausfall eines Gerätes nicht sofort zum Ausfall der

Sicherheitsfunktion führt.

Einfache und komplexe Geräte

Bei „einfachen“ Geräten (Typ A) ist das Ausfallverhalten der Bauteile vollständig

beschreibbar. Solche Bauteile sind z. B. Metallschichtwiderstände, Transistoren oder

Relais. Die Ausfallraten dieser Bauteile lassen sich aus einschlägigen Tabellenwerken

entnehmen. Bei „komplexen“ Geräten (Typ B) ist das Ausfallverhalten der Bauteile

nicht vollständig bekannt. Solche Bauteile sind beispielsweise Mikroprozessoren oder

ASICs. Heute übliche Prozessmessgeräte sind vom Typ B. Für betriebsbewährte Geräte

darf nach IEC 61511 unter bestimmten Bedingungen die HFT um 1 reduziert werden

(nur für SIL ≤ 3). (siehe Bild 9)


28 / 28

Informationen

unter www.de.endress.com/sil

Ihr Ansprechpartner

Für Fragen zum Thema Funktionale Sicherheit in der Prozesstechnik steht Ihnen

Hans-Peter Maier gerne zur Verfügung.

E-Mail: [email protected]

Whitepaper SIL END - Endress+Hauser · PDF filePLT-Schutzeinrichtungen haben in der Praxis...

Documents

Transcript of Whitepaper SIL END - Endress+Hauser · PDF filePLT-Schutzeinrichtungen haben in der Praxis...