Upload
phungngoc
View
217
Download
2
Embed Size (px)
Citation preview
WHITEPAPER SIL – sicher und effizient umsetzen
1 / 28
Funktionale Sicherheit in der Prozesstechnik
Abstract
Störfälle in verfahrenstechnischen Anlagen können Mensch und Umwelt
gefährden oder zu Sachschäden führen. Schutzeinrichtungen mit Mitteln
der Prozessleittechnik (PLT) reduzieren das Risiko und bringen Anlagen
in den sicheren Zustand. Die notwendige regelmäßige Überprüfung von
PLT-Schutzeinrichtungen ist zeit- und kostenintensiv und senkt die
Anlagenverfügbarkeit. Häufig sind Ausfallursachen bei Sicherheits-
einrichtungen systematischer Natur und werden bereits während der
Spezifikation, Geräteauswahl, Montage oder Inbetriebnahme „eingebaut“
- das muss nicht sein. Es gibt zahllose Geräte für zuverlässige und
effiziente Schutzeinrichtungen, Tools für eine sichere Auswahl und
Auslegung sowie kompetente Beratung und Dienstleistungen rund um das
Thema.
WHITEPAPER SIL – sicher und effizient umsetzen
2 / 28
Inhalt
Was bedeutet „Funktionale Sicherheit“? Seite 3
Die Normenwelt Seite 5
SIS - Safety Instrumented System Seite 7
Gefährdungs- und Risikoanalyse Seite 10
Bewertung des kompletten Sicherheitskreises Seite 11
Fehlertypen bei Ausfall von PLT-Schutzeinrichtungen Seite 12
Redundanz Seite 15
Wiederholungsprüfungen Seite 18
Ansätze für die Auslegung Seite 21
Zertifikate Seite 22
Feldmessgeräte, Komplettlösungen und
Dienstleistungen aus einer Hand
Seite 23
Erklärende Begriffe Seite 25
WHITEPAPER SIL – sicher und effizient umsetzen
3 / 28
Vor fast 30 Jahren setzte ein Unfall im norditalienischen Seveso hochgiftiges Dioxin
frei und verursachte einen erheblichen Schaden an der Umwelt. Viele Menschen
erkrankten schwer. Nur ein Zufall verhinderte, dass eine noch größere Giftstoffmenge
austrat. Als Konsequenz wurden die Gesetze und Verordnungen zum Schutz von
Mensch und Umwelt verschärft. Mitte der 80er Jahre führte die Europäische Union die
Seveso I-Richtlinie ein, die später durch die Seveso II-Richtlinie (96/82/EU) ersetzt
wurde. Die deutsche Umsetzung der Seveso-Richtlinie erfolgt durch die
Störfallverordnung im Bundes-Immissionsschutzgesetz (12. BImSchV 2000). In der
Störfallverordnung ist in §3 „Allgemeine Betreiberpflichten“ zu Normen und Regeln
vermerkt, dass die Beschaffenheit und der Betrieb der Anlagen dem Stand der Sicher-
heitstechnik entsprechen müssen. Über diese Generalklauselmethode erlangen
Normen eine rechtliche Bedeutung, obwohl sie Empfehlungen sind und ihre Anwend-
ung freiwillig ist. Da der Stand der Sicherheitstechnik den anerkannten Regeln der
Technik vorauseilt, können Normen immer nur richtungsweisend sein. Anwendungs-
spezifische Normen haben Vorrang vor Grundnormen. Seit dem Inkrafttreten der
internationalen Sicherheitsnormen IEC 61508/61511 ist Funktionale Sicherheit oder
das oft verwendete Akronym SIL (Safety Integrity Level) in aller Munde.
Was bedeutet “Funktionale Sicherheit”?
Verfahrenstechnische Anlagen besitzen unterschiedliche Gefahrenpotenziale. Die
Bandbreite dieser Gefahren reicht von Schäden der Gesundheit bei Personen, der
Umwelt und von Sachwerten bis hin zu schweren Katastrophen. Das damit verbundene
Risiko wird definiert als die Wahrscheinlichkeit des Eintritts eines gefährlichen
Ereignisses multipliziert mit dessen Auswirkungen. Um Mensch, Umwelt und Anlagen
vor Schäden zu schützen, muss der Anlagenbetreiber die Risiken seiner Anlage
anhand einer Gefährdungs- und Risikoanalyse ermitteln und anschließend mit
geeigneten Schutzmaßnahmen reduzieren. SIL beschreibt das Maß der Risiko-
reduzierung auf ein akzeptables Restrisiko.
WHITEPAPER SIL – sicher und effizient umsetzen
4 / 28
Bild 1: Maßnahmen zur Risikoreduzierung
An erster Stelle steht immer das Ziel, den Prozess so zu gestalten, dass er inhärent
sicher ist. Wo das, z. B. aus verfahrenstechnischen oder wirtschaftlichen Gründen,
nicht möglich ist, sind zusätzliche Maßnahmen notwendig. Heute übernehmen immer
mehr Systeme der Automatisierungstechnik sicherheitstechnische Aufgaben.
Elektrische, elektronische oder programmierbare elektronische Sicherheitssysteme
überwachen den Prozess, greifen im Störfall in den Prozess ein und reduzieren
dadurch das Risiko eines gefährlichen Zustandes. Funktionale Sicherheit ist gegeben,
wenn die Schutzeinrichtungen korrekt funktionieren. Diese Systeme müssen ihre
bestimmungsgemäßen Funktionen (Sicherheitsfunktionen) unter definierten
Fehlerbedingungen und mit definierter hoher Wahrscheinlichkeit ausführen. Die
verwendeten Komponenten und der Schutzkreis müssen die Anforderungen relevanter
Normen erfüllen.
WHITEPAPER SIL – sicher und effizient umsetzen
5 / 28
Bild 2: Anlagensteuerung und sicherheitsbezogenes System
Die Normenwelt
Am 01.08.2004 sind mit den deutschen Ausgaben der DIN EN 61508 (VDE 803) und
DIN EN 61511 (VDE810) zwei bedeutende internationale/europäische Normen in
Kraft getreten. Für die Konkretisierung und praktische Umsetzung gibt es in
Deutschland zusätzlich die VDI/VDE- und NAMUR-Richtlinien (VDI/VDE 2180
Teil 1-5, NE31, NE79, NE93, NE106, NE130).
Die DIN EN 61508 wird als Grundnorm bezeichnet und ist die Basis für Spezifikation,
Entwurf und Betrieb von sicherheitstechnischen Systemen für alle Anwendungen, in
denen elektrische, elektronische oder programmierbare elektronische Systeme zur
Ausführung von Sicherheitsfunktionen zum Einsatz kommen. Sie beschreibt als
anwendungsunabhängiger Basisstandard, die Anforderungen an Komponenten und
Systeme für Sicherheitsfunktionen, die Entwicklung anwendungsspezifischer Normen,
die Art der Risikobewertung (Risikograph) und die Maßnahmen zur Auslegung
WHITEPAPER SIL – sicher und effizient umsetzen
6 / 28
entsprechender Sicherheitsfunktionen von Sensoren und Logikverarbeitung bis hin
zum Aktor bezüglich Fehlervermeidung (systematische Fehler) sowie
Fehlerbeherrschung (zufällige Fehler).
Die DIN EN 61511 ist die anwendungsspezifische Norm für die Prozessindustrie und
legt als Umsetzung der DIN EN 61508 unter anderem die Auswahlkriterien für
Komponenten der Sicherheitsfunktionen wie z. B. die Betriebsbewährung von
Sensoren und Aktoren fest.
Was ist nach Einführung der DIN EN 61508 + DIN EN 61511 anders?
Neben der Eignung der einzelnen Komponenten für den ermittelten SIL fordert die
Norm einen quantitativen Nachweis für das verbleibende Risiko. Dies erfolgt durch
eine Berechnung der gefährlichen Versagenswahrscheinlichkeit (PFD, Probability of
Failure on Demand) für die komplette PLT-Schutzeinrichtung (SIL-Loop), bestehend
aus Sensor, Steuerung (z. B. SSPS) und Aktor (Ventil). Die Versagenswahrschein-
lichkeiten aller Einzelkomponenten werden dazu bei einkanaligen Schutzeinrich-
tungen addiert. Die Prozess- und Fertigungsindustrien unterscheiden sich in den
Anforderungen an eine PLT-Schutzeinrichtung. Während in der Fertigungsindustrie
(Maschinensicherheit) eine hohe bzw. kontinuierliche Anforderungsrate (High
Demand Mode) an das Sicherheitssystem besteht, geht man in der Prozessindustrie
von einer niederen Anforderungsrate (Low Demand Mode), nicht häufiger als einmal
pro Jahr, aus.
WHITEPAPER SIL – sicher und effizient umsetzen
7 / 28
Bild 3: Quantitativer Nachweis der Versagenswahrscheinlichkeit der PLT-Schutzeinrichtung
Vorteile der Norm
Die DIN EN 61508/61511 erlauben eine international harmonisierte Vorgehensweise
bei der Beurteilung von Schutzeinrichtungen sowie eine Bewertung von PLT-Geräten
im Hinblick auf systematische Fehler und statistisch belegbare Angaben von zufälligen
Fehlern (Qualität). So können Anwender ein definiertes Life-Cycle Management, d. h.
eine Dokumentation aller funktionsrelevanten Entwicklungsschritte realisieren.
Darüber hinaus ermöglicht die Norm eine komplette Bewertung der gesamten Schutz-
einrichtung (Sensor/Transmitter, Steuerung, Aktor). Die erforderliche Sicherheit ist
durch bewertete Messtechnik erreichbar, ohne aufwändige Änderung der Verfahrens-
technik und bietet Flexibilität bei Konstruktion und Qualität der Ausführung des SIL-
Loop‘s.
SIS - Safety Instrumented System
Neben den Geräteherstellern richtet sich die Umsetzung der neuen Normen in der
Prozessmesstechnik vor allem an die Betreiber von verfahrenstechnischen Anlagen
z. B. in der Chemie. PLT-Schutzeinrichtungen haben in der Praxis unterschiedliche
Bezeichnungen wie beispielsweise Z-Schaltung, EzA - Einrichtung zur Anlagen-
WHITEPAPER SIL – sicher und effizient umsetzen
8 / 28
sicherheit. Die nach der Störfallverordnung relevanten PLT-Schutzeinrichtungen
umfassen durchschnittlich 3-5 % der heutigen PLT-Einrichtungen.
Bild 4: Definition und Wirkungsweisen von PLT-Einrichtungen
Aus unterschiedlichen Gründen sind betroffen:
• Die Anlagenbetreiber: „Wie kommt man zur SIL-Anforderung?“
Er muss über eine Gefährdungsanalyse den notwendigen SIL zur Risikoreduzierung
liefern und stellt die Anforderungen an den Errichter des sicherheitstechnischen
Systems.
• Der Anlagenbauer: „Wie kommt man zum SIL-Nachweis der Schutzeinrichtung?“
Er muss die PLT-Schutzeinrichtung entsprechend auslegen.
• Die Gerätehersteller: „Wie kommt man zur SIL-Bewertung der Komponenten
(Feldmessgerät, Ventil,…)?“
Er bestätigt die Klassifizierung seiner Produkte.
WHITEPAPER SIL – sicher und effizient umsetzen
9 / 28
Management der Funktionalen Sicherheit
So wie der Gerätehersteller ein geeignetes Qualitätsmanagement-System für die
Entwicklung, Herstellung und Auslieferung seiner Produkte benötigt, gibt es auch
Anforderungen an den Lebenszyklus von Sicherheitsreinrichtungen beim Betreiber.
Alle Tätigkeiten – von der Gefährdungs- und Risikoanalyse über die Spezifikation,
Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetriebnahme –
werden in einem Sicherheitslebenszyklus dargestellt. Dies soll sicherstellen, dass die
geforderte Funktionale Sicherheit in jeder Betriebsart erfüllt und frei von systema-
tischen Fehlern ist. Dies garantiert die Einhaltung der Sicherheitsintegrität der
sicherheitstechnischen Funktionen nach der Montage und während des Betriebs, die
Beherrschung von Gefährdungen durch den Prozess während Instandhaltungs-
maßnahmen und nach der Außerbetriebnahme von PLT-Schutzeinrichtungen.
Bild 5: Der Sicherheitslebenszyklus
WHITEPAPER SIL – sicher und effizient umsetzen
10 / 28
Gefährdungs- und Risikoanalyse
Das Risiko (R) eines technischen Prozesses ist definiert als Produkt aus Eintritts-
wahrscheinlichkeit (H) eines nichtbestimmungsgemäßen Anlagenbetriebs mit
Gefährdung von Mensch, Umwelt und Sachwerten und dem dabei möglicherweise
resultierenden Schadensausmaß (S) : R = H · S.
Das Risiko wird selten quantitativ, sondern meist nur qualitativ erfasst. Die Beurteil-
ung und Einstufung des Prozesses hinsichtlich seines Gefährdungspotenziales erfolgt
durch den Anlagenbetreiber im Rahmen von Sicherheitsgesprächen. Ein interdiszi-
plinäres Team aus Sicherheitsexperten, Verfahrenstechnikern, Planern und Projekt-
ingenieuren ermittelt und bewertet hierbei, z. B. mit Hilfe eines Risikographen, die
Ereignisse und Umstände, die zu Gefährdungen führen können. Für die Ermittlung des
erforderlichen SIL gibt es unterschiedliche Methoden (u. a. Risikograph, Risikomatrix,
HAZOP, LOPA).
Für das Maß der Risikoreduzierung unterscheidet man vier Stufen: von SIL 1 für
geringe Risikoreduzierung (mind. Faktor 10) bis SIL 4 für sehr hohe Risikoreduzierung
(mind. Faktor 10.000). Je höher das Risiko, umso zuverlässiger müssen die Einrich-
tungen zur Risikoreduzierung sein. In gleichem Maße steigen die Anforderungen an
die Gerätetechnik.
Bild 6: Erzielbare Risikoreduzierung durch PLT-Schutzreinrichtungen
WHITEPAPER SIL – sicher und effizient umsetzen
11 / 28
Bewertung des kompletten Sicherheitskreises
Ein Sicherheitskreis besteht im einfachen einkanaligen Fall aus einem Sensor, einer
Steuerung (z. B. fehlersichere SPS) und einem Aktor. Die eingesetzte Steuerung kann
prinzipiell gleichzeitig mehrere Sicherheitsfunktionen (SIF – Safety Instrumented
Function) ausführen. Dabei können mehrere Sensoren und Aktoren mit der Steuerung
verbunden sein.
Bild 7: Einkanaliger Schutzeinrichtung bestehend aus Sensor, Logik und Aktor
Der Eignungsnachweis einer PLT-Schutzeinrichtung wird über die Eignung der
einzelnen Komponenten (SFF, HFT, PFDavg) und die abschließende Berechnung der
Versagenswahrscheinlichkeit PFDavg(Kreis) des gesamten Sicherheitskreises,
bestehend aus Sensor, Steuerung und Aktor, erbracht.
Die Ausfallwahrscheinlichkeit der gesamten Sicherheitskette ergibt sich im einfach-
sten Fall (einkanalig) aus der Addition der Ausfallwahrscheinlichkeiten der einzelnen
Komponenten PFDavg(Kreis) = PFDavg(Sensor) + PFDavg(Logik) + PFDavg(Aktor).
Die jeweiligen PFDavg-Werte liefert in der Regel der Gerätehersteller oder läßt sich
durch Auswertung von Ausfalldaten beim Betreiber ermitteln. Die SIL-Forderung war
das Resultat der Gefährdungs- und Risikoanalyse. Ist beispielsweise für eine PLT-
WHITEPAPER SIL – sicher und effizient umsetzen
12 / 28
Schutzeinrichtung SIL 2 gefordert, darf die Ausfallwahrscheinlichkeit PFDavg (Kreis)
den Wert von 10-2 nicht überschreiten (SIL 2: 10-3 ≤ PFDavg < 10-2). Würden alle
Hersteller den Maximalwert im zulässigen Bereich der Ausfallwahrscheinlichkeiten
eines SIL ausnutzen, läge die Summe aller Einzelwahrscheinlichkeiten gewiss nicht
mehr im Bereich des geforderten SIL. Als Folge wäre trotz SIL 2-Bewertung aller
Einzelgeräte die PLT-Schutzeinrichtung nicht für SIL 2 geeignet.
Darum sind die Hersteller aufgefordert, ihre Geräte so auszulegen, dass diese nur
einen Bruchteil der eigentlich für den SIL zulässigen Versagenswahrscheinlichkeit
beanspruchen (Faustregel: Sensor max. 35 %, SPS max. 10 %, Aktor max. 50 %). Für
einen Sensor mit SIL 2-Bewertung sollte also der PFDavg einen Wert von 0,35 x 10-2
unter Berücksichtigung des Zeitintervalls für die Wiederholungsprüfung nicht
überschreiten.
Bild 8: SIL-Nachweis für eine einkanalige PLT-Schutzeinrichtung
Fehlertypen bei Ausfall von PLT-Schutzeinrichtungen
PLT-Schutzeinrichtungen müssen möglichst frei von Fehlern sein. Die DIN EN 61511
fordert deshalb, Maßnahmen gegen systematische Fehler (Fehlervermeidung) und
WHITEPAPER SIL – sicher und effizient umsetzen
13 / 28
zufällige Fehler (Fehlererkennung) sowie zur Fehlertoleranz (Fehlerbeherrschung) zu
treffen. Alle Maßnahmen müssen immer gleichzeitig ergriffen werden. Auf Grund der
Auswirkung von Fehlern auf die Schutzeinrichtung teilt man diese in aktive und
passive Fehler ein. Aktive Fehler melden den Fehler, indem die Schutzfunktion aus-
gelöst wird, ohne dass die aufgabengemäß festgelegte Bedingung erfüllt ist. Passive
Fehler blockieren die Schutzfunktion durch ein Versagen der Schutzeinrichtung im
Anforderungsfall (z. B. Relais schaltet nicht, Stromausgang zeigt gültigen Messwert).
Passive Fehler lassen sich nur durch regelmäßiges Prüfen (Wiederholungsprüfung -
Proof Test) aufdecken.
Zufällige Fehler existieren nicht zum Lieferzeitpunkt. Sie ergeben sich aus Fehlern
der Hardware und treten während des Betriebs zufällig auf. Beispiele für zufällige
Fehler sind: Kurzschluss, Unterbrechung oder Wertedrift eines Bauelements. Die
Ausfallwahrscheinlichkeit und seine Wirkung auf den bewerteten Signalausgang des
Sensors wird mit Hilfe der FMEDA-Methode (Failure Modes, Effects and Diagnostic
Analysis) für alle Einzelkomponenten eines Gerätes erfasst. Das Gesamtergebnis
liefert die Ausfallraten (λ-Werte), den SFF- (Safe Failure Fraction) und den PFDavg-
Wert (Average Probability of Failure on Demand).
Bild 9: Analyse der Geräte-Hardware mittels FMEDA
WHITEPAPER SIL – sicher und effizient umsetzen
14 / 28
Systematische Fehler existieren bei Feldgeräten, sofern vorhanden, bereits zum
Lieferzeitpunkt, ursächlich bei der Spezifikation, Entwicklung bzw. Herstellung der
Geräte. Beispiele sind Softwarefehler, falsche Dimensionierung von Bauteilen. Ein
Großteil der systematischen Fehler entstehen aber bei Schutzeinrichtungen zum Zeit-
punkt der Spezifikation, Auslegung, Komponentenauswahl oder durch fehlerhafte
Montage und Inbetriebnahme. Untersuchungen von Ausfällen von PLT-Schutzeinrich-
tungen nennen weitaus häufiger systematische Fehler als Ursache denn defekte
elektronische Bauteile. Beispiele für systematische Fehler bei Schutzeinrichtungen
sind ein für die Messaufgabe ungeeignetes Messverfahren oder Prozesseinflüsse wie
Korrosion oder Ansatzbildung. Die in der NAMUR-Empfehlung NE 130 beschriebene
Betriebsbewährung ist eine Methode, die Eignung von Feldgeräten für einen
spezifischen Anwendungsfall nachzuweisen.
Common-Cause-Fehler (Fehler gemeinsamer Ursache) sind Fehler, die bei
redundanten Sicherheitssystemen zum gleichzeitigen Ausfall mehrerer Kanäle führen
können. Beispiele sind elektromagnetische Störungen (EMV), Umwelteinflüsse wie
Blitzschlag, Hochwasser oder thermische bzw. mechanische Beanspruchung.
Bild 10: Versagensursachen von PLT-Schutzeinrichtungen
WHITEPAPER SIL – sicher und effizient umsetzen
15 / 28
Redundanz
Genügen die Ausfallwahrscheinlichkeiten der eingesetzten Geräte nicht zur
Einhaltung des geforderten SIL eines Schutzkreises, lässt sich die Ausfallwahrschein-
lichkeit der Schutzeinrichtung durch Redundanz verkleinern. Redundanz ist ebenso
eine Maßnahme zur Fehlerbeherrschung.
Bei homogener Redundanz bieten zwei oder mehrere identische Geräte eine höhere
Verfügbarkeit der Schutzeinrichtung und vereinfachen die Lagerhaltung, Inbetrieb-
nahme sowie die Wartung. Mögliche Einschränkungen liegen in der Beherrschung
systematischer Fehler des Gerätes oder durch Prozesseinflüsse. Um mit zwei
identischen, SIL 2-bewerteten Geräten eine SIL 3 Risikoreduzierung zu erreichen, muss
die Software (systematische Fehler) die Anforderungen an SIL 3 erfüllen.
Als diversitäre Redundanz bezeichnet man zwei oder mehr Geräte mit
unterschiedlichem physikalischem Messprinzip (z. B. Magnetisch-Induktive-
Durchflussmesser (MID) wie Proline Promag und Coriolis-Durchflussmessgeräte wie
Proline Promass) bzw. gleichem Messprinzip, aber unterschiedlicher Bauart. Sie
reduziert die Versagenswahrscheinlichkeit und trägt dazu bei, systematische Fehler
besser zu beherrschen.
Je nach strukturellem Aufbau dienen zusätzliche Geräte einer Erhöhung der
Verfügbarkeit der Anlage (2oo2, 2oo3) und nicht zusätzlicher Sicherheit. Fällt ein
Gerät einer höher verfügbaren Sicherheitsfunktion aus, kann der Anwender die
Anlage weiterfahren bis das defekte Gerät innerhalb des angegebenen MTTR (Mean
Time To Repair, typischerweise 8 Stunden) repariert oder ausgetauscht wurde.
WHITEPAPER SIL – sicher und effizient umsetzen
16 / 28
Bild 11: Redundante Auswahlschaltungen
Systematische Fehler minimieren
Das große Produktportfolio unterschiedlicher physikalischer Messprinzipien auch
innerhalb eines Arbeitsgebietes wie Füllstand oder Durchfluss erlaubt die Auswahl des
optimalen Messverfahrens für eine vorliegende Messaufgabe, und sichert dadurch
eine hohe Zuverlässigkeit und Genauigkeit der Messwerte (Best Fit).
Für eine zuverlässige und effiziente Schutzeinrichtung bietet Endress+Hauser neben
einem umfangreichen Geräteprogramm, bewährte Tools wie den Applicator sowie
kompetente Beratung und Dienstleistung von Experten mit hohem Fach- und
Erfahrungswissen.
Einheitliche, kompakte Safety Manuals und SIL-Datenblätter sorgen für Transparenz
und Sicherheit bei Planung, Inbetriebnahme und Funktionsprüfung
(Wiederholungsprüfung) von Schutzeinrichtungen. SIL im Standard, d. h. identische
Geräte für Standard- und Sicherheitsanwendungen, vereinfachen die Lagerhaltung.
Eine unabhängige Bewertung nach dem Vier-Augen-Prinzip sowohl auf Seite der
Hersteller wie auch beim Betreiber gibt zusätzlich Sicherheit.
WHITEPAPER SIL – sicher und effizient umsetzen
17 / 28
Bestimmungsgemäßer Gebrauch
Der Anwender ist verantwortlich für den bestimmungsgemäßen Gebrauch der
eingesetzten Geräte. Eine Schutzeinrichtung kann nur dann bestimmungsgemäß
arbeiten, wenn die Herstellervorschriften zur Installation, Inbetriebnahme, Bedienung
und Wartung beachtet und insbesondere die Einflüsse des spezifischen Prozesses und
der jeweiligen Umgebung berücksichtigt werden. Anlagensicherheit lässt sich nur mit
begründetem, ingenieurmäßigem Vorgehen und in Zusammenarbeit von Anwender
und Gerätehersteller erreichen.
Durch die Medienberührung der Sensorik und Aktorik ist es wichtig, sich nicht allein
auf eine generelle Fehleranalyse oder eine Datenbank zu verlassen, sondern zusätzlich
die Eignung gezielt für den jeweiligen Prozess zu prüfen. Sensoren bzw. Aktoren sind
im Feld installiert und dadurch sowohl Umgebungsbedingungen als auch Prozess-
medien ausgesetzt. Hieraus ergeben sich chemische und physikalische Belastungen,
z. B. durch Druck, Temperatur, Vibration und Feuchte. Prozessmedien wirken durch
Korrosion, Kristallisation, Polymerisation, Abrasion, Ansatzbildung und andere
Effekte auf die Feldgeräte ein.
Beim Einsatz von Aktoren spielen zudem Strömungsgeschwindigkeiten und das
Auftreten von Kavitation eine bedeutende Rolle. Da es sich bei den oben genannten
Mechanismen um systematische Einflüsse handelt, gilt es diese bereits bei der
Anlagenplanung entsprechend zu berücksichtigen und zu vermeiden. Fehlende
Erfahrungswerte können durch besondere Maßnahmen, wie zum Beispiel verkürzte
Prüfintervalle, einbezogen werden.
WHITEPAPER SIL – sicher und effizient umsetzen
18 / 28
Bild 12: Prozesseinflüsse z. B. Ansatz und Kristallisation
Wiederholungsprüfungen
Zur Aufdeckung gefährlicher unerkannter Fehler sind Wiederholungsprüfungen
unabdingbarer Bestandteil des Gesamtsicherheitskonzeptes. Das Prüfintervall ist von
den sicherheitstechnischen Kenngrößen der eingesetzten Geräte der Sicherheits-
einrichtung abhängig und wird zusammen mit dem Prüfverfahren bereits bei der
Planung festgelegt. Alle Schritte des Sicherheitslebenszyklus sind zu dokumentieren.
Dies gilt insbesondere für die Wiederholungsprüfung. Die Dokumentation dieses
Schrittes sollte auch den Zustand der Schutzeinrichtung vor der Wiederholungs-
prüfung beinhalten. Die Durchführung der Wiederholungsprüfung ist in den Safety
Manuals der Hersteller beschrieben.
WHITEPAPER SIL – sicher und effizient umsetzen
19 / 28
Bild 13: Wiederkehrende Prüfung mit Prüftiefe (PTC- Proof Test Coverage) 100%
Kosten- und Zeitsparende Prüfkonzepte
Die Reduzierung der Aufenthaltsdauer im Gefahrenbereich der Anlage (z. B. bei Prüf-
ungen und Kalibrierungen) reduziert das Gefährdungsrisiko – einfache Prüfungen (auf
Knopfdruck) oder ein schneller Tausch der pH-Elektrode anstelle einer Kalibrierung
vor Ort erniedrigen das Risiko für die Mitarbeiter. Prüfungen erfordern häufig
Prozessunterbrechungen oder spezifische Prozesssituationen (z. B. Befüllen/Entleeren
von Tanks). Häufig gestaltet sich dadurch die Abstimmung zwischen Betreiber und
Prüfstelle recht schwierig bzw. machen eine fristgerechte Durchführung der Prüfung
unmöglich – einfache Prüfungen reduzieren den Aufwand und sparen Zeit und Geld.
Intelligente und wirtschaftliche Konzepte zur Funktionsprüfung ermöglichen
maximale Anlagenverfügbarkeit und Anlagensicherheit: Beste Beispiele dafür sind das
Prüfen auf Knopfdruck beim PFM-Liquiphant und die integrierten Prüffunktionen
beim Levelflex/Micropilot oder systematische Funktionsprüfungen bei der Proline 2-
Durchfluss-Gerätefamilie mit FieldCheck und Liquiphant FailSafe mit permanenter
Selbstdiagnose.
WHITEPAPER SIL – sicher und effizient umsetzen
20 / 28
Bild 14: Integrierte Prüfunktion beim Levelflex FMP5x
Die Vorteile auf einen Blick:
• Prüfung im eingebauten Zustand ohne Prozessunterbrechung und Öffnen der
Produktkreisläufe sichert eine hohe Anlagenverfügbarkeit und Produktqualität.
• Hohe Prüftiefen bieten maximale Sicherheit und erlauben lange Prüfzyklen.
• Klare Aussage „bestanden/nicht bestanden“ (FieldCheck, Levelflex) reduzieren die
notwendige Entscheidungskompetenz der Mitarbeiter auf Betreiberseite und damit
den Schulungsaufwand bzw. die Qualifizierung.
• Geringerer Abstimmungsaufwand zwische Betreiber und Prüfabteilung (z. B. keine
Änderung des Füllstands während Prüfung notwendig) reduziert Zeitaufwand und
Kosten.
• Kurzer Aufenthalt in den Gefahrenbereichen/Produktionsbereichen minimiert die
Gefährdung der Prüfer vor Ort: z. B. vorkalibrierte Memosens pH-Elektroden
erlauben einen schnellen Austausch ohne Kalibrierung vor Ort.
• Vereinfachte Teilprüfungen ermöglichen verlängerte Prüfintervalle.
WHITEPAPER SIL – sicher und effizient umsetzen
21 / 28
Ansätze für die Auslegung
Der Bottom up-Ansatz verwendet die von den Herstellern angegebenen sicherheits-
technischen Kenngrößen zur Auslegung und zum Eignungsnachweis der PLT-Schutz-
einrichtungen. Die Berechnung der Ausfallwahrscheinlichkeit der kompletten
Schutzeinrichtung (Sensor, Steuerung, Aktor) basiert auf diesen Einzelwerten der
Komponenten. Die vom Hersteller ermittelten Kenngrößen (Ausfallraten) beruhen auf
Datenbanken (Siemens Norm SN 29500, OREDA, etc.) und sind mit entsprechenden
Unsicherheiten behaftet.
Der Top down-Ansatz nutzt das Prinzip der Betriebsbewährung und basiert auf einer
statistischen Auswertung über mehrere Jahre gesammelter Störfalldaten von in der
Prozessindustrie eingesetzten Feldgeräten. Als Vorteil wird eine größere Praxis-
relevanz durch den näheren Bezug zu den Prozess- und Umweltanforderungen
erachtet. Nachteil dieses Ansatzes ist die Beschränkung auf spezielle Anwendungen.
Unterschiedliche Methoden der Hersteller
Eine vollständige Geräteentwicklung nach der Norm DIN EN 61508 für die Eignung
nach SIL 2/3 erfordert entsprechende Vorgehensweisen und umfangreiche
Maßnahmen im Entwicklungs-, Fertigungs- und Änderungsprozess (QM-System). Bei
der Hard- und Software des Gerätes sind Maßnahmen zur Fehlervermeidung,
Fehlererkennung und Fehlerbeherrschung zu berücksichtigen. Dadurch ist die
Entwicklung eines fehlersicheren Produkts (wie z. B. Cerabar S, Levelflex, Micropilot
oder Liquiphant Failsafe) meist sehr aufwändig.
Die im Entwicklungsprozess eingesetzten Qualitätsmanagementsysteme (FSM) sowie
geordnete Entwicklungsprozesse nach IEC 61508 und Entwurfsmethoden vermeiden
systematische Fehler weitestgehend und bieten zuverlässige Geräte mit hoher Qualität
ab Produkteinführung. Dies erlaubt den Einsatz der Geräte in Schutzeinrichtungen
direkt ab Markteinführung oder nach verkürzter Betriebserprobung laut NE 130 (1/2
Jahr anstelle 1 Jahr). Dabei sichern Änderungsprozesse nach DIN EN 61508 eine
WHITEPAPER SIL – sicher und effizient umsetzen
22 / 28
gleichbleibende Qualität der Messgeräte und vermeiden erneute, aufwendige Betriebs-
bewährungsphasen. Weitere Vorteile sind lange Prüfzyklen durch umfangreiche
integrierte Gerätediagnosen sowie die direkte Eignung für einen einkanaligen Einsatz
in Schutzeinrichtungen bis SIL 2 ab Vertriebsstart.
Viele Geräte sind seit Jahren erfolgreich im Einsatz. Zur Bewertung dieser bereits
entwickelten und gefertigten Komponenten macht die DIN EN 61511 zusätzlich eine
Eignungsaussage auf Basis einer Betriebsbewährung eines Gerätes einschließlich
dessen Software und dem dazugehörigen Änderungswesen. Die Nachweisführung
erfolgt über eine ausreichende Stückzahl im Einsatz befindlicher Geräte (Prior Use).
Der Änderungsprozess an bestehenden Produkten, unabhängig der Entwicklung nach
DIN EN 61508 oder der Bewertung über Betriebsbewährung nach IEC 61511, wird bei
Endress+Hauser immer gemäß DIN EN 61508 durchgeführt. Der Anwender kann auf
eine erneute Qualifizierung verzichten und profitiert von einem erheblich geringeren
Aufwand.
Zertifikate
Als Nachweis über die SIL-Qualifizierung eines SIL-bewerteten Gerätes reicht für den
Betreiber einer Anlage nach DIN EN 61511 eine SIL-Konformitätserklärung des
Herstellers aus. Zertifikate sind weder vorgeschrieben noch von der Norm gefordert.
Bei Endress+Hauser erfolgt die Bewertung, unabhängig von der SIL-Stufe, immer nach
dem Vier-Augen-Prinzip (Unabhängigkeit des Prüfers). Um den steigenden Bedarf der
Anwender nach Zertifikaten zu bedienen, sind zum Nachweis des angewendeten Vier-
Augen-Prinzips für viele Endress+Hauser Produkte SIL-Zertifikate (TÜV, EXIDA)
verfügbar und können direkt über das Internet (www.de.endress.com/sil) bezogen
werden.
WHITEPAPER SIL – sicher und effizient umsetzen
23 / 28
Beurteilung der Funktionalen Sicherheit nach DIN EN 61511:
SIL 1: unabhängige Person
SIL 2: unabhängige Abteilung
SIL 3: unabhängige Organisation
SIL 4: unabhängige Organisation
Feldmessgeräte, Komplettlösungen und Dienstleistungen aus einer Hand
Endress+Hauser unterstützt seine Kunden mit jahrelanger Kompetenz und Erfahrung
dabei, die gestellten Anforderungen zu meistern. Der Komplettanbieter für
Messtechnik liefert ein Produktportfolio SIL-bewerteter Geräte für alle wichtigen
Messgrößen der Prozesstechnik bis SIL 2 bzw. SIL 3: Druck, Temperatur, Füllstand,
Durchfluss, Systemkomponenten und als einziger Anbieter für die pH-Analyse. Das
Unternehmen ist Technologieführer bei der Entwicklung von Geräten nach SIL wie
Levelflex FMP5x, Micropilot FMR 5x, Promass 200, Promag 200, Prowirl 200 oder
den Liquiphant FailSafe. Die große Produktpalette an SIL-bewerteten Geräten spart
Zeit bei der Planung und ermöglicht die Auswahl des optimalen Messverfahrens für
eine vorgegebene Messstelle (Best Fit).
Sicher und trotzdem wirtschaftlich – kein Widerspruch
Die Anforderungen an die Anlagensicherheit steigen stetig. Gesetzliche und normative
Neuregelungen verunsichern die Betreiber. Reduzierte Vorgaben von gesetzlicher Seite
bieten einerseits mehr Flexibilität bei der Entwicklung von Sicherheitslösungen,
erfordern andererseits mehr Entscheidungsverantwortung. Höhere Anforderungen
durch neue oder geänderte Standards, Gesetze/Verordnungen, Regularien erfordern
mehr Ressourcen und Zeitaufwand. Immer mehr Anlagen werden im Grenzbereich
gefahren. Dadurch steigt deren Risiko und damit die Anforderungen an die Sicher-
heitseinrichtungen und das Schutzniveau. Der Trend zu mehr Automatisierung führt
zu erhöhtem Bedarf an Sicherheitssystemen und mehr Aufwand für die Prüfung der
eingesetzten Sicherheitseinrichtungen. Erhöhte Nachweispflichten für die Technische
WHITEPAPER SIL – sicher und effizient umsetzen
24 / 28
Sicherheit erfordern eine qualitativ hochwertige Dokumentation. Zudem verlangen
Modernisierungen und Änderungen die ständige Anpassung der Sicherheitsein-
richtungen an den neuesten Stand der Technik.
Kompetente Beratung und Dienstleistungen
Mit dem SIL-Nachweis kann der Betreiber auch den Anlagenbauer oder Komponen-
tenhersteller beauftragen. Endress+Hauser bietet daher diesen SIL-Nachweis als
Dienstleistung an und hat dazu mehrere Ingenieure als "Functional Safety Engineer"
beim TÜV Süd qualifiziert. Das Unternehmen erstellt den quantitativen SIL Nachweis
nicht nur für die eigene Sensorik, sondern auch für den gesamten Schutzkreis
einschließlich Sicherheitssteuerung und Aktorik von Drittlieferanten. Der Hersteller
unterstützt den Betreiber mit seinem kompetenten Engineering Team und übernimmt
auch die effektive und sichere Auslegung und Berechnung von Schutzeinrichtungen.
Darüber hinaus bietet das Familienunternehmen seinen Kunden allgemeine oder
kundenspezifische Seminare und Online-Trainings.
WHITEPAPER SIL – sicher und effizient umsetzen
25 / 28
Erklärende Begriffe
Sicherheitstechnische Kenngrößen
Zur Auslegung einer PLT-Schutzeinrichtung liefert der Hersteller sicherheits-
technische Kenngrößen für seine SIL-bewerteten Feldgeräte. Eine Übersicht aller
aktuell verfügbaren SIL-Geräte, inklusive der wichtigen Dokumentationen, sind z. B.
bei Endress+Hauser unter www.de.endress.com/sil abrufbar (SIL-Datenblatt, Safety
Manual, SIL-Konformitätserklärungen und Zertifikate). Die SIL-Datenblätter fassen die
wichtigsten sicherheitstechnischen Kenngrößen für das entsprechende Messgerät
zusammen. Im Safety Manual finden sich alle Informationen, von den
Einsatzbedingungen bis zur Durchführung der Wiederholungsprüfung. Die Dokumente
sind einheitlich für alle Geräte aufgebaut und bieten eine wertvolle Hilfe im
Engineering Prozess sowie für den Betrieb einer PLT-Schutzeinrichtung.
Ausfallraten verschiedener Fehlerarten für die Auslegung redundanter Systeme
λSD = Safe Detected Failure Rate (Ausfallrate für sichere erkannte Ausfälle)
λSU = Safe Undetected Failure Rate (Ausfallrate für sichere unerkannte Ausfälle)
λDD = Dangerous Detected Failure Rate (Ausfallrate für gefährliche erkannte Ausfälle)
λDU = Dangerous Undetected Failure Rate (Ausfallrate für gefährliche unerkannte
Ausfälle)
Die Ausfallraten werden häufig in der Einheit FIT angegeben (FIT = Failure in Time,
1 FIT = 10-9/h).
Average Probability of Failure on Demand (PFDavg)
Dieser Wert beschreibt die mittlere Ausfallwahrscheinlichkeit für einen gefährlichen
Ausfall bei Anforderung der Sicherheitsfunktion im Low Demand Mode (Anforderung
höchstens einmal pro Jahr). Er legt zusammen mit dem SFF- und HFT-Wert die SIL-
Klassifizierung einer Komponente (z. B. Sensor) fest und wird für die Berechnung der
WHITEPAPER SIL – sicher und effizient umsetzen
26 / 28
Ausfallwahrscheinlichkeit einer gesamten Sicherheitskette benötigt. Je kleiner der
PFDavg-Wert eines Gerätes (unter Berücksichtigung des Prüfintervalls), umso geringer
ist die gesamte Ausfallwahrscheinlichkeit der Kette.
Für eine einkanalige Sicherheitsfunktion (keine Redundanz) wird die
Ausfallwahrscheinlichkeit PFDavg wie folgt annähernd berechnet:
T1 entspricht dem Zeitintervall für Wiederholungsprüfungen (Proof Test Intervall) zur
Aufdeckung gefährlicher unerkannter Ausfälle. Das Prüfintervall T1 hat Einfluss auf
den PFDavg-Wert.
Safe Failure Fraction (SFF)
SFF beschreibt den prozentualen Anteil an Ausfällen ohne Potenzial, das sicher-
heitsbezogene System in einen gefährlichen Zustand zu bringen. Neben der
Einhaltung von Maximalwerten für die gefährliche Versagenswahrscheinlichkeit
(PFDavg) ist der erreichbare Safety Integrity Level (SIL) einer Sicherheitsfunktion nach
DIN EN 61508 zusätzlich von der Kombination der Kenngrößen SFF und HFT abhängig
(Bild 3)
Hardware Fault Tolerance (HFT)
Die Hardware-Fehlertoleranz (HFT) ist die Fähigkeit eines Systems, eine
Sicherheitsfunktion bei Hardwarefehlern weiter korrekt auszuführen. Eine HFT von N
bedeutet, dass N+1 Fehler zu einem Verlust der Sicherheitsfunktion führen können.
Ein Signalkreis mit redundanter Architektur (1oo2) hat die Hardware-Fehlertoleranz
WHITEPAPER SIL – sicher und effizient umsetzen
27 / 28
von HFT = 1. Dies bedeutet, dass der Ausfall eines Gerätes nicht sofort zum Ausfall der
Sicherheitsfunktion führt.
Einfache und komplexe Geräte
Bei „einfachen“ Geräten (Typ A) ist das Ausfallverhalten der Bauteile vollständig
beschreibbar. Solche Bauteile sind z. B. Metallschichtwiderstände, Transistoren oder
Relais. Die Ausfallraten dieser Bauteile lassen sich aus einschlägigen Tabellenwerken
entnehmen. Bei „komplexen“ Geräten (Typ B) ist das Ausfallverhalten der Bauteile
nicht vollständig bekannt. Solche Bauteile sind beispielsweise Mikroprozessoren oder
ASICs. Heute übliche Prozessmessgeräte sind vom Typ B. Für betriebsbewährte Geräte
darf nach IEC 61511 unter bestimmten Bedingungen die HFT um 1 reduziert werden
(nur für SIL ≤ 3). (siehe Bild 9)
WHITEPAPER SIL – sicher und effizient umsetzen
28 / 28
Informationen
unter www.de.endress.com/sil
Ihr Ansprechpartner
Für Fragen zum Thema Funktionale Sicherheit in der Prozesstechnik steht Ihnen
Hans-Peter Maier gerne zur Verfügung.
E-Mail: [email protected]