Post on 01-Sep-2018
transcript
PRO
ZESS
-SAF
EBO
OK
1
Funktionale Sicherheit in derProzessindustrieGrundsätze, Normen und Realisierung
Hauptverwaltung für Antriebs-, Steuerungs- und InformationslösungenAmerika: Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204 USA, Tel: +1 414 382 2000, Fax: +1 414 382 4444Europa/Naher Osten/Afrika: Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgien, Tel: +32 2 663 0600, Fax: +32 2 663 0640 Asien/Australien/Pazifikraum: Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, China, Tel: +852 2887 4788, Fax: +852 2508 1846
Deutschland: Rockwell Automation GmbH, Parsevalstraße 11, 40468 Düsseldorf, Tel: +49 (0)211 41553 0, Fax: +49 (0)211 41553 121Schweiz: Rockwell Automation AG, Industriestrasse 20, CH-5001 Aarau, Tel: +41(62) 889 77 77, Fax: +41(62) 889 77 11, Customer Service – Tel: 0848 000 277Österreich: Rockwell Automation, Kotzinastraße 9, A-4030 Linz, Tel: +43 (0)732 38 909 0, Fax: +43 (0)732 38 909 61
www.rockwel lautomation.com
Publikation: SAFEBK-RM003A-DE-P – März 2013 © 2013 Rockwell Automation, Inc. Alle Rechte vorbehalten. PRO
ZESS
-SA
FEBO
OK
1–
Funk
tiona
leSi
cher
heit
in d
er P
roze
ssin
dust
rie/G
rund
sätz
e, N
orm
en u
nd R
ealis
ieru
ng
Ebenfalls verfügbar:Safebook 4 – Sicherheitsbezogene Steuerungssystemefür Maschinen.In diesem praktischen Handbuch sind die Grundsätze derMaschinensicherheit, Gesetzgebung, Theorie und Praxisbeschrieben.Publikation Nummer: SAFEBK-RM002B
Ein Exemplar dieses Handbuchs erhalten Sie bei IhremRockwell Automation-Vertreter oder unterwww.rockwellautomation.com
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
1
Inhalt
Kapitel 1 Einführung in die Norm IEC 61511 ......................................................... 3
Kapitel 2 Sicherheitslebenszyklus ....................................................................... 11
Kapitel 3 Gefahren und Gefahrenerkennung ..................................................... 19
Kapitel 4 Risiko und Risikominimierung ............................................................. 32
Kapitel 5 ALARP-Prinzip ....................................................................................... 43
Kapitel 6 SIL-Bestimmung ................................................................................... 49
Kapitel 7 Risikodiagramme .................................................................................. 65
Kapitel 8 LOPA-Analyse ........................................................................................ 72
Kapitel 9 Zuordnung von Sicherheitsfunktionen .............................................. 85
Kapitel 10 SIS – Spezifikationen der sicherheitstechnischen Anforderungen ..................................................................................... 89
Kapitel 11 SIS – Entwicklung und Engineering ................................................... 91
Kapitel 12 Techniken für mehr Zuverlässigkeit ................................................... 93
Kapitel 13 SIL-Verifizierung ................................................................................. 128
Kapitel 14 SIF-Ausfallwahrscheinlichkeit ........................................................... 142
Kapitel 15 Installation, Inbetriebnahme und Validierung ................................ 155
Kapitel 16 Betrieb und Instandhaltung .............................................................. 158
Kapitel 17 Änderung und Außerbetriebnahme ................................................. 161
Kapitel 18 Funktionale Sicherheit, Beurteilung und Prüfung .......................... 163
Kapitel 19 Referenzen ......................................................................................... 170
Kapitel 20 Definitionen ....................................................................................... 171
Kapitel 21 Abkürzungen ...................................................................................... 178
2
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Vorwort
IEC 61508 deckt das Sicherheitsmanagement elektrischer, elektronischer und program -mierbarer elektronischer Systeme während ihrer gesamten Lebensdauer, vom Konzept biszur Außerbetriebnahme, ab. Die Norm stellt Sicherheitsgrundsätze für das Management vonSystemen sowie sicherheitstechnische Anforderungen für deren Entwicklung auf.
Das Grundprinzip der Norm: Sicherheitsziele werden auf Basis der Risikobeurteilung bei derSicherheitsplanung ausgegeben und müssen anschließend durch angemessenes Sicher -heitsmanagement und passende Prozesse erreicht werden. Die Norm orientiert sich somitvornehmlich an den Zielen und ist weniger vorschreibend. Die bloße Einhaltung der Normbefreit also die Anwender beim Auftreten eines Sicherheitsproblems nicht von der Haftung.
Die Norm ist sowohl als Grundlage für die Vorbereitung spezifischer Normen als auch für deneigenständigen Einsatz gedacht. Allerdings wird Ersteres bevorzugt, denn der eigenständigeEinsatz erfordert die Anpassung der Norm, ein umfassendes Verständnis der Norm durch dasManagement und eine aufwändige Planung ihrer Einführung und Verwendung.
Es hat sich herausgestellt, dass viele Probleme haben, die Norm zu verstehen. Trotzdemhatte sie bereits enormen Einfluss. Sie war und wird auch weiterhin die Grundlage modernerSicherheitsnormen und Rechtsstrukturen sein. Daher ist es wichtig, dass sich alle Verant -wortlichen in jeder Phase des Lebenszyklus eines sicherheitsbezogenen Systems bemühen,die Norm in ihrer gesamten Tragweite zu verstehen.
Dieses Dokument soll in die funktionale Sicherheit einführen und eine Anleitung für dieAnwendung von IEC 61511, der für die Prozessindustrie spezifischen Implementierung vonIEC 61508, geben. Auch wenn die amerikanische Norm ANSI/ISA-84.00.01 auf IEC 61511basiert, ist sie im Grunde genommen ähnlich, weshalb diese Anleitung für beide gilt.
Mit diesem Dokument sollen Informationen und Anleitungen bereitgestellt werden, damit dieNormen besser verstanden und ihre Anforderungen erfüllt werden können. Das Doku mentverwendet einfache Formulierungen, die mit Praxisbeispielen aus tatsächlichen Projektenillustriert sind. Dadurch können die grundlegenden Prinzipien und Anforderungen zusammenmit Techniken erläutert werden, mit deren Hilfe sich diese Anforderungen erfüllt lassen.
Haftungsausschluss
Zwar wurden die hier dargestellten Techniken erfolgreich eingesetzt, um die Konformitättatsächlicher Projekte zu veranschaulichen. Es muss jedoch klar sein, dass die Konformität,die Techniken, die zur Veranschaulichung der Konformität verwendet werden, und dieZusammenstellung unterstützender Nachweise Sache des jeweils Verantwortlichen sind.
In eckigen Klammern [ ] angegebene Begriffe geben einen Querverweis auf einen Abschnittinnerhalb dieses Dokuments an.
PROZESS-SAFEBOOK 1
Einführung in die Norm IEC 61511
3
1. Einführung in die Norm IEC 61511
1.1. Was sind IEC 61508 und IEC 61511?
IEC 61508 ist eine internationale Norm, die von der Internationalen Elektrotechnik-Kommission (IEC) veröffentlicht wurde. Primäres Ziel dieser Norm ist die Definitionvon Aspekten, die beachtet werden müssen, wenn elektrische, elektronische oderprogrammierbare elektronische Systeme (E/E/PE-Systeme) zum Ausführen vonSicherheitsfunktionen verwendet werden.
IEC 61508 [19.1] ist eine generische Norm, die für alle sicherheitsrelevanten E/E/PE-Systemegilt, ganz gleich, wofür sie eingesetzt werden. Der Titel dieser Norm lautet:
IEC 61508:2010 Funktionale Sicherheit sicherheitsbezogenerelektrischer/elektronischer/programmierbarer elektronischer Systeme.
Die Norm basiert auf dem primären Prinzip, dass ein Prozess vorliegt, der für die Sicherheitoder die Umgebung möglicherweise ein Risiko darstellt, falls hinsichtlich des Prozessesoder der Einrichtung ein Problem auftritt. Die Norm zielt also auf Prozessstörungen undSystemausfälle und nicht auf Gefahren für die Gesundheit und Sicherheit ab, wie z. B.Ausfälle. Sie ermöglicht das Management der Prozesssicherheit auf systematische undrisikoabhängige Weise.
Die Norm geht davon aus, dass Sicherheitsfunktionen bereitgestellt werden, um solcheRisiken zu minimieren. Sicherheitsfunktionen können in ihrer Gesamtheit ein sicherheits -technisches System (SIS – Safety Instrumented System) bilden. Daher muss ihr Aufbau undBetrieb auf der Beurteilung und dem Verständnis der bestehenden Risiken basieren.
Ein sekundäres Ziel der Norm IEC 61508 ist es, die Entwicklung von sicherheitsrelevantenE/E/PE-Systemen zu ermöglichen, bei denen eventuell keine Normen für den Anwen dungs -sektor bestehen. Eine solche nachrangige Richtlinie in der Prozessindustrie wird von derinternationalen Norm IEC 61511 [19.2] abgedeckt. Der Titel dieser Norm lautet:
IEC 61511:2004 Funktionale Sicherheit – Sicherheitstechnische Systeme für dieProzessindustrie.
IEC 61511 ist keine Konstruktionsnorm, sondern eine Norm für das Management derSicherheit während des gesamten Lebenszyklus eines Systems – vom Konzept bis zurAußerbetriebnahme. Diesem Ansatz liegt der gesamte Sicherheitslebenszyklus zugrunde,der die Aktivitäten beschreibt, die sich auf die Spezifikation, Entwicklung, den Betrieb oderdie Instandhaltung eines SIS beziehen.
4
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
1.2. Was ist funktionale Sicherheit?
IEC 61511-1, 3.2.25 enthält die folgenden Definitionen.
„Teil der Gesamtsicherheit, der sich auf den Prozess und das BPCS bezieht und der vonder bestimmungsgemäßen Funktion des SIS und anderer Sicherheitsebenen abhängt“
Einfacher gesagt, die funktionale Sicherheit ist die Risikominimierung, die von denFunktionen bereitgestellt wird, die implementiert wurden, um den sicheren Betriebdes Prozesses zu gewährleisten.
1.3. Internationale Elektrotechnische Kommission (IEC)
Die Internationale Elektrotechnik-Kommission wurde 1906 gegründet und hat ihren Sitzin Genf (Schweiz). Der britische Wissenschaftler Lord Kelvin war ihr erster Vorsitzender.Sie arbeitet internationale Normen für Elektrotechnologie (also Elektro-, Elektronik- undähnliche Technologien) aus und veröffentlicht diese.
Die IEC unterstützt die Sicherheit und ökologische Leistung der Elektrotechnologie, fördertdie Energieeffizienz und erneuerbare Energiequellen und verwaltet die Beurteilung derKonformität von Einrichtungen, Systemen oder Komponenten gemäß den internationalenNormen.
Die Norm und alle anderen IEC-Publikationen sind geschützt und unterliegen denBedingungen des Urheberrechts. Sie können jedoch käuflich erworben oder von der IEC-Website heruntergeladen werden [http://www.iec.ch].
1.4. Aufbau der Norm
Die Norm besteht aus drei Teilen, wie Abbildung 1 zeigt.
PROZESS-SAFEBOOK 1
Einführung in die Norm IEC 61511
5
Technische Anforderungen
Unterstützende Teile
Teil 1IEC 61511-1, 8: Entwicklung der gesamten Sicherheitsanforderungen (Konzept, Umfang, Risiko- und Gefährdungs-Beurteilung)
Teil 1IEC 61511-1, 9, 10: Zuordnung der Sicherheitsanforderungen zu sicherheitstechnischen Funktionen und Erstellung der Spezifikation der Sicherheitsanforderungen
Teil 1IEC 61511-1, 11, 12
Entwurf der sicherheitstechnischen Systeme
Erstellung der SIS-Software
Teil 1IEC 61511-1, 13, 14, 15: Werksendprüfung, Montage, Inbetriebnahme und Validierung des SIS
Teil 1IEC 61511-1, 16, 17, 18: Betrieb, Instandhaltung, Änderung und Rückbau, Außerbetriebnahme oder Demontage des SIS
Teil 1IEC 61511-1, 2: VerweiseIEC 61511-1, 3: Begriffeund AbkürzungenIEC 61511-1, 4: KonformitätIEC 61511-1, 5: Management der funktionalen SicherheitIEC 61511-1, 6: Anforderungen an den SicherheitslebenszyklusIEC 61511-1, 7: VerifikationIEC 61511-1, 19: Anforderungen an die DokumentationIEC 61511-1, Anhang A: UnterschiedeTeil 2IEC 61511-2: Anleitung zur Anwendung von Teil 1Teil 3IEC 61511-3: Anleitung für die Ermittlung der erforderlichen SIL
Abbildung 1: Struktur der Norm
6
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Teil 1 beschreibt, welche Anforderungen für die Konformität erfüllt sein müssen. Es werdenProjektplanung, Management, Dokumentation und Anforderungen hinsichtlich derKompetenz sowie die technischen Voraussetzungen für das Erreichen von Sicherheitwährend des gesamten Lebenszyklus definiert.
Im Allgemeinen ist Teil 1 „standardbezogen“, d. h. er definiert bestimmte Anforderungenhinsichtlich der Konformität und weist eine konsistente Struktur auf, um die KonformitätAbschnitt für Abschnitt zu veranschaulichen.
Teil 2 enthält Anweisungen zur Anwendung von Teil 1.
Teil 3 enthält ausgearbeitete Beispiele für die Risikobeurteilung, anhand der die Sicherheits-Integritätslevel [4] zugeordnet werden.
Die Teile 2 und 3 sind „informativ“ und enthalten eine Anleitung zu normativenAnforderungen.
1.5. Konformität mit IEC 61511
1.5.1. Anforderungen des Gesetzes zur Gesundheit und Sicherheit am Arbeitsplatz (Healthand Safety at Work Act) von 1974
Der Health and Safety at Work Act von 1974 (HASAW oder HSW) ist das primäre Gesetz, dasdie Gesundheit und Sicherheit am Arbeitsplatz in Großbritannien betrifft. Die HSE (Healthand Safety Executive) ist dafür verantwortlich, dass das Gesetz und andere Gesetze sowieandere Rechtsverordnungen für Arbeitsumgebungen eingehalten werden.
Hinweis: In anderen Ländern der Welt gelten ähnliche Gesetze oder Richtlinie wie der Healthand Safety at Work Act 1974 (UK). Gehen Sie in diesem Dokument bei Erwähnung des Healthand Safety at Work Acts zur Vereinfachung davon aus, dass in Ihrem Land auch andererelevante Gesetze und Richtlinie gelten können.
Den vollständigen Text des Gesetzes können Sie beim Office of Public Sector Information(OPSI) anfordern oder kostenlos herunterladen. Benutzer der rechtlichen Informationenmüssen bestimmte Vorsichtsmaßnahmen treffen. Gedruckte oder Online-Dokumente sindeventuell nicht auf dem aktuellen Stand, weshalb Benutzer sich unabhängigen rechtlichenRat einholen oder die HSE-Infoline konsultieren sollten[http://www.hse.gov.uk/contact/index.htm].
Einfach ausgedrückt definiert der Health and Safety at Work Act, dass es die Pflicht jedesArbeitgebers ist, die Gesundheit, Sicherheit und das Wohlergehen aller seiner Mitarbeiter beider Arbeit sicherzustellen, sofern dies auf einigermaßen praktikable Weise möglich ist. Hierzugehört die Bereitstellung und Wartung sicherer und für die Gesundheit unbedenklicherAnlagen und Arbeitssysteme, sofern dies auf einigermaßen praktikable Weise möglich ist.
PROZESS-SAFEBOOK 1
Einführung in die Norm IEC 61511
7
Außerdem ist es die Pflicht jedes Mitarbeiters, seinen Verpflichtungen so nachzukommen,dass Personen, die nicht bei ihm beschäftigt sind, jedoch betroffen sein könnten, nicht denGesundheits- oder Sicherheitsrisiken ausgesetzt werden, sofern dies auf einiger maßenpraktikable Weise möglich ist.
1.5.2. Anforderungen hinsichtlich der Konformität
IEC 61511 definiert, dass zur Beanspruchung der Konformität demonstriert werden muss,dass die Anforderungen der Norm hinsichtlich der erforderlichen Kriterien erfüllt wurdenund dass alle Ziele der einzelnen Abschnitte oder Unterabschnitte erreicht wurden.
In der Praxis ist es in der Regel schwierig, die vollständige Konformität mit jedem Abschnittund jedem Unterabschnitt der Norm zu beweisen. Daher ist eine Beurteilung erforderlich,um bestimmen zu können, wie konsequent die Einhaltung der Anforde rungen durchgesetztwird. Typischerweise hängt der Grad der erforderlichen Konsequenz von verschiedenenFaktoren ab wie z. B.:
• Art der Gefahren• Schwere der Konsequenzen• Erforderliche Risikominimierung• Anzuwendende Lebenszyklusphase• Involvierte Technologie• Aktualität des Aufbaus
In anderen Worten: Es muss eine risikobasierte Entscheidung getroffen werden. WennErfahrungen fehlen, würde die Einbindung von externen Beteiligten die Glaubwürdigkeitder Inanspruchnahme bekräftigen.
1.5.3. Konsequenzen der Nichteinhaltung
Da die Norm kein Gesetz ist, müssen Sie sich über die Konsequenzen der Nichteinhaltungim Klaren sein, ganz gleich, ob Sie die Anforderungen erfüllen oder nicht. Als Arbeitgeber,Verantwortlicher oder Risikoeigner sind Sie laut dem Health and Safety at Work Act dazuverpflichtet, die Risiken an Ihrer Arbeitsstätte zu verwalten.
Die Norm stellt ein systematisches Konzept für das Management aller Aktivitäten währenddes Sicherheitslebenszyklus für Systeme zur Verfügung, die zum Ausführen von Sicherheits -funktionen dienen. Aus diesem Grund ist die Norm eine gute Quelle für Informationen undTechniken. Falls etwas nicht nach Plan läuft, sodass eine Person verletzt oder krank wird undSie nicht die besten Informationen genutzt haben, die Ihnen zur Minimierung dieses Risikoszur Verfügung standen, würde dieser Vorfall nach dem Health and Safety at Work Actuntersucht und Sie würden strafrechtlich verfolgt.
8
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Die Informationen, die Sie zusammenstellen und die Analyse, die Sie zum Erfüllender Anforderungen von IEC 61511 erstellen, können Sie dann vor Gericht zu IhrerVerteidigung anführen, wenn der Ernstfall eintreten sollte.
1.5.4. Anforderungen hinsichtlich der Konformität bei einer neuen Anlage
Wenn Sie an einem beliebigen Teil des Sicherheitslebenszyklus beteiligt sind, sollten Sievernünftigerweise die besten Informationen nutzen, die Ihnen zur Verfügung stehen, umsicherzustellen, dass die Risiken, die von Ihrer Anlage ausgehen, auf ein tolerierbares Maßverringert werden. Es könnte argumentiert werden, dass die besten verfügbaren Infor -mationen in IEC 61511 zu finden sind. Aus diesem Grund könnte es Ihnen als Nachlässig keitausgelegt werden, wenn es zu einem Zwischenfall kommt.
1.5.5. Anforderungen hinsichtlich der Konformität bei einer bestehenden Anlage
Es gibt viele Anlagen, die konstruiert und gebaut wurden, bevor IEC 61511 formalveröffentlicht und allgemein verfügbar wurde. Dieser Umstand ändert jedoch nichts an IhrerVerantwortung. Und falls Sie an einem Sicherheitslebenszyklus einer älteren Anlage beteiligtsind, z. B. für deren Betrieb, Instandhaltung usw., bleiben die Verpflichtungen gemäß desHealth and Safety at Work Act bestehen und die Risiken müssen dennoch minimiert werden.Die Norm gilt daher auch für diese älteren Anlagen.
ANSI/ISA-84 bezieht sich insbesondere auf bestehende Systeme. Die Norm definiert, dassfür ein bestehendes SIS, das in Übereinstimmung mit den Vorschriften, Normen und gemäßder gängigen Praxis vor Veröffentlichung der Norm geplant und konstruiert wurde, derEigentümer/Bediener bestimmen muss, ob die Einrichtung auf sichere Art und Weisegeplant, gewartet, überprüft, getestet wurde und in Betrieb ist. Im Grunde müssen Siesicherstellen, dass Ihre bestehenden Systeme sicher sind und die besten Methodenverwenden, die Ihnen zur Verfügung stehen.
Tatsächlich haben Sie eventuell den Eindruck, dass Sie bei der bestehenden Anlage zu denfrühen Abschnitten des Sicherheitslebenszyklus zurückkehren und eine völlig neue HAZOP-Studie (HAZard and OPerability) zum Bestimmen von Gefahren und Bedienbarkeit erstellenmüssen. Wenn Sie zum Abschluss des Prozesses kommen, haben Sie möglicher weise Risikenerkannt, vor denen die bestehenden Sicherheitsfunktionen nicht ausreichend schützen. Undes liegt in Ihrer Verantwortung, diese Risiken zu minimieren.
Aller Wahrscheinlichkeit nach wird die Entwicklung neuer sicherheitstechnischer Funktionen(SIFs – Safety Instrumented Functions) für eine 20 Jahre alte Anlage nicht wirtschaftlich sein.Wenn allerdings Ihre Anlage bereits einen angemessenen Zeitraum lang sicher gearbeitethat, können die von Ihnen erkannten Risiken und ihre Eintrittswahrscheinlichkeiten eventuelltolerierbar sein, wenn die bestehenden Sicherheitsvorrichtungen berücksichtigt werden.
PROZESS-SAFEBOOK 1
Einführung in die Norm IEC 61511
9
Sie sind zumindest zur Dokumentation des Prozesses verpflichtet, um sicherzustellen, dassalle Gefahren erkannt, die Risiken beurteilt und die bereits bestehenden Schutzfunk tionenoder Sicherheitsvorrichtungen auf ihre Wirksamkeit hin überprüft wurden. In dieser Situationhaben Sie den Vorteil der nachträglichen Einsicht und Sie können Ihre Gefahrenhäufigkeitmithilfe Ihrer eigenen Protokolle und Aufzeichnungen exakter quantifizieren, als es bei einerneuen Installation der Fall wäre. Daher sollten Sie in der Lage sein, mithilfe von Analysennachzuweisen, dass die von Ihnen erkannten Risiken tolerierbar sind.
Schlimmstenfalls tritt eine Situation ein, in der Gefahren vorliegen, für die keine Sicher heits -maßnahmen existieren oder eine zusätzliche Maßnahme zur Risikominimie rung erforderlichist. Dann müssen Sie dies wissen und die erforderlichen Maßnahmen ergreifen.
1.5.6. Gründe für die Konformität mit IEC 61511
Neben der stillschweigenden rechtlichen Verpflichtung gemäß des Health and Safety at WorkAct kann es noch weitere Gründe geben, sich nach dieser Norm zu richten:
• Vertragliche Anforderungen• Optimierung der Konstruktionsarchitektur• Möglicher Marketing-Vorteil
Es könnte argumentiert werden, dass die erste Pflicht eines Unternehmens darin besteht, zuüberleben und dass sein Ziel nicht die Maximierung des Gewinns, sondern die Vermeidungvon Verlust sein sollte. Vor diesem Hintergrund müssen Sie sich fragen, ob Sie lieber aus denFehlern anderer lernen möchten oder diese Fehler alle selbst machen möchten.
1.6. Anwendung von IEC 61511
Funktionale Sicherheit kann nur auf vollständige Funktionen angewandt werden, die in derRegel aus einem Sensor, einem Computer oder einer SPS und einem angesteuerten Gerätbestehen. Es ergibt keinen Sinn, diesen Begriff auf Produkte anzuwenden:Einrichtungselemente wie Sensoren oder Computer.
Wenn daher ein Hersteller angibt, dass es sich bei seinem Produkt beispielsweise um einenDrucksensor gemäß SIL2 oder eine SPS gemäß SIL3 handelt, bedeutet dies in Wirklichkeit,dass der Drucksensor für den Einsatz in einer SIL2-Sicherheitsfunktion oder die SPS für denEinsatz in einer SIL3-Sicherheitsfunktion geeignet ist.
Der Hersteller muss die Angaben durch Warnhinweise und Einschränkungen zurVerwendung qualifizieren wie z. B. Anforderungen hinsichtlich der Fehlertoleranz [13.3.1]oder durch eine Wiederholungsprüfung [12.8], um den angegebenen SIL-Level zu erreichen.
10
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Doch selbst wenn die Anforderungen des Herstellers durch ein SIL-Zertifikat von einerunabhängigen Prüfstelle bestätigt wurden, bedeutet dies nicht, dass die Sicherheitsfunk tionim Anlieferungszustand SIL-konform ist. Das SIL-Zertifikat ist kein Ersatz für den Nachweis derKonformität und der Verantwortliche kann solche Produktangaben gemäß des Health andSafety at Work Act nicht zu seiner Entlastung verwenden.
1.7. Muss die Norm eingehalten werden?
1.7.1. Neue Anlage
Wie bereits erwähnt, besteht eine stillschweigende rechtliche Verpflichtung zur Einhaltungder Norm. Dies bedeutet, dass die Norm zwar kein Gesetz ist, doch dass das Gesetz fordert,dass der Verantwortliche, oder der Risikoeigner, das Risiko auf ein akzeptables Maßverringert. Die Norm stellt ein systematisches Konzept bereit, anhand dessen dieses Zielerreicht wird. Falls daher etwas nicht nach Plan läuft und Personen verletzt werden, könntedie versäumte Nutzung der besten verfügbaren Informationen als Nachlässigkeit angesehenwerden und zu einer strafrechtlichen Verfolgung führen.
1.7.2. Bestehende Anlage
Für eine bestehende Anlage gilt der Health and Safety at Work Act trotzdem, weshalbRisiken weiterhin erkannt und entsprechende Maßnahmen ergriffen werden müssen [1.5.5].IEC 61511 stellt dennoch ein anwendbares Modell zum Management von Risiken ältererAnlagen bereit, die vor Veröffentlichung der Norm geplant und in Betrieb genommenwurden.
PROZESS-SAFEBOOK 1
Allgemeiner Sicherheitslebenszyklus
11
2. Allgemeiner Sicherheitslebenszyklus
2.1. Sicherheitslebenszyklus
Der Sicherheitslebenszyklus umfasst alle erforderlichen Aktivitäten – von der Spezifika tion,Entwicklung, Inbetriebnahme bis hin zur Instandhaltung des SIS. Abhängig vom UmfangIhrer Aktivitäten betreffen Sie eventuell nur einige der Phasen, z. B. die Bedie nung undInstandhaltung. Dennoch sollten Sie mit dem gesamten Lebenszykluskonzept vertraut sein.
Der Sicherheitslebenszyklus ist in Abbildung 2 dargestellt.
2.2. Phasen des Lebenszyklus
Phase 1 definiert den Aufgabenbereich hinsichtlich physischer, sozialer und politischerGrenzen und informiert über die Sicherheitsauswirkungen, was Gefahren und die
Man
agem
ent u
nd Beu
rteilung
der
funk
tiona
len
Sich
erhe
it un
d Aud
its
10
Aufba
u un
d Plan
ung de
s Sich
erhe
itslebe
nszyklus
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung anderer Maßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahmeund Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 2: IEC 61511 Sicherheitslebenszyklus
12
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Wahrnehmung von Risiken angeht. Dies ist für das Verständnis der Gefahren und Risiken, dieder Prozess mit sich bringt, von grundlegender Bedeutung.
Sobald die erforderliche Risikominderung bestimmt wurde, werden während der Zuordnungdie entsprechenden Maßnahmen bestimmt, Phase 2 und die allgemeinen sicherheitstech -nischen Anforderungen, Phase 3.
In Phase 4 werden die allgemeinen sicherheitstechnischen Anforderungen alsSicherheitsfunktionen ausgearbeitet. An dieser Stelle werden die Optimierung vonFunktionen, die Isolierung und weitere Konstruktionsfragen wie die Prüfphilosophieuntersucht, wobei die Planung dieser Aktivitäten als Teil von Phase 11 behandelt wird.
Die Phasen 5 bis 10 veranschaulichen, dass die Norm nicht auf die Entwicklung vonSystemen beschränkt ist, sondern auch das Management der funktionalen Sicherheitwährend der gesamten Lebensdauer eines Systems abdeckt.
Viele der Anforderungen in der Norm sind technischer Natur, doch das Lebenszyklus konzeptlegt gleich großen Wert auf effiziente Verwaltungsaktivitäten wie Planung, Dokumentation,Betrieb, Instandhaltung und Änderung, weshalb diese in alle Phasen integriert werdenmüssen. Dokumentations-, Verwaltungs- und Beurteilungsaktivitäten erfolgen parallel zuallen in Abbildung 2 dargestellten Lebenszyklusphasen und Aktivitäten und geltengleichermaßen für alle diese Phasen.
2.3. Anforderungen hinsichtlich der Konformität
Da die Norm keine Vorschriften festlegt, liegt dem Erreichen der Konformität kein gerad -liniger Ablauf zugrunde. Wie viel oder wenig Angaben Sie zur Konformität machen, ist Ihrepersönliche Entscheidung, doch Sie sollten guten Gewissens behaupten können, dass Siegenug unternommen haben. Es wird ein abschnittsweises Konformitätskonzept empfohlen,um sicherzustellen, dass Sie alles in Betracht gezogen haben, was in angemessener Weisevon Ihnen erwartet werden kann. Sie sollten, anders ausgedrückt, ein strenges Konzepteingeführt haben.
Die Konformität mit der Norm erfordert, dass Sie nachweislich ein systematisches Konzeptzum Risikomanagement übernommen haben und dass dieses Konzept auf alle entsprech -enden Teile des Lebenszyklus angewandt wurde. Dieses systematische Konzept wird von derNorm bereitgestellt und basiert auf dem Sicherheitslebenszyklus.
Um die Konformität mit der Norm zu erzielen, müssen Sie den Lebenszyklus verstandenhaben und die angegebenen Aktivitäten ausführen und dokumentieren. Die Verfolgung desLebenszyklus ist keine theoretische Übung, für die das Erstellen von Berichten, Dokumentenund Checklisten ausreicht. Die Konformität erfordert die Ausführung der Aktivitäten auf
PROZESS-SAFEBOOK 1
Allgemeiner Sicherheitslebenszyklus
13
effiziente Weise und die Generierung von Informationen in jeder Phase, mit denen dienachfolgenden Phasen ausgeführt werden können.
Nur selten geht es um einen begrenzten Umfang von Aktivitäten, weshalb empfohlen wird,alle Phasen des Lebenszyklus zu berücksichtigen. Beispielsweise können Änderungenwährend der Betriebs- und Instandhaltungsphase für einen Bediener bedeuten, dass frühereEntscheidungen und Beurteilungen erforderlich sind, z. B. die erneute Erstellung einer HAZOP-Studie und Risikoanalyse, für die im Lebenszyklus weiter zurückgegangen werden muss.
2.4. Sicherheitslebenszyklus – Phase 1 und 2
Jede Phase des Lebenszyklus beschreibt eine Aktivität und jede Aktivität erfordert Informa -tionen, die als Ausgangsmaterial (als Eingabe) bereitzustellen sind. Jede Phase besteht auseiner Aktivität, für die dokumentierte Verfahren vorliegen sollten, aus denen sich Informa -tionen (als Ausgabe) ergeben, die in den nachfolgenden Phasen verwendet werden können.
Abbildung 3 zeigt die Aktivitäten und Informationsanforderungen für Phase 1 (Gefahren-und Risikobeurteilung) und Phase 2 (Zuordnung sicherheitstechnischer Anforderungen). DieAbbildung zeigt die Informationen, die als Eingabe (I/P) für die Aktivität erforderlich sind, unddie Informationen, die von der Aktivität generiert und in der nachfolgenden Phaseverwendet werden.
Beachten Sie, dass die Norm zwar die Phasen des Lebenszyklus und die Informationsan for de -rungen für jede Phase beschreibt, doch dass in der Praxis einige der Phasen und damit dieihnen zugeordneten Dokumente möglicherweise kombiniert werden können. Klarheit undEinfachheit sind von großer Bedeutung und die Aktivitäten müssen möglichst effizientausgeführt und Informationen möglichst eindeutig dargestellt werden.
Das Ergebnis von Phase 3 ist in der Regel eine HAZOP-Studie und eine Risikoanalyse, durchdie die Anforderungen der Sicherheitsfunktion und die Ziele für die Risikominde rungdefiniert werden.
Phase 4 beschreibt die Zuordnung der Sicherheitsfunktionen abhängig von densicherheitstechnischen Anforderungen, die in der vorherigen Phase bestimmt wurden.Die Zuordnung der sicherheitstechnischen Anforderungen befasst sich mit den einzelnensicherheitstechnischen Anforderungen und mit der Zuordnung der sicherheitstech nischenFunktionen. Hierbei handelt es sich um einen iterativen Prozess, bei dem der Prozess undandere Maßnahmen zur Risikominderung berücksichtigt werden, die verfügbar sind, umdie allgemeinen Anforderungen für die Sicherheitsintegrität zu erfüllen.
Beim Zuordnen der Sicherheitsfunktionen ist es zunächst wichtig, die bevorstehendenPhasen wie Installation, Inbetriebnahme und Validierung, Betrieb und Instandhaltungebenfalls zu planen (siehe auch Abbildung 5).
14
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Alle relevanten Informationen, die zum Erfüllen der Anforderungen des Unterabschnitts erforderlich sind.Vertrautheit mit Prozess, Steuerfunktionen, physischer Umgebung; Gefahren und Gefahrenquellen; Gefahren- informationen, z. B. Giftigkeit, Dauer und Gefahrenquellen; Gefahreninformationen, z. B. Giftigkeit, Dauer, Aussetzung; aktuelle Vorschriften; Gefahren als Ergebnis von Interaktio-nen mit anderen Systemen.
Informationen zum Prozess, zu seiner Umgebung und seinen Gefahren.Definieren der Grenzen zu Prozess, BPCS, anderen Systemen, Bediener; Physische Ausrüstung; Angabe der Umgebung, Berücksichtigung externer Ereignisse; Andere Systeme; Typen einleitender Ereignisse: prozessbedingte Fehler, menschliches Versagen, Ausfallmechanismen.
Beschreibung von und Informationen zur Gefährdungs- und Risikoanalyse.Gefährdungs- und Risikoanalyse: Gefahren; Einleitendes Ereignis Häufigkeiten; Sonstige Maßnahmen zur Minderung von Risiken; Konsequenzen; Risiko; Berücksichtigung des maximal tolerierbaren Risikos; Verfügbarkeit der Daten; Annahmen zur Dokumentation.
Spezifikation der allgemeinen sicherheitstechnischen Anforderungen hinsichtlich der Anforderungen an die Sicherheitsfunktionen und Anforderungen an die Sicherheitsintegrität. Hinweis: Sicherheits-funktionen sind nicht technologiespezifisch. SIL-Ziel muss die Zielzuverlässigkeit angeben.
Spezifikation von Sicherheitsfunktionen.Information zur Zuordnung der allgemeinen Sicherheitsfunk-tionen, ihrer Zielausfallmaßnahmen und der zugeordneten Sicherheits-Integritätslevel. Annahmen hinsichtlich anderer Risikominderungsmaßnahmen, die während des Lebens-zyklus des Prozesses verwaltet werden müssen.
Definieren des Umfangs der Gefahrenanalyse.
11. Planung
1. Gefährdungs-und Risiko- analyse
2. Zuordnung sicherheitstech-nischer Anforderungen.
I/P
O/P
I/P
O/P
Abbildung 3: Sicherheitslebenszyklus – Phase 1 und 2
PROZESS-SAFEBOOK 1
Allgemeiner Sicherheitslebenszyklus
15
Spezifikation von Sicherheitsfunktionen.Information zur Zuordnung der allgemeinen Sicherheits-funktionen, ihrer Zielausfallmaßnahmen und der zugeordne-ten Sicherheits-Integritätslevel. Annahmen hinsichtlich anderer Risikominderungsmaßnahmen, die während des Lebenszyklus des Prozesses verwaltet werden müssen.
Spezifikation der sicherheitstechnischen Anforderungen für das SIS.Kann C&E umfassen.Muss Folgendes umfassen:a) Spezifikation des sicheren Zustandsb) Anforderungen an Beständigkeitsprüfungenc) Reaktionszeitd) Erforderliche Bedienerschnittstellene) Schnittstellen zu anderen Systemenf) Betriebsarteng) Verhalten beim Erkennen eines Fehlersh) Anforderungen für manuelle Abschaltungi) Anforderungen an die Anwendungssoftwarej) Maß für SIL und Zielzuverlässigkeitk) Arbeitszyklus und Lebensdauerl) Wahrscheinlich eintreffende Umgebungsbedingungenm) EMV-Grenzwerten) Einschränkungen aufgrund von CCFsIEC 61511-1, 10.3, enthält die vollständigen Anforderungen.
Realisierung jeder SIF gemäß der Spezifikation der SIS-Sicherheitsanforderungen
Realisierung aller anderen Maßnahmen zur Risikominderung gemäß den sicherheitstechnischen Anforderungen für diese Maßnahme
Planung und Entwicklung anderer Maßnahmen
3. Spezifikation der sicherheitstechnischen Anforderungen
4. Konstruktion und Engineering
I/P
O/P
I/P
O/P
Abbildung 4: Sicherheitslebenszyklus – Phase 3 und 4
16
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
2.5. Sicherheitslebenszyklus – Phase 3 und 4
In Phase 3 geht es um die Spezifikation der sicherheitstechnischen Anforderungen (SRS –Safety Requirements Specification), die Voraussetzung für den Start der Konstruktions- undEngineering-Phase (Phase 4) ist (siehe Abbildung 4).
In Ihrer Organisation liegt möglicherweise eine Checkliste mit Elementen vor, die in eineKonstruktionsspezifikation integriert werden müssen. Auf diese Weise ist sichergestellt, dasssich aus jedem Projekt eine vollständige und ausführliche Spezifikation ergibt und dieAusfälle der Sicherheitsfunktion aufgrund von Spezifikationsfehlern minimiert werdenkönnen.
Phase 4 kann ausreichend in einer einzigen funktionalen Konstruktionsspezifikation (FDS –Functional Design Specification) oder in einem ähnlichen Dokument erfasst werden, indem die Szene beschrieben, der Prozess und die umwelt- sowie betriebstechnischenÜberlegungen definiert und der Aufgabenbereich der nachfolgenden Phasen festgelegtwerden.
2.6. Sicherheitslebenszyklus – Phase 5 bis 6
In den Phasen 5 und 6 werden die Anforderungen für die Installation, Inbetriebnahme,Validierung, den Betrieb und die Instandhaltung des SIS festgelegt (siehe Abbildung 5).
2.7. Sicherheitslebenszyklus – Phase 7 und 8
Die Eingaben, Ausgaben und Aktivitäten für Phase 7 – Änderung gelten im Grundegenommen auch für Phase 8 – Außerbetriebnahme. Eigentlich ist auch die Außerbetrieb -nahme eine Änderung, die am Ende des Lebenszyklus auftritt und mit denselben Kontrolleneingeleitet und mit denselben Sicherheitsmaßnahmen ausgeführt wird (siehe Abbildung 6).
PROZESS-SAFEBOOK 1
Allgemeiner Sicherheitslebenszyklus
17
Ein Plan für die allgemeine Sicherheitsvalidierung des SIS.Ermöglicht die Planung der SIS-Sicherheitsvalidierung anhand der SRS und anderer Referenzinformationen, z. B. Ursache-Wirkung-Diagramme. Bei der Validierung werden alle relevanten Betriebsarten (Inbetriebnahme, Abschalten, Instandhaltung, anormale Bedingungen usw.), Verfahren, Techniken und einzusetzenden Maßnahmen, Zeitpläne, Mitarbeiter und verantwortliche Abteilungen berücksichtigt. Außerdem wird die Validierungsplanung für die Sicherheitsanwendungssoftware berücksichtigt.
Realisierung jeder SIF gemäß der Spezifikation der SIS-Sicherheitsanforderungen
Ein Plan für die Installation und Inbetriebnahme des SIS.Ermöglicht die Planung der Installations- und Inbetriebnahme- aktivitäten, Verfahren, zu verwendenden Techniken und Maßnahmen, Zeitpläne, Mitarbeiter und der verantwortlichen Abteilungen.
Bestätigung, dass das SIS die Spezifikation für die allgemeinen sicher-heitstechnischen Anforderungen hinsichtlich der SIF-Anforderungen und der Sicherheitsintegritätsanforderungen erfüllt, wobei die Zuordnung der sicherheitstechnischen Anforderungen berücksichtigt wird. Anforderungen an die Dokumentation: chronologische Validie-rungsaktivitäten; Version der sicherheitstechnischen Anforderungen; zu validierende Sicherheitsfunktion; Werkzeuge und Einrichtung; Ergebnisse; Prüfgegenstand, angewandtes Verfahren und Testumge-bung; Abweichungen; In der Folge getroffene Entscheidungen.
Ein Plan für den Betrieb und die Instandhaltung des SISErmöglicht die Planung für Routineaktivitäten und Aktivitäten bei anormalen Bedingungen; Beständigkeitsprüfung, Instandhaltungs-aktivitäten, Verfahren, zu verwendende Techniken und Maßnahmen, Zeitpläne, Mitarbeiter und verantwortliche Abteilungen, Verifizierungs-methoden anhand der Betriebs- und Instandhaltungsverfahren.
Vollständig installiertes und in Betrieb genommenes SIS:Dokumentinstallation; Verweis auf Ausfallberichte; Auflösung von Ausfällen.
Fortlaufendes Erreichen der erforderlichen funktionalen Sicherheit für das SIS. Es muss Folgendes implementiert werden: O&M-Plan; Betriebs-, Instandhaltungs- und Reparaturverfahren; Implementierung von Verfahren; Verfolgung von Instandhaltungs- plänen; Pflegen der Dokumentation; Ausführen regelmäßiger FS-Prüfungen; Dokumentänderungen; Chronologische Dokumentation des Betriebs und Instandhaltung des SIS;
5. Installation, Inbetriebnahme und Validierung
6. Betrieb, Instandhaltung und Reparatur
I/P
O/P
I/P
O/P
Abbildung 5: Sicherheitslebenszyklus – Phase 5 und 6
18
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Fortlaufendes Erreichen der erforderlichen funktionalen Sicherheit für das SIS. Es muss Folgendes implementiert werden:O&M-Plan;Betriebs-, Instandhaltungs- und Reparaturverfahren.Implementierung von VerfahrenVerfolgung von InstandhaltungsplänenPflege der DokumentationAusführen regelmäßiger FS-PrüfungenDokumentänderungenChronologische Dokumentation des Betriebs undder Instandhaltung des SIS.
Erreichen der erforderlichen funktionalen Sicherheit für das SIS, sowohl während als auch nach dem Verwalten der Änderungsphase. Änderung darf nur nach einer autorisierten Anforderung gemäß dem Verfahren für die FS-Verwaltung eingeleitet werden. Die Anforderung muss Folgendes umfassen: die eventuell betroffenen Gefahren, die vorgeschlagene Änderung (Hardware und Software), den Grund für die Änderung. Es muss eine Auswirkungsanalyse ausgeführt werden. Chronologische Dokumentation des Betriebs und der Instandhaltung des SIS.
7. Änderung8. Außerbetrieb-nahme
I/P
O/P
Abbildung 6: Sicherheitslebenszyklus – Phase 7 und 8
PROZESS-SAFEBOOK 1
Gefahren und Gefahrenerkennung
19
3. Gefahren und Gefahrenerkennung
3.1. Phasen des Lebenszyklus
In Abbildung 7 ist die anzuwendende Phase des Lebenszyklus dargestellt.
Mit dieser Phase soll, wie in IEC 61511-1, 8.1 definiert, Folgendes bestimmt werden:
• Gefahren/gefährliche Ereignisse des Prozesses und die entsprechendenEinrichtungen, die Reihenfolge der Ereignisse, die zur Gefahr führen und diedamit zusammenhängenden Prozessrisiken [3.2–3.7]
• Anforderungen für die Risikominderung [5 und 6]• Sicherheitsfunktionen, die zum Erreichen der erforderlichen Risikominderung
[7 und 8] erforderlich sind
Man
agem
ent u
nd B
eurt
eilu
ng d
er fu
nktio
nale
nSi
cher
heit
und
Aud
its
10
Auf
bau
und
Plan
ung
des
Sich
erhe
itsle
bens
zykl
us
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung andererMaßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahme und Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 7: Lebenszyklusphase 1
20
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
3.2. Gefahren
Die Bedeutung des Worts „Gefahr“ kann irreführend sein. Oft ist in Wörterbüchern keinespezielle Definition zu finden oder es wird eine Kombination mit dem Begriff „Risiko“angegeben, z. B. „eine Gefahr oder ein Risiko“. Dies erklärt, warum diese Begriffe häufigsynonym gebraucht werden.
Im Kontext der funktionalen Sicherheit sind Gefahren Ereignisse, die möglicherweiseSchäden verursachen können wie beispielsweise Verletzungen von Personen,Umweltschäden oder Schäden für das Unternehmen.
Beispiele für Gefahren zu Hause:
• Glasscherben, da diese Schnittwunden verursachen können• Wasserbecken, da Personen ausrutschen und hineinfallen könnten• Zu viele Stecker in einer Steckdose könnten diesen überlasten und zu einem Brand
führen
Beispiele für Gefahren bei der Arbeit:
• Laute Geräusche, da sie zum Verlust des Gehörs führen können• Einatmen von Asbeststaub, da dies Krebs auslösen kann.
Gefahren in der Prozessindustrie:
• Der Flüssigkeitspegel in einem Behälter: Ein hoher Pegel kann zum Überlaufen derFlüssigkeit in Gasströme oder zum Überlaufen einer gefährlichen Chemikalie odereiner brennbaren Flüssigkeit führen. Ein niedriger Pegel kann dazu führen, dassPumpen trockenlaufen oder Gas ungewollt in nachfolgende Behälter strömt.
• Der Druck einer Flüssigkeit in einem Behälter: Ein hoher Druck kann zum Verlustder Eindämmung, zu Lecks oder zum Bersten des Behälters führen.
Der erste Schritt bei der Beurteilung von Risiken ist die Bestimmung der Gefahren. Es gibtverschiedene Techniken, die für die Bestimmung von Gefahren verwendet werden, doch diegängigste Methode ist die HAZOP-Studie (Hazard and Operability).
3.3. Verwendung von HAZOP-Studien in der Industrie
HAZOP-Studien wurden ursprünglich in Großbritannien von ICI nach dem Flixborough-Unglück im Jahr 1974 entwickelt und fanden in der Prozessindustrie nach und nach großenAnklang.
Am Samstag, den 1. Juni 1974 wurde ein Chemiewerk der Firma Nypro in Flixborough durcheine starke Explosion schwer beschädigt, bei der 28 Arbeiter ums Leben kamen und weitere
PROZESS-SAFEBOOK 1
Gefahren und Gefahrenerkennung
21
36 verletzt wurden. Es wurde festgestellt, dass die Anzahl der Opfer weitaus größer gewesenwäre, wenn sich der Vorfall unter der Woche ereignet hätte, denn das Hauptbürogebäudewar zum Zeitpunkt des Unglücks leer. Es wurden 53 Verletzungen Dritter gemeldet und auchGebäude im Umkreis des Chemiewerks wurde beschädigt.
Die 18 Todesopfer in der Steuerzentrale starben aufgrund berstender Fensterscheiben unddes einstürzenden Dachs. Es konnte niemand aus dem Gebäude fliehen. Das Feuer wütetemehrere Tage lang und erschwerte die Rettungsarbeiten während der darauf folgenden zehnTage.
Von der Chemieindustrie ausgehend, wurden HAZOP-Studien durch den allgemeinenAustausch von Ideen und Mitarbeitern auch von der Erdölindustrie übernommen, in der esein ähnliches Potenzial für schwerwiegende Zwischenfälle gibt. Sie wurden auch von denNahrungsmittel- und Getränkeindustrien übernommen, in denen das Gefahren potenzialebenso hoch ist, in der es jedoch eher um die Gefahren von Verunreinigungen anstatt vonExplosionen oder um die Freisetzung von Chemikalien geht.
3.4. Gründe für die Verwendung von HAZOP-Studien
Auch wenn die Entwicklung der Anlage von der Anwendung von Vorschriften und Normenabhängig ist, ermöglicht das HAZOP-Verfahren die Ergänzung dieser Vorschriften undNormen durch eine imaginative Annahme der Abweichungen, die beispielsweise aufgrundvon Prozessbedingungen oder -störungen, Fehlfunktionen der Einrichtung oder Bediener -fehler auftreten.
Darüber hinaus kann der Druck bei der Projektplanung zu Fehlern oder dazu führen, dasswichtige Umstände übersehen werden. Die HAZOP-Studie ermöglicht die Korrektur dieserFehler, bevor solche Änderungen zu kostspielig werden. Da sie einfach zu ver stehen sind undan beliebige Prozesse oder Unternehmen angepasst werden können, sind HAZOP-Studienzur am häufigsten eingesetzten Methode zur Gefahrenerkennung geworden.
3.5. Abweichung vom bestimmungsgemäßen Betrieb
Allen Prozessen, gesteuerten Einrichtungen oder industriellen Anlagen liegt ein bestim -mungsgemäßer Betrieb zugrunde. Dies könnte beispielsweise die Erreichung einerbestimmten Produktionskapazität sein, angegeben als Tonnage einer bestimmtenChemikalie pro Jahr oder einer bestimmten Anzahl gefertigter Artikel.
Ein wichtiger sekundärer bestimmungsgemäßer Betrieb könnte die Bedienung des Prozessesauf sichere und effiziente Weise sein, weshalb jedes Einrichtungselement effizient funktio -nieren muss. Und genau dieser Aspekt könnte als bestimmungsgemäßer Betrieb desjeweiligen Einrichtungselements ausgelegt werden.
22
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Beispielsweise könnte im Rahmen unserer Anforderungen an die Anlagenproduktion eineKühlwassereinrichtung mit einem Kühlwasserkreislauf und einer Umwälzpumpe sowieeinem Wärmetauscher erforderlich sein, wie in Abbildung 8 dargestellt.
Der bestimmungsgemäße Betrieb dieses kleinen Abschnitts der Anlage könnte diekontinuierliche Umwälzung von Kühlwasser bei einer Temperatur von x ºC und mit einerGeschwindigkeit von xxx Litern pro Stunde sein. Die HAZOP-Studie konzentriert sich in derRegel auf diese Ebene des bestimmungsgemäßen Betriebs. Die Verwendung des Worts„Abweichung“ ist nun einfacher zu versehen. Eine Abweichung vom bestimmungs gemäßenBetrieb im Falle der Kühleinrichtung wäre beispielsweise eine Verringerung des Umlaufs odereine Erhöhung der Wassertemperatur.
Beachten Sie den Unterschied zwischen einer Abweichung und ihrer Ursache. Im obenbeschriebenen Fall wäre der Ausfall einer Pumpe eine Ursache, jedoch keine Abweichung.
In diesem Beispiel würde die Erhöhung der Wassertemperatur eine Gefahr darstellen, dadurch sie Schäden wie Verletzungen von Personen, Umweltschäden oder Schäden für dasUnternehmen entstehen könnten.
3.6. HAZOP-Technik
HAZOPs dienen zum Erkennen möglicher Gefahren und Betriebsprobleme, die durchAbweichungen vom bestimmungsgemäßen Betrieb neuer und bestehender Prozessanlagenentstehen. Sie werden im Allgemeinen regelmäßig während der Lebensdauer der Anlageausgeführt. Mit Sicherheit sollte eine anfängliche oder Vorab-HAZOP-Studie bereits frühzeitigin der Konstruktionsphase ausgeführt werden. Der Prozess sollte mit fortschreitender
Wärmetauscher
Kühlversorgung
Pumpe
Tank
Gerätelüfter
Abbildung 8: Bestimmungsgemäßer Betrieb
PROZESS-SAFEBOOK 1
Gefahren und Gefahrenerkennung
23
Entwicklung, bei Vorhaben im Zusammenhang mit größeren Änderungen und schließlicham Ende der Entwicklung überprüft werden, um sicherzustellen, dass vor der Bauphasekeine Risiken verbleiben.
Eine HAZOP-Studie wird in einem Meeting-Forum zwischen interessierten Parteien mitausreichenden Kenntnissen zum und Erfahrungen mit dem Betrieb und der Instandhal tungder Anlage ausgeführt. Das Meeting ist eine strukturierte Brainstorming-Sitzung, in der durchLeitwörter Vorstellungen zu den möglichen Gefahren angeregt werden sollen. In denProtokollen des Meetings werden die Diskussionen aufgezeichnet und Informatio nen zumöglichen Gefahren, ihren Ursachen und Konsequenzen zusammengestellt.
3.6.1. Team der HAZOP-Studie
Es ist wichtig, dass ein HAZOP-Team aus Mitarbeitern besteht, die ein optimalesGleichgewicht aus Know-how und Erfahrung zum jeweiligen Anlagentyp in die Studieeinbringen. Ein typisches HAZOP-Team setzt sich wie folgt zusammen:
Name Rolle
Vorsitzender Erläutern des HAZOP-Verfahrens, Leiten von Diskussionen undErleichtern der HAZOP-Studie. Sollte Erfahrung mit HAZOP-Studienhaben, doch nicht direkt an der Konstruktion beteiligt sein, umsicherzustellen, dass die Methode sorgfältig umgesetzt wird.
Sekretär Erfassen der Diskussion des HAZOP-Meetings und Bereitstellen einesProtokolls der Diskussionen. Protokollieren der Empfehlungen oderAktionen.
Prozessingenieur In der Regel der Ingenieur, der für das Prozessflussdiagramm und dieEntwicklung der Rohrleitungs- und Instrumentierungspläne (P&IDs)verantwortlich ist.
Anwender/Bediener Beratung hinsichtlich der Verwendung und Durchführbarkeit desProzesses und der Auswirkung von Abweichungen.
C&I-Spezialist Eine Person mit relevantem technischen Know-how zu Steuerung undInstrumentierung.
Instandhaltungs -mitarbeiter
Eine Person, die sich um die Verwaltung des Prozesses kümmert.
Ein Vertreter desKonstruktionsteams
Beratung hinsichtlich Konstruktionsdetails oder Bereitstellung weitererInformationen.
24
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
3.6.2. In der HAZOP-Studie verwendete Informationen
Das HAZOP-Team muss auf folgende Informationen zurückgreifen können:
• Rohrleitungs- und Instrumentierungspläne (P&IDs) für die Einrichtung• Verfahrensbeschreibung oder Dokumente zur Philosophie• Bestehende Betriebs- und Instandhaltungsverfahren• Tabellen zu Ursache und Wirkung• Layout-Zeichnungen der Anlage
3.6.3. HAZOP-Verfahren
Das HAZOP-Verfahren umfasst eine vollständige Beschreibung des Prozesses und diesystematische Hinterfragung bei jedem Bestandteil, ob und wie sich Abweichungenvom bestimmungsgemäßen Betrieb negativ auf den sicheren und effizienten Betriebder Anlage auswirken können.
Das Verfahren wird vom HAZOP-Team strukturiert angewandt und ist abhängig von dessenFähigkeit, alle denkbaren Gefahren zu ermitteln.
In der Praxis sind zahlreiche Gefahren offensichtlich, beispielsweise ein Temperaturanstieg.Die Stärke der Technik liegt jedoch darin, auch weniger offensichtliche Gefahren zuerkennen, ganz gleich, wie unwahrscheinlich sie zunächst erscheinen mögen.
3.6.4. Leitwörter
Das HAZOP-Verfahren verwendet Leitwörter, um die Aufmerksamkeit des Teams aufAbweichungen vom bestimmungsgemäßen Betrieb, deren mögliche Ursachen undKonsequenzen zu konzentrieren. Diese Leitwörter sind in zwei Untergruppen unterteilt:
• Primäre Leitwörter, durch die die Aufmerksamkeit auf einen bestimmten Aspektdes bestimmungsgemäßen Betriebs oder auf zugeordnete Prozessbedingungenoder Parameter gelenkt wird, wie z. B. Durchfluss, Temperatur, Druck, Pegel usw.
• Sekundäre Leitwörter, die in Kombination mit einem primären Leitwort aufmögliche Abweichungen schließen lassen, also eine höhere Temperatur, einniedrigerer Pegel, kein Druck, Flussumkehr usw.
Die gesamte Technik hängt von der effizienten Verwendung dieser Leitwörter ab, sodass ihreBedeutung und Verwendung vom Team eindeutig verstanden worden sein muss.
Es ist zu beachten, dass die Verwendung von Leitwörtern einfach dazu dient, die Vor stellunganzuregen, was passieren könnte. Nicht alle Leitwörter sind dabei aussagekräftig und nichtalle Gefahren werden nachvollziehbar sein. In diesen Fällen wird empfohlen, die von einem
PROZESS-SAFEBOOK 1
Gefahren und Gefahrenerkennung
25
Team erkannten Ereignisse ohne nachvollziehbare Bedeutung als solche zu protokollieren,sodass das Team nicht unnötig viel Zeit darauf verwendet.
3.6.5. Betriebsarten
Da eine HAZOP-Studie eine Gefahren- und Funktionsfähigkeitsstudie ist, müssen nicht nurder normale Betrieb des Prozesses, sondern auch anormale Betriebsarten berücksichtigtwerden, zu denen Inbetriebnahme, Abschaltung, Befüllung, Leerung, Überbrückung undWiederholungsprüfung zählen.
Hierfür können alle Betriebsarten, die im Aufgabenbereich angegeben wurden, als sepa rateAufgaben angesehen werden, für die jeweils eigene HAZOP-Analysen auszuführen sind.Alternativ hierzu können für relativ einfache Systeme die Arbeitsblätter um eine zusätzlicheSpalte ergänzt werden, in der die Betriebsart angegeben wird. Auf diese Weise können miteiner einzelnen HAZOP-Analyse alle Betriebsarten berücksichtigt werden.
3.6.6. Protokollieren der HAZOP-Studie
Es stehen verschiedene Software-Tools zur Verfügung, die Sie durch das HAZOP-Verfahrenführen. Alternativ kann auch eine einfache Kalkulationstabelle erstellt werden, in die Sie dieDiskussionen und Erkenntnisse eintragen. Kalkulationstabellen ermöglichen die einfacheSortierung und Kategorisierung und ermöglichen die übersichtliche und nachvollziehbareAnordnung der Einträge, damit Querverweise zu anderen Analysen aufrechterhalten werdenkönnen.
Es wird empfohlen, alle Kombinationen aus Ereignis und Leitwort zu dokumentieren.Sofern zutreffend kann Folgendes notiert werden: „Keine glaubwürdige Ursache“, „KeineKonsequenz“ oder „Keine Gefahr“. Dies gilt als vollständige Protokollierung und führt zueinem HAZOP-Bericht, der veranschaulicht, dass eine umfassende und präzise Studieausgeführt wurde. Bei der Beurteilung der Sicherheit und Durchführbarkeit spätererAnlagenänderungen wird dies von unschätzbarem Wert sein.
Außerdem werden die sekundären Wörter „Alle“ und „Verbleibend“ häufig verwendet.Beispielsweise kann erkannt werden, dass einige Kombinationen des primären Leitwortsglaubwürdige Ursachen haben, wie z. B. Durchfluss/Nein, Durchfluss/Umkehr. Für andereKombinationen (Durchfluss/Weniger, Durchfluss/Mehr, Durchfluss/Sonstige), bei denen keineglaubwürdigen Ursachen erkannt wurden, kann die Kombination „Durchfluss/ Verbleibend“verwendet werden.
26
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
3.6.7. Erkennen von Gefahren – Überschriften der HAZOP-Arbeitsblätter
Die folgende Tabelle enthält ein Beispiel für das HAZOP-Arbeitsblatt für eine Dekompres -sions kammer. Beachten Sie, dass das Beispiel allein der Veranschaulichung dient und keintatsächliches System darstellen soll.
Referenz
Es lohnt sich immer, eine Referenzspalte einzufügen, damit auf jeden Eintrag von anderenAnalysen aus verwiesen werden kann. Zudem ist so die Verfolgbarkeit auf nachfolgendeAnalysen wie z. B. LOPA [8] gewährleistet.
Leitwörter
Es müssen primäre und sekundäre Leitwörter verwendet werden. Im Internet stehenzahlreiche Listen mit Leitwörtern zur Verfügung, die sich auf unterschiedliche Unternehmenund Industrien beziehen.
Abweichung
Unter „Abweichung“ versteht man die Nichteinhaltung des bestimmungsgemäßen Betriebs,die durch die primären und sekundären Leitwörter angegeben wird und die erkannte Gefahrdarstellt.
Ursache
Mögliche Ursachen, die zu der Abweichung führen würden. Es ist wichtig, bestimmteInformationen zur Ursache anzugeben. Wenn es beispielsweise um einen Anstieg derSauerstoffkonzentration ginge, die durch den Ausfall eines O2-Sensors verursacht würde,könnte der Sensor auf unterschiedliche Weise ausfallen, doch nur die Anzeige einerfälschlicherweise niedrigen O2-Konzentration würde zu der gefährlichen Bedingung führen.
Konsequenz
Die Konsequenzen, die sich aus der Auswirkung der Abweichung und – sofern zutreffend –aus der Ursache selbst ergäben. Zeichnen Sie die Konsequenzen stets detailliert auf. GehenSie nicht davon aus, dass der Leser zu einem späteren Zeitpunkt versteht, um welche Gefahres geht oder wie sich die Konsequenzen entwickeln.
Beim Dokumentieren der Konsequenzen muss Ihnen stets bewusst sein, dass die HAZOP-Studie zum Bestimmen des Risikos verwendet werden kann. Daher ist eine vollständige undumfassende Beschreibung der Art und Weise, wie sich die Gefahr entwickeln und zuKonsequenzen führen kann, von grundlegender Bedeutung. Beispielsweise könnenKonsequenzen wie folgt beschrieben werden:
PROZESS-SAFEBOOK 1
Gefahren und Gefahrenerkennung
27
„Möglicher Überdruck führt zum Bersten der Gasleitungen, sodass Gas freigesetzt wird. GroßeMengen von ausströmendem Gas können sich am heißen Auslass der Maschine entzünden, waszu einer Explosion oder zu einem sich schnell verbreitenden Feuer mit möglichen Todesopfern vonbis zu zwei Instandhaltungsmitarbeitern führen kann. Kompressorschaden von bis zu2 Millionen € und Produktionsausfall für bis zu 1 Jahr.“
Bei der Beurteilung der Konsequenzen ist es wichtig, die bereits in die Konstruktionintegrierten Schutzsysteme oder -instrumente nicht zu berücksichtigen.
Schutzvorrichtungen
Alle vorhandenen Schutzeinrichtungen, die entweder die Ursache verhindern oder vor denKonsequenzen schützen, würden in diese Spalte eingetragen. Schutzvorrichtungen müssennicht auf Hardware beschränkt sein. Sofern zutreffend, können auch verfahrensorientierteAspekte wie regelmäßige Überprüfungen der Anlage berücksichtigt werden (sofern Siesicher sind, dass diese tatsächlich ausgeführt werden UND dass diese entweder zurVerhinderung oder zum Schutz geeignet sind).
3.7. Beispiel für eine HAZOP-Studie
3.7.1. Trennbehälter
Das folgende Beispiel zeigt eine vereinfachte Abbildung eines Trennbehälters in einemProzess. In dem Behälter wird die Prozessflüssigkeit aufgefangen, die durch einen Gasbrennererwärmt wird. Das Gas wird von der Prozessflüssigkeit getrennt und für die Ausleitungfreigesetzt. Die verbleibende, konzentrierte Flüssigkeit wird nach Abschluss der Reaktionvom Boden des Behälters entfernt (Abbildung 9).
Der Behälter ist mit einem Prozessleitsystem ausgestattet, mit dem Flüssigkeitspegel,Gasdruck und Temperatur gesteuert werden.
28
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
In der folgenden Abbildung ist eine HAZOP-Beispielstudie für diesen Trennbehälterdargestellt.
Flüssig-keitsaus-leitung
Heizgasversorgung
Flüssig-keitsein-leitung
Gasausleitung
XV101
LL101
TT100
FCV100
FCV100 XV100
T
P
Brenner
LH101
FCV102
XV102
PT102
LH
LL
Abbildung 9: Trennbehälter
PROZESS-SAFEBOOK 1
Gefahren und Gefahrenerkennung
29
3.7.2. HAZOP-Studie für einen TrennbehälterRe
fPr
imär
es L
eitw
ort
Seku
ndär
es L
eitw
ort
Abw
eich
ung
Gef
ahr
Kons
eque
nz
01.0
1St
arke
r Flu
ss d
er P
roze
ssflü
ssig
keit
in d
en B
ehäl
ter.
Eine
hoh
e Zu
fuhr
in d
en B
ehäl
ter k
önnt
e zu
ein
em
hohe
n Pe
gel u
nd z
ur E
insc
hlep
pung
der
Flü
ssig
keit
in d
ie G
asau
slei
tung
führ
en.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n de
n A
usta
usch
de
s Be
hälte
rs, v
erur
sach
en K
oste
n vo
n et
wa
10 M
io. €
und
erf
orde
rn
eine
Pro
zess
absc
haltu
ng fü
r 6 M
onat
e.
01.0
2St
arke
r Flu
ss d
er P
roze
ssflü
ssig
keit
aus
der F
lüss
igke
itsau
slei
tung
des
Beh
älte
rs.
Ein
zu h
oher
Abfl
uss
aus
dem
Beh
älte
r kön
nte
zu e
inem
nie
drig
en P
egel
un
d da
zu fü
hren
, das
s G
as in
die
Flü
ssig
keits
ausl
eitu
ng e
inge
schl
eppt
wird
.Sc
häde
n an
der
nac
hfol
gend
en E
inric
htun
g er
ford
ern
die
Rein
igun
g de
s Be
hälte
rs, v
erur
-sa
chen
Kos
ten
von
etw
a 2
Mio
. € u
nd e
rfor
dern
ein
e Pr
ozes
sabs
chal
tung
für 6
Woc
hen.
01.0
3St
arke
r Gas
stro
m a
us d
er
Gas
ausl
eitu
ng d
es B
ehäl
ters
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
01.0
4G
erin
ger F
luss
der
Pro
zess
flüss
ig-
keit
in d
en B
ehäl
ter.
Ein
zu n
iedr
iger
Flu
ss in
den
Beh
älte
r kön
nte
zu e
inem
nie
drig
en P
egel
un
d da
zu fü
hren
, das
s G
as in
die
Flü
ssig
keits
ausl
eitu
ng e
inge
schl
eppt
wird
.Sc
häde
n an
der
nac
hfol
gend
en E
inric
htun
g er
ford
ern
die
Rein
igun
g de
s Be
hälte
rs, v
erur
-sa
chen
Kos
ten
von
etw
a 2
Mio
. € u
nd e
rfor
dern
ein
e Pr
ozes
sabs
chal
tung
für 6
Woc
hen.
01.0
5G
erin
ger F
luss
der
Pro
zess
flüss
ig-
keit
aus
der A
usle
itung
des
Be
hälte
rs.
Ein
gerin
ger A
bflus
s vo
m B
ehäl
ter k
önnt
e zu
ein
em
hohe
n Pe
gel u
nd z
ur E
insc
hlep
pung
der
Flü
ssig
keit
in d
ie G
asau
slei
tung
führ
en.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n de
n A
usta
usch
de
s Be
hälte
rs, v
erur
sach
en K
oste
n vo
n et
wa
10 M
io. €
und
erf
orde
rn
eine
Pro
zess
absc
haltu
ng fü
r 6 M
onat
e.
01.0
6G
erin
ger G
asst
rom
aus
de
r Gas
ausl
eitu
ng d
es B
ehäl
ters
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
01.0
7U
mge
kehr
tN
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
01.0
8A
uch
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
01
.09
And
ere
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
01
.10
Meh
rH
oher
Dru
ck im
Beh
älte
r. B
erst
en d
es B
ehäl
ters
und
Fre
iset
zung
von
Gas
. D
as fr
eige
setz
te G
as e
ntzü
ndet
sic
h am
Bre
nner
und
an
heiß
en O
berfl
äche
n.
Mög
liche
rwei
se z
wei
Tod
esfä
lle b
eim
Inst
andh
altu
ngsp
erso
nal.
Der
Sch
aden
an
der E
inric
htun
g er
ford
ert d
en A
usta
usch
des
Beh
älte
rs, v
erur
sach
t Kos
ten
von
10 M
io. €
und
erf
orde
rt e
ine
Proz
essa
bsch
altu
ng fü
r 1 Ja
hr.
Ger
inge
Fre
iset
zung
in d
ie U
mge
bung
.
01.1
1W
enig
erN
iedr
iger
Dru
ck im
Beh
älte
r. B
erst
en d
es B
ehäl
ters
und
Fre
iset
zung
von
Gas
. D
as fr
eige
setz
te G
as e
ntzü
ndet
sic
h am
Bre
nner
und
an
heiß
en O
berfl
äche
n.
Mög
liche
rwei
se z
wei
Tod
esfä
lle b
eim
Inst
andh
altu
ngsp
erso
nal.
Der
Sch
aden
an
der E
inric
htun
g er
ford
ert d
en A
usta
usch
des
Beh
älte
rs, v
erur
sach
t Kos
ten
von
10 M
io. €
und
erf
orde
rt e
ine
Proz
essa
bsch
altu
ng fü
r 1 Ja
hr.
Ger
inge
Fre
iset
zung
in d
ie U
mge
bung
. 01
.12
Um
geke
hrt
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
01
.13
Auc
hN
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
01.1
4A
nder
eN
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
01.1
5M
ehr
Hoh
e Te
mpe
ratu
r im
Beh
älte
r.H
ohe
Tem
pera
tur f
ührt
zu
hohe
m D
ruck
, zum
Be
rste
n de
s Be
hälte
rs u
nd z
ur F
reis
etzu
ng v
on G
as.
Das
frei
gese
tzte
Gas
ent
zünd
et s
ich
am B
renn
er u
nd a
n he
ißen
Obe
rfläc
hen.
M
öglic
herw
eise
zw
ei T
odes
fälle
bei
m In
stan
dhal
tung
sper
sona
l. D
er S
chad
en a
n de
r Ein
richt
ung
erfo
rder
t den
Aus
taus
ch d
es B
ehäl
ters
, ver
ursa
cht K
oste
n vo
n 10
Mio
. € u
nd e
rfor
dert
ein
e Pr
ozes
sabs
chal
tung
für 1
Jahr
. G
erin
ge F
reis
etzu
ng in
die
Um
gebu
ng.
01.1
6W
enig
erN
iedr
ige
Tem
pera
tur i
m B
ehäl
ter.
Mög
liche
s G
efrie
ren
(Ver
fest
igen
) von
Flü
ssig
keit,
Be
rste
n de
s Be
hälte
rs u
nd A
usla
ufen
von
Fl
üssi
gkei
t.
Schä
den
an d
er E
inric
htun
g er
ford
ern
den
Aus
taus
ch d
es B
ehäl
ters
, ver
ur-
sach
en K
oste
n vo
n et
wa
10 M
io. €
und
erf
orde
rn e
ine
Proz
essa
bsch
altu
ng fü
r 6
Mon
ate.
Die
Fre
iset
zung
in d
ie U
mw
elt m
uss
gem
elde
t wer
den.
01.1
7U
mge
kehr
tN
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
01.1
8A
uch
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
01
.19
And
ere
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
01
.20
Meh
rH
oher
Peg
el im
Beh
älte
r.Ei
n ho
her P
egel
im B
ehäl
ter k
önnt
e da
zu fü
hren
, da
ss F
lüss
igke
it in
die
Gas
ausl
eitu
ng e
inge
schl
eppt
w
ird.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n de
n A
usta
usch
de
s Be
hälte
rs, v
erur
sach
en K
oste
n vo
n et
wa
10 M
io. €
und
erf
orde
rn
eine
Pro
zess
absc
haltu
ng fü
r 6 M
onat
e.
01.2
1W
enig
erN
iedr
iger
Peg
el im
Beh
älte
r.Ei
n ni
edrig
er P
egel
im B
ehäl
ter k
önnt
e da
zu fü
hren
, das
s G
as in
die
Flü
ssig
keits
ausl
eitu
ng e
inge
schl
eppt
wird
.Sc
häde
n an
der
nac
hfol
gend
en E
inric
htun
g er
ford
ern
die
Rein
igun
g de
s Be
hälte
rs, v
erur
-sa
chen
Kos
ten
von
etw
a 2
Mio
. € u
nd e
rfor
dern
ein
e Pr
ozes
sabs
chal
tung
für 6
Woc
hen.
01.2
2U
mge
kehr
tN
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
01.2
3A
uch
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
01
.24
And
ere
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
Pege
l
Flus
sM
ehr
Wen
iger
Dru
ck
Tem
pera
tur
30
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
3.7.3. Ergebnisse der HAZOP-Studie
Zusammenfassung der erkannten Gefahren:
Aus der Liste der erkannten Gefahren wird ein Gefahrenprotokoll für das System erstellt. DasGefahrenprotokoll bleibt während des gesamten Systemlebenszyklus ein Live-Dokument,das nach Abschluss weiterer Studien ergänzt oder überarbeitet werden kann.
Gefahr Konsequenz
Ein hoher Pegel imBehälter könnte dazuführen, dass Flüssigkeitin die Gasausleitungeingeschleppt wird.
Schäden an der nachfolgenden Einrichtung erfordern den Austauschdes Behälters, verursachen Kosten von etwa 10 Mio. € und erforderneine Prozessabschaltung für 6 Monate.
Hoher Druck führt zumBersten des Behälters undzur Freisetzung von Gas.
Das freigesetzte Gas entzündet sich am Brenner und an heißenOberflächen. Möglicherweise zwei Todesfälle beim Instandhaltungs -personal. Der Schaden an der Einrichtung erfordert den Austauschdes Behälters, verursacht Kosten von 10 Mio. € und erfordert eineProzessabschaltung für 1 Jahr. Geringe Freisetzung in dieUmgebung.
Hohe Temperatur führtzu hohem Druck, zumBersten des Behälters undzur Freisetzung von Gas.
Das freigesetzte Gas entzündet sich am Brenner und an heißenOberflächen. Möglicherweise zwei Todesfälle beim Instandhaltungs -personal. Der Schaden an der Einrichtung erfordert den Austauschdes Behälters, verursacht Kosten von 10 Mio. € und erfordert eineProzessabschaltung für 1 Jahr. Geringe Freisetzung in dieUmgebung.
Ein niedriger Pegel imBehälter könnte dazuführen, dass Gas in dieFlüssigkeitsausleitungeingeschleppt wird.
Schäden an der nachfolgenden Einrichtung erfordern die Reinigungdes Behälters, verursachen Kosten von etwa 2 Mio. € und erforderneine Prozessabschaltung für 6 Wochen.
Niedriger Druck führt zumBersten des Behälters undzur Freisetzung von Gas.
Das freigesetzte Gas entzündet sich am Brenner und an heißenOberflächen. Möglicherweise zwei Todesfälle beim Instandhaltungs -personal. Der Schaden an der Einrichtung erfordert den Austauschdes Behälters, verursacht Kosten von 10 Mio. € und erfordert eineProzessabschaltung für 1 Jahr. Geringe Freisetzung in dieUmgebung.
Niedrige Temperatur,mögliches Einfrieren derFlüssigkeit (Verfestigung),Bersten des Behälters,Auslaufen von Flüssigkeit.
Schäden an der Einrichtung erfordern den Austausch des Behälters,verursachen Kosten von etwa 10 Mio. € und erfordern eineProzessabschaltung für 6 Monate. Die Freisetzung in die Umweltmuss gemeldet werden.
PROZESS-SAFEBOOK 1
Gefahren und Gefahrenerkennung
31
Jede erkannte Gefahr könnte sicherheitsrelevante, umwelttechnische oder geschäftlicheKonsequenzen haben. Doch um unseren Verpflichtungen im Rahmen des Health and Safetyat Work Act [1.5.1] nachzukommen, müssen wir die Risikowahrscheinlichkeit bestimmen, diemit jeder Gefahr einhergeht [4].
32
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
4. Risiken und Risikominderung
4.1. Risikokonzept
Ein Risiko ist die Wahrscheinlichkeit, dass eine Gefahr eine messbar ungünstige Auswirkung hat.
Daher handelt es sich um ein zweiteiliges Konzept, von dem Sie sinnvollerweise beide Teileberücksichtigen müssen. Wahrscheinlichkeiten können auf unterschiedliche Weiseausgedrückt werden, z. B. als Eintrittswahrscheinlichkeit: 1 aus 1000; als Häufigkeit oder Rate:1000 Fälle pro Jahr; oder mit einer qualitativen Angabe: vernachlässigbar oder signifikant.
Es gibt zahlreiche unterschiedliche Möglichkeiten, die Auswirkung zu beschreiben. Beispiel:
• Ein einzelner Mitarbeiter wird schwer verletzt oder getötet• Mehrere unbeteiligte Personen werden verletzt• Die Öffentlichkeit wird giftigen Gasen ausgesetzt
Das jährliche Risiko eines Mitarbeiters, einen tödlichen Unfall [Auswirkung] bei der Arbeitdurch den Kontakt mit beweglichen Maschinenteilen [Gefahr] zu erleiden, liegt bei wenigerals 1 aus 100 000 [Eintrittswahrscheinlichkeit].
Das Risiko muss daher in zwei Dimensionen quantifiziert werden. Die Auswirkung oderdie Konsequenzen der Gefahr müssen beurteilt werden und die Wahrscheinlichkeit desEintretens ist zu evaluieren. Bewerten Sie der Einfachheit halber alle Konsequenzen auf einerSkala von 1 bis 4 wie in Abbildung 10 veranschaulicht. Je größer die Zahl, desto größer ist dieAuswirkung oder die Eintrittswahrscheinlichkeit. Generell kann durch den Einsatz einersolchen Risikomatrix eine Priorität festgelegt und das Risiko evaluiert werden.
Schwere der Konsequenz
Niedrig
1
1
2
3
4
2 3 4
Hoch
Mittel Kritisch
Wah
rsch
einl
ichk
eit d
esA
uftr
eten
s
Abbildung 10: Risikomatrix
PROZESS-SAFEBOOK 1
Risiken und Risikominderung
33
Wenn die Eintrittswahrscheinlichkeit hoch und die Schwere der Konsequenzen gering ist,kann es sich um ein mittleres Risiko handeln. Wenn auf der anderen Seite die Schwere derKonsequenzen hoch und die Eintrittswahrscheinlichkeit gering ist, kann das Risiko als „Hoch“eingestuft werden. Typischerweise sollte einem katastrophalen Ereignis, das nur mit einergeringen Wahrscheinlichkeit eintritt, höhere Aufmerksamkeit gewidmet werden als einergeringfügigen Störung, die häufig auftritt.
Bis jetzt haben sich die Beispiele für die Risiken nur auf die Mitarbeitersicherheit bezogen,doch es gibt keinen Grund, warum dasselbe Konzept nicht für Umweltrisiken, Unterneh -mens risiken (wenn diese zu Umsatz- oder Kapazitätseinbußen führen) oder Risiken für denRuf des Unternehmens, Risiken für die Versorgungssicherheit (die vor allem für Energiever -sorgungsunternehmen gelten) übernommen werden kann.
4.2. Gefahrenanalyse
Eine erste Risikobeurteilung kann in der Regel im Rahmen der HAZOP-Studie erfolgen, auchGefahrenanalyse (HAZAN – Hazard Analysis) genannt. Wie in Abbildung 10 veranschaulicht,kann jede Gefahr abhängig von ihrer Schwere (in der Regel von 1 bis 4, wobei 4 der maxi -malen Schwere entspricht) und Eintrittswahrscheinlichkeit (1 bis 4, wobei 4 der höchstenWahrscheinlichkeit entspricht) kategorisiert werden.
Das HAZOP-Beispiel [3.7.2] kann weiterentwickelt werden und die Multiplikation derSchwere- und Häufigkeitskategorien miteinander ergibt ein vorläufiges Maß für das Risiko inForm der Risikoprioritätsnummer RPN), die zum Festlegen der Aktionen zur Risikominderungverwendet werden kann [4.3].
4.3. HAZAN-Studie für einen Trennbehälter
In der Spalte „Aktion“ haben Sie die Möglichkeit, Empfehlungen zum Einleiten erforderlicherMaßnahmen anzugeben, beispielsweise die Überprüfung, welche zusätzlichen Schutzein -richtungen implementiert werden können.
Die möglichen Aktionen werden in zwei Gruppen unterteilt:
• Aktionen zum Beseitigen der Ursache• Aktionen zur Minderung der Konsequenzen
Die Beseitigung der Gefahrenursache ist stets die bevorzugte Lösung. Nur wenn dies nichtmöglich ist, sollten Sie über Maßnahmen zur Minderung der Konsequenzen nachdenken.
4.3.1. HAZOP-Aktionen
Auf den HAZOP-Arbeitsblättern werden Aktionen notiert, die näher überprüft werdenmüssen. In diesem Beispiel wurden die folgenden Aktionen erkannt.
34
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Ref
Abw
eich
ung
Gef
ahr
Kons
eque
nzSc
hw.k
at.
Häu
f.kat
.RP
NSc
hutz
-vo
rric
htun
gen
Akt
ion
01.0
1St
arke
r Flu
ss d
er P
roze
ss-
flüss
igke
it in
den
Beh
älte
r.Ei
ne h
ohe
Zufu
hr in
den
Beh
älte
r kön
nte
zu e
inem
hoh
en P
egel
und
zur
Ein
schl
eppu
ng
der F
lüss
igke
it in
die
Gas
ausl
eitu
ng fü
hren
.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n de
n A
usta
usch
des
Beh
älte
rs, v
erur
sach
en K
oste
n vo
n et
wa
10 M
io. €
un
d er
ford
ern
eine
Pro
zess
absc
haltu
ng fü
r 6 M
onat
e.
32
6Pe
gels
teue
rung
.Es
sol
lte e
in A
larm
fü
r hoh
e Pe
gel
inst
allie
rt w
erde
n.
01.0
2St
arke
r Flu
ss d
er P
roze
ssflü
ssig
keit
aus
der F
lüss
igke
itsau
slei
tung
des
Beh
älte
rs.
Ein
zu h
oher
Abfl
uss
aus
dem
Beh
älte
r kön
nte
zu e
inem
ni
edrig
en P
egel
und
daz
u fü
hren
, das
s G
as in
die
Flü
ssig
keits
-au
slei
tung
ein
gesc
hlep
pt w
ird.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n di
e Re
inig
ung
des
Behä
lters
, ver
ursa
chen
Ko
sten
von
etw
a 2
Mio
. € u
nd e
rfor
dern
ein
e Pr
ozes
sabs
chal
tung
für 6
Woc
hen.
21
2Pe
gels
teue
rung
.Es
sol
lte e
in A
larm
für n
iedr
ige
Pege
l ins
talli
ert w
erde
n.
01.0
3St
arke
r Gas
stro
m a
us d
er
Gas
ausl
eitu
ng d
es B
ehäl
ters
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.
01.0
4G
erin
ger F
luss
der
Pro
zess
-flü
ssig
keit
in d
en B
ehäl
ter.
Ein
zu n
iedr
iger
Flu
ss in
den
Beh
älte
r kön
nte
zu e
inem
ni
edrig
en P
egel
und
daz
u fü
hren
, das
s G
as in
die
Flü
ssig
keits
-au
slei
tung
ein
gesc
hlep
pt w
ird.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n di
e Re
inig
ung
des
Behä
lters
, ver
ursa
chen
Ko
sten
von
etw
a 2
Mio
. € u
nd e
rfor
dern
ein
e Pr
ozes
sabs
chal
tung
für 6
Woc
hen.
22
4Pe
gels
teue
rung
.Es
sol
lte e
in A
larm
für n
iedr
ige
Pege
l ins
talli
ert w
erde
n.
01.0
5G
erin
ger F
luss
der
Pro
zess
-flü
ssig
keit
aus
der F
lüss
igke
its-
ausl
eitu
ng d
es B
ehäl
ters
.
Ein
gerin
ger A
bflus
s vo
m B
ehäl
ter k
önnt
e zu
ei
nem
hoh
en P
egel
und
zur
Ein
schl
eppu
ng
der F
lüss
igke
it in
die
Gas
ausl
eitu
ng fü
hren
.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n de
n A
usta
usch
des
Beh
älte
rs, v
erur
sach
en K
oste
n vo
n et
wa
10 M
io. €
un
d er
ford
ern
eine
Pro
zess
absc
haltu
ng fü
r 6 M
onat
e.
31
3Pe
gels
teue
rung
.Es
sol
lte e
in A
larm
fü
r hoh
e Pe
gel
inst
allie
rt w
erde
n.
01.0
6G
erin
ger G
asst
rom
aus
der
G
asau
slei
tung
des
Beh
älte
rs.
Kein
e de
nkba
re G
efah
rKe
ine.
Ke
ine.
01.0
7N
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.01
.08
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
Ke
ine.
01.0
9N
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.01
.10
Hoh
er D
ruck
im B
ehäl
ter.
Bers
ten
des
Behä
lters
und
Fr
eise
tzun
g vo
n G
as.
Das
frei
gese
tzte
Gas
ent
zünd
et s
ich
am B
renn
er u
nd a
n he
ißen
Obe
rfläc
hen.
M
öglic
herw
eise
zw
ei T
odes
fälle
bei
m In
stan
dhal
tung
sper
sona
l. D
er S
chad
en a
n de
r Ein
richt
ung
erfo
rder
t den
Aus
taus
ch d
es B
ehäl
ters
, ver
ursa
cht K
oste
n vo
n 10
Mio
. € u
nd e
rfor
dert
ein
e Pr
ozes
sabs
chal
tung
für 1
Jahr
. G
erin
ge F
reis
etzu
ng in
die
Um
gebu
ng.
42
8
Dru
ckre
gelu
ng.
Es s
ollte
ein
Ala
rm
für h
ohe
Pege
l in
stal
liert
wer
den.
01.1
1N
iedr
iger
Dru
ck im
Beh
älte
r.Be
rste
n de
s Be
hälte
rs u
nd
Frei
setz
ung
von
Gas
. D
as fr
eige
setz
te G
as e
ntzü
ndet
sic
h am
Bre
nner
und
an
heiß
en O
berfl
äche
n.
Mög
liche
rwei
se z
wei
Tod
esfä
lle b
eim
Inst
andh
altu
ngsp
erso
nal.
Der
Sch
aden
an
der E
inric
htun
g er
ford
ert d
en A
usta
usch
des
Beh
älte
rs, v
erur
sach
t Kos
ten
von
10 M
io. €
und
erf
orde
rt e
ine
Proz
essa
bsch
altu
ng fü
r 1 Ja
hr.
Ger
inge
Fre
iset
zung
in d
ie U
mge
bung
.
41
4
Dru
ckre
gelu
ng.
Es s
ollte
ein
Ala
rm
für n
iedr
ige
Pege
l in
stal
liert
wer
den.
01.1
2N
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.01
.13
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
Ke
ine.
01.1
4N
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.01
.15
Hoh
e Te
mpe
ratu
r im
Beh
älte
r.H
ohe
Tem
pera
tur f
ührt
zu
hohe
m
Dru
ck, z
um B
erst
en d
es B
ehäl
ters
un
d zu
r Fre
iset
zung
von
Gas
.
Das
frei
gese
tzte
Gas
ent
zünd
et s
ich
am B
renn
er u
nd a
n he
ißen
Obe
rfläc
hen.
M
öglic
herw
eise
zw
ei T
odes
fälle
bei
m In
stan
dhal
tung
sper
sona
l. D
er S
chad
en a
n de
r Ein
richt
ung
erfo
rder
t den
Aus
taus
ch d
es B
ehäl
ters
, ver
ursa
cht K
oste
n vo
n 10
Mio
. € u
nd e
rfor
dert
ein
e Pr
ozes
sabs
chal
tung
für 1
Jahr
. G
erin
ge F
reis
etzu
ng in
die
Um
gebu
ng.
41
4
Tem
pera
turr
egel
ung.
Es s
ollte
ein
Ala
rm
für h
ohe
Tem
pera
tur
inst
allie
rt w
erde
n.
01.1
6N
iedr
ige
Tem
pera
tur i
m
Behä
lter.
Mög
liche
s G
efrie
ren
(Ver
fest
igen
) vo
n Fl
üssi
gkei
t, Be
rste
n de
s Be
hälte
rs
und
Aus
lauf
en v
on F
lüss
igke
it.
Schä
den
an d
er E
inric
htun
g er
ford
ern
den
Aus
taus
ch d
es B
ehäl
ters
, ver
ursa
chen
Ko
sten
von
etw
a 10
Mio
. € u
nd e
rfor
dern
ein
e Pr
ozes
sabs
chal
tung
für 6
Mon
ate.
D
ie F
reis
etzu
ng in
die
Um
wel
t mus
s ge
mel
det w
erde
n.
31
3Te
mpe
ratu
rreg
elun
g.Es
sol
lte e
in A
larm
für
nied
rige
Tem
pera
tur
inst
allie
rt w
erde
n.
01.1
7N
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.01
.18
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
Ke
ine.
01.1
9N
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.01
.20
Hoh
er P
egel
im B
ehäl
ter.
Ein
hohe
r Peg
el im
Beh
älte
r kön
nte
dazu
führ
en, d
ass
Flüs
sigk
eit i
n di
e G
asau
slei
tung
ein
gesc
hlep
pt w
ird.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n de
n A
usta
usch
des
Beh
älte
rs, v
erur
sach
en K
oste
n vo
n et
wa
10 M
io. €
und
erf
orde
rn e
ine
Proz
essa
bsch
altu
ng fü
r 6 M
onat
e.
32
6Pe
gels
teue
rung
.Es
sol
lte e
in A
larm
fü
r hoh
e Pe
gel
inst
allie
rt w
erde
n.
01.2
1N
iedr
iger
Peg
el im
Beh
älte
r.Ei
n zu
nie
drig
er F
luss
in d
en B
ehäl
ter k
önnt
e zu
ein
em
nied
rigen
Peg
el u
nd d
azu
führ
en, d
ass
Gas
in d
ie F
lüss
igke
its-
ausl
eitu
ng e
inge
schl
eppt
wird
.
Schä
den
an d
er n
achf
olge
nden
Ein
richt
ung
erfo
rder
n di
e Re
inig
ung
des
Behä
lters
, ver
ursa
chen
Ko
sten
von
etw
a 2
Mio
. € u
nd e
rfor
dern
ein
e Pr
ozes
sabs
chal
tung
für 6
Woc
hen.
2
12
Pege
lste
ueru
ng.
Es s
ollte
ein
Ala
rm fü
r nie
drig
e Pe
gel i
nsta
llier
t wer
den.
01.2
2N
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.01
.23
Nic
ht d
enkb
ar.
Kein
e de
nkba
re G
efah
rKe
ine.
Ke
ine.
01.2
4N
icht
den
kbar
.Ke
ine
denk
bare
Gef
ahr
Kein
e.
Kein
e.
PROZESS-SAFEBOOK 1
Risiken und Risikominderung
35
Ref Gefahr Konsequenz Aktion ZugeordneteAktion
Abschluss -datum
01.01 Eine hohe Zufuhr in denBehälter könnte zu einemhohen Pegel und zurEinschleppung der Flüssigkeit indie Gasausleitung führen.
Schäden an nachfolgendenEinrichtungen.
Es sollte ein Alarmfür hohe Pegelinstalliert werden.
S SmithC&I_Abteil.
14. Apr 12
01.02 Ein zu hoher Abfluss aus demBehälter könnte zu einemniedrigen Pegel und dazu führen,dass Gas in die Flüssigkeits aus -leitung eingeschleppt wird.
Schäden an nachfolgendenEinrichtungen.
Es sollte ein Alarmfür niedrige Pegelinstalliert werden.
S SmithC&I_Abteil.
14. Apr 12
01.04 Ein zu niedriger Fluss in denBehälter könnte zu einemniedrigen Pegel und dazu führen,dass Gas in die Flüssigkeitsaus -leitung eingeschleppt wird.
Schäden an nachfolgendenEinrichtungen.
Es sollte ein Alarmfür niedrige Pegelinstalliert werden.
S SmithC&I_Abteil.
14. Apr 12
01.05 Ein geringer Abfluss vomBehälter könnte zu einemhohen Pegel und zur Einschlep -pung der Flüssigkeit in dieGasausleitung führen.
Schäden an nachfolgendenEinrichtungen.
Es sollte ein Alarmfür hohe Pegelinstalliert werden.
S SmithC&I_Abteil.
14. Apr 12
01.10 Bersten des Behälters undFreisetzung von Gas.
Möglicherweise Todesfällebeim Instandhaltungs -personal. Schäden an derEinrichtung. Freisetzung indie Umwelt.
Es sollte ein Alarmfür hohen Druckinstalliert werden.
J JonesProzessabteil.
21. Apr 12
01.11 Bersten des Behälters undFreisetzung von Gas.
Möglicherweise Todesfällebeim Instandhaltungs -personal. Schäden an derEinrichtung. Freisetzung indie Umwelt.
Es sollte ein Alarmfür niedrigen Druckinstalliert werden.
J JonesProzessabteil.
21. Apr 12
01.15 Hohe Temperatur führt zuhohem Druck, zum Bersten desBehälters und zur Freisetzungvon Gas.
Möglicherweise Todesfällebeim Instandhaltungs -personal. Schäden an derEinrichtung. Freisetzung indie Umwelt.
Es sollte ein Alarmfür hohe Temperaturinstalliert werden.
V White C&I-Abteil.
21. Apr 12
01.16 Mögliches Gefrieren vonFlüssigkeit, Bersten desBehälters und Auslaufen vonFlüssigkeit.
Schäden an der Einrichtung.Freisetzung in die Umwelt.
Es sollte ein Alarmfür niedrigeTemperaturinstalliert werden.
V White C&I-Abteil.
21. Apr 12
01.20 Ein hoher Pegel im Behälterkönnte dazu führen, dassFlüssigkeit in die Gasausleitungeingeschleppt wird.
Schäden an nachfolgendenEinrichtungen.
Es sollte ein Alarmfür hohe Pegelinstalliert werden.
S SmithC&I_Abteil.
14. Apr 12
01.21 Ein niedriger Pegel im Behälterkönnte dazu führen, dass Gas indie Flüssigkeitsausleitungeingeschleppt wird.
Schäden an nachfolgendenEinrichtungen.
Es sollte ein Alarmfür niedrige Pegelinstalliert werden.
S SmithC&I_Abteil.
14. Apr 12
36
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
4.4. Beispiele für die Kategorisierung der Risikomatrix
In Abbildung 11 sind ähnliche Informationen dargestellt wie in der einfachen Risikomatrix,die weiter oben verwendet wurde. Die Schwere der Konsequenzen wurde durch einfache,generische Beschreibungen klassifiziert, wie z. B. gelegentlich, geringfügig, schwer, katastro -phal. Wenn eine HAZOP-Studie ausgeführt wurde, sind die möglichen Konsequenzen dererkannten Gefahren wahrscheinlich bekannt, sodass diese gruppiert und kategorisiertwerden können.
Die Quantifizierung der Eintrittswahrscheinlichkeit ist dagegen schwieriger. In Abbildung 11ist ein Konzept dargestellt, bei dem die Eintrittswahrscheinlichkeit anschaulich kategorisiertwird und von „sehr häufig“ (z. B. die Gefahr tritt mehrmals pro Jahr am Standort auf) bis„äußerst selten“ (z. B. ist in der Branche noch nie aufgetreten oder ist in keiner Branche jeaufgetreten) reicht. Mit einer solch qualitativen Beschreibung der Eintrittswahrscheinlichkeitkönnen jeder Kategorie Häufigkeitsspannen zugeordnet werden.
Die daraus resultierende Tabelle ermöglicht somit eine Kategorisierung der Risiken von„äußerst niedrig“ (VL – very low) über „niedrig“ (L – low), „mittel“ (M), „hoch“ (H) und „sehrhoch“ (VH – very high) gemäß der Schwerekategorie und der Häufigkeit.
PROZESS-SAFEBOOK 1
Risiken und Risikominderung
37
Noc
h in
kei
ner
Indu
strie
/bei
kei
nem
A
rbei
tsty
p au
fget
rete
n
Noc
h ni
e in
der
In
dust
rie/b
ei d
iese
m
Arb
eits
typ
aufg
etre
ten
Bere
its in
der
In
dust
rie/b
ei d
iese
m
Arb
eits
typ
aufg
etre
ten
Inne
rhal
b de
s U
nter
nehm
ens
aufg
etre
ten
Meh
rmal
s in
nerh
alb
des
Unt
erne
hmen
s au
fget
rete
n
Tritt
am
St
ando
rt a
ufTr
itt m
ehrm
als
am S
tand
ort a
uf
Tritt
meh
rmal
s im
Jahr
am
St
ando
rt a
uf
AB
CD
EF
GH
Kata
stro
phal
10-6
/Jah
r
Schw
er
10-5
/Jah
r
Sehr
sch
wer
10-4
/Jah
r
Mitt
el
10-3
/Jah
r
Leic
ht
10-2
/Jah
r
Gel
egen
tlich
10-1
/Jah
r
<10-6
/Jah
r 10
-6–1
0-5
/Jah
r 10
-5–1
0-4
/Jah
r10
-4–1
0-3
/Jah
r10
-3–1
0-2
/Jah
r10
-2–1
0-1
/Jah
r 10
-1–1
/Jah
r >1
/Jah
r
VL
Like
lihoo
d („
Wah
rsch
einl
ichk
eit“
)
Schw
ere
6M
HV
HV
LL
VH
VH
VH
5L
MH
VH
VH
VH
4V
LL
MH
VH
VH
3V
LL
MH
VH
2V
LL
MH
1V
LL
M
Abbildung 11: Risikomatrix
38
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
4.5. Risikoquantifizierung
Die Tolerierbarkeit eines Risikos wurde bisher aus rein qualitativer Perspektive betrachtet. DieQuantifizierung der Tolerierbarkeit von Risiken für die persönliche Sicherheit hängt von denerkannten Risiken ab. Dies kann von verschiedenen Faktoren beeinflusst werden. Beispiele:
• Persönliche Erfahrung gegenteiliger Auswirkungen• Soziale oder kulturelle Hintergründe und Überzeugungen• Grad der Kontrolle, die jemand über ein bestimmtes Risiko hat• Ausmaß, mit dem Informationen aus verschiedenen Quellen (z. B. den Medien)
zusammengestellt werden können
Natürlich sind einige Risiken so hoch, dass sie offensichtlich inakzeptabel sind, z. B. Rauchenwährend der Schwangerschaft, und andere, bei denen das Risiko so gering ist, dass esvernachlässigbar ist, wie z. B. das Kochen von Milch in einem Topf. Natürlich befindet sichder für Diskussionen interessanteste Teil in dem grauen Bereich für tolerierbare Risiken, derdazwischen liegt. Die Aufgabe besteht daher darin, die beiden Grenzbedingungen zudefinieren:
• Zwischen inakzeptablem und tolerierbarem Risiko• Zwischen tolerierbarem und akzeptablem Risiko
Das HSE-Leitdokument „Reducing Risks, Protecting People“ (R2P2) [19.3] schlägt vor, dass einindividuelles Todesfallrisiko von 1 aus 1 000 000 pro Jahr für Mitarbeiter und die Öffent -lichkeit ein sehr niedriges Risiko darstellt und als allgemein akzeptabler (vernachlässigbarer)Risikogrenzwert verwendet werden kann.
R2P2 schlägt dagegen vor, dass ein individuelles Todesfallrisiko von 1 aus 1000 pro Jahrdie Grenzwertbedingung zwischen einem gerade noch tolerierbaren Wert für eine wichtigeArbeiterkategorie und einen Großteil ihres Arbeitslebens und einem inakzeptablen Wert fürbeliebige Gruppen ist, die jedoch eher zu den Ausnahmen zählen. In Großbritannien soll beider Arbeitsgesundheit und -sicherheit ein Niveau erzielt werden, bei dem nahezu diegesamte Bevölkerung tagtäglich einer Gefahr ausgesetzt werden kann, ohne dass diesnachteilige Auswirkungen hat.
Für die Öffentlichkeit, die diesen Risiken ausgesetzt ist, wird dieser Grenzwert in einerGrößenordnung festgelegt, die bei unter 1 pro 10 000 pro Jahr liegt.
Die von der HSE übernommenen Kriterien können in einem Rahmenwerk, der so genanntenTolerierbarkeit des Risikos (TOR – Tolerability Of Risk) veranschaulicht werden (siehe Abbil -dung 12). Das maximal tolerierbare Einzelrisiko und das allgemein akzeptable Risikokriteriumwurden markiert.
PROZESS-SAFEBOOK 1
Risiken und Risikominderung
39
4.6. Tolerierbarkeit und Akzeptierbarkeit von Risiken
Beim Bestimmen des quantitativen Risikos, das durch Gefahren besteht, die z. B. in einerHAZOP-Studie erkannt werden, müssen Sie quantitative Risikokriterien festlegen und weitereArbeitsrisiken berücksichtigen, denen eine Einzelperson während des Arbeitstags ausgesetztist. Es kann durchaus davon ausgegangen werden, dass eine Einzelperson schätzungsweisezehn dieser Gefahren ausgesetzt sein wird. Die Tolerierbarkeit von Risikokriterien (Abbil -dung 12) kann anschließend unter diesen zehn Gefahren aufgeschlüsselt werden, wobei einmaximal tolerierbares, individuelles Todesfallrisiko von 1 aus 10 000 pro Jahr bestehen darf(Abbildung 13).
Der allgemein akzeptable Risikogrenzwert für das individuelle Todesfallrisiko vonMitarbeitern und Mitgliedern der Öffentlichkeit bleibt bei 1 aus 1 000 000 pro Jahr, da diesbereits als vernachlässigbar gilt. Die Tolerierbarkeit des Risikos kann wie in Abbildung 14dargestellt zusammengefasst werden.
Nicht akzep-tabler Bereich
Tolerierbarer Bereich
Allgemein akzeptabler Bereich
10-6 pro Jahr
10-3 pro Jahr
Risi
koer
höhu
ng
Abbildung 12: Tolerierbarkeit des Risikos
Nicht akzep-tabler Bereich
Tolerierbarer Bereich
Allgemein akzeptabler Bereich
10-6 pro Jahr
10-4 pro Jahr
Risi
koer
höhu
ng
Abbildung 13: Einzelne Risikokriterien
40
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Vom maximal tolerierbaren, individuellen Todesfallrisiko von 1 aus 10 000 pro Jahr können,abhängig von der Schwere und möglicherweise involvierter Dritter, weitere maximaltolerierbare Risikowerte bestimmt werden (Abbildung 15).
EINZELRISIKO pro Jahr
Konsequenz Geringfügig/Ernst Ernst/Tödlich Mehrere Todesfälle
Mitarbeiter 10-3 10-4 10-5
Öffentlichkeit 10-4 10-5 10-6
ALLGEMEIN AKZEPTIERTES RISIKO (Vernachlässigbar)
Konsequenz Geringfügig/Ernst Ernst/Tödlich Mehrere Todesfälle
Mitarbeiter 10-5 10-6 10-6
Abbildung 15: Tolerierbarkeit des Risikos – Zusammenfassung
EINZELRISIKO pro Jahr
Konsequenz Geringfügig/Ernst Ernst/Tödlich Mehrere Todesfälle
Mitarbeiter 10-3 10-4 10-5
Öffentlichkeit 10-4 10-5 10-6
ALLGEMEIN AKZEPTIERTES RISIKO (Vernachlässigbar)
Konsequenz Geringfügig/Ernst Ernst/Tödlich Mehrere Todesfälle
Mitarbeiter 10-5 10-6 10-6
Abbildung 14: Tolerierbarkeit des Risikos – Zusammenfassung
PROZESS-SAFEBOOK 1
Risiken und Risikominderung
41
4.7. Tolerierbarkeit des Risikos
Die Zusammenfassung zur Tolerierbarkeit des Risikos [Abbildung 15] kann grafischdargestellt werden (siehe Abbildung 16).
MehrereTodesfälle
Maximal tolerierbaresRisiko für Mitarbeiter
Maximal tolerierbaresRisiko für Öffentlichkeit
Vernachlässigbares Risiko
10-6 10-5 10-4 10-3
Häufigkeit (/Jahr)
Schw
ere
der K
onse
quen
z
EinzelnerTodesfall
Verletzungen
Abbildung 16: Tolerierbarkeit des Risikos – Zusammenfassung
42
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
4.8. Anforderungen hinsichtlich der Konformität
Die Anforderungen für Sicherheits-Integritätslevel werden von der wahrscheinlichenHäufigkeit gefährlicher Ereignisse abgeleitet. Abhängig von den Konsequenzen einer Gefahrwird eine maximal tolerierbare Häufigkeit bestimmt und eine Sicherheitsfunktion entwickelt,um die Häufigkeit auf ein tolerierbares Maß zu reduzieren.
Die Risikominderung, die die Sicherheitsfunktion bewirken muss, stellt die erste Anforderunghinsichtlich der Konformität mit der Norm dar: Dies ist das numerische Zuverlässigkeitsmaß.
Die numerische Zuverlässigkeit wird durch den Wert in Gruppen oder Sicherheits-Integritätslevel (SILs) kategorisiert. Es gibt vier SILs, die auf dem Maß der Zielzuverlässigkeitbasieren. SIL4 stellt das höchste Maß an Sicherheit, die höchste Risikominderung und dasschwierigste Zuverlässigkeitsziel dar. SIL1 bietet das niedrigste Maß an Sicherheit und istdas am einfachsten zu erreichende Zuverlässigkeitsziel.
4.9. ALARP-Prinzip
Der oben angeführte Überblick über die Gefährdungs- und Risikoanalyse zeigt, wie dieProzessrisiken bestimmt und das maximal tolerierbare Risiko erreicht werden können.Allerdings müssen laut HSAWA zusätzliche Anstrengungen unternommen werden, umdas Risiko durch andere Maßnahmen weiter zu verringern, bis nachgewiesen werden kann,dass das Risiko so niedrig, wie vernünftigerweise möglich ist – As Low As ReasonablyPracticable (ALARP) – und eine weitere Risikominderung daher nicht wirtschaftlich wäre [5].
PROZESS-SAFEBOOK 1
ALARP-Prinzip
43
5. ALARP-Prinzip
5.1. Vorteile und Nachteile
Die Verwendung des Ausdrucks „wie vernünftigerweise praktikable“ definiert Ziele für dieVerantwortlichen, anstatt Vorschriften festzulegen. Diese Flexibilität ist ein großer Vorteil,da sie den Verantwortlichen die Auswahl der für sie optimalen Methode überlässt und soInnovation unterstützt. Sie hat jedoch auch Nachteile. Die Entscheidung, ob ein Risiko demALARP-Prinzip entspricht, kann eine große Herausforderung sein, da sowohl die Verantwort -lichen als auch die Risikoprüfer ihr Urteil abgeben müssen.
Bei den Hauptprüfungen, die im Zuge der Regulierung industrieller Risiken ausgeführtwerden, soll Folgendes bestimmt werden:
a) Ob das Risiko so groß ist, dass es insgesamt abgelehnt werden mussb) Ob das Risiko so klein ist oder gemacht wurde, dass es vernachlässigbar istc) Ob das Risiko zwischen die beiden oben unter a) und b) angegebenen Zustände
fällt und auf ein Maß verringert wurde, das „so niedrig, wie vernünftigerweisemöglich“ ist.
Der Ausdruck „vernünftigerweise möglich“ lässt sich nur schwer quantifizieren. Er besagt,dass eine Berechnung angestellt werden muss, in der die zusätzliche Risikominderung, dieerreicht werden kann, gegen den implizierten Nachteil (hinsichtlich Kosten, Zeit oderAufwand) beim Erreichen der Risikominderung abgewägt wird. Wenn zwischen beideminsgesamt ein Missverhältnis vorliegt, der Vorteil also beispielsweise unbedeutend imVergleich zu den Kosten ist, wird das Risiko als ALARP angesehen.
Daher umfasst das ALARP-Prinzip beim Nachweis, dass Risiken verringert wurden, dieBeurteilung von Folgendem:
• Zu vermeidendes Risiko• Nachteil (hinsichtlich Kosten, Zeit und Aufwand) beim Ergreifen von Maßnahmen
zur Vermeidung dieses Risikos• Ein Vergleich von beidem
Dieser Prozess kann in unterschiedlicher Präzision ausgeführt werden, die von Folgendemabhängt:
• Art der Gefahr• Ausmaß des Risikos• Einzuführende Kontrollmaßnahmen
44
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Allerdings dürfen die Verantwortlichen nicht überlastet werden, wenn eine solche Präzisionnicht gewährleistet ist. Je größer das zu berücksichtigende Anfangsrisiko, desto höher mussdie Präzision ein.
5.2. Unverhältnismäßigkeit
Eine Kosten-Nutzen-Analyse (CBA – Cost Benefit Analysis) kann einen Verantwortlichen beider Beurteilung unterstützen, ob weitere Maßnahmen zur Risikominderung gerechtfertigtsind. Zusätzliche Maßnahmen zur Risikominderung können als vernünftigerweise möglichangesehen werden, sofern die Kosten für die Implementierung der Maßnahmen im Großenund Ganzen im Vergleich zu den Vorteilen nicht unverhältnismäßig hoch sind. Einfachausgedrückt: Wenn Kosten/Nutzen > DF, wobei DF für den „Unverhältnismäßigkeitsfaktor“(Disproportion Factor) steht, dann kann die Ausführung der Maßnahme für die erreichteRisikominderung als nicht angemessen angesehen werden.
DFs, die als zu hoch gelten, variieren von 1 an aufwärts, abhängig von verschiedenenFaktoren, einschließlich der Schwere der Konsequenzen und der Häufigkeit des Auftretenssolcher Konsequenzen. Je größer also das Risiko, desto höher auch der DF.
5.3. Was ist eine hohe Unverhältnismäßigkeit?
Die HSE hat keinen Algorithmus formuliert, der verwendet werden kann, um zu bestimmen,wann das Maß der Unverhältnismäßigkeit als hoch beurteilt werden kann. Es gibt keinemaßgeblichen Anleitungen von den Gerichten, welche Faktoren berücksichtigt werdensollten, wenn es darum geht, ob Kosten in hohem Maße unverhältnismäßig sind. Daher musseine Beurteilung fallabhängig erfolgen und einige Hinweise oder Anleitungen können ausden Ermittlungen bei größeren Unfällen abgeleitet werden.
Bei den Ermittlungen von 1987 Sizewell B wurden die folgenden DFs verwendet:
• Für geringe Risiken für die Mitglieder der Öffentlichkeit wurde der Faktor 2verwendet
• Für die Risiken für Arbeiter wurde ein Faktor von max. 3 angewandt (also Kosten,die dreimal höher sind als die Vorteile)
• Für hohe Risiken wird der Faktor 10 verwendet
5.4. Kosten-Nutzen-Analyse
Bei vielen ALARP-Entscheidungen erwartet die HSE von den Verantwortlichen keinedetaillierte Kosten-Nutzen-Analyse, da ein einfacher Vergleich der Kosten und Vorteile meistausreicht.
PROZESS-SAFEBOOK 1
ALARP-Prinzip
45
Eine Kosten-Nutzen-Analyse sollte lediglich als Unterstützung für ALARP-Entscheidungenverwendet werden. Sie darf weder das einzige Argument einer ALARP-Entscheidung sein,noch zur Untergrabung bestehender Normen und allgemein anerkannter Praktikenverwendet werden. Eine Kosten-Nutzen-Analyse stellt an sich keinen ALARP-Fall dar undkann weder verwendet werden, um gegen gesetzliche Verpflichtungen zu argumentieren,noch können durch sie untragbare Risiken oder eindeutig schlechtes Engineeringgerechtfertigt werden.
Unter anderem können folgende berechtigte Kosten bei einer Kosten-Nutzen-Analyseberücksichtigt werden:
• Installationskosten• Betriebskosten• Schulungskosten • Kosten beliebiger zusätzlicher Instandhaltungsarbeiten• Unternehmensverluste, die aufgrund einer Abschaltung entstünden, die allein
zum Zweck der Umsetzung der Maßnahme erfolgt• Zinsen aufgrund einer verzögerten Produktion, z. B. Öl oder Gas, das in einem
Öl-/Gasfeld verbleibt, während Arbeiten an einer Plattform ausgeführt werden• Alle beanspruchten Kosten müssen durch den Verantwortlichen entstanden sein
(Kosten, die durch andere Parteien entstanden sind – beispielsweise Mitglieder derÖffentlichkeit – dürfen nicht berücksichtigt werden)
• Es dürfen nur solche Kosten berücksichtigt werden, die zum Zweck derImplementierung der Maßnahmen zur Risikominderung erforderlich sind (keineGoldauflagen oder Luxusmaßnahmen)
Berechtigte Vorteile, die in einer Kosten-Nutzen-Analyse beansprucht werden können,umfassen beispielsweise alle Vorteile der Implementierung einer Maßnahme zur Verbesse -rung der Sicherheit in ihrer Gesamtheit, sofern sie nicht unterschätzt werden. Die Vorteilesollten alle Risikominderungen für die Mitglieder der Öffentlichkeit, für Arbeiter und fürMitglieder der Öffentlichkeit beinhalten, wie etwa:
• Verhinderte Todesfälle• Verhinderte Verletzungen (schwere wie leichte)• Verhinderte Krankheiten• Verhinderte Umweltschäden, sofern relevant (z. B. COMAH).
Die angegebenen Vorteile können auch die Vermeidung der Implementierung vonNotfalldiensten und die Vermeidung von Gegenmaßnahmen wie Evakuierung undDekontamination, sofern erforderlich, nach einem Zwischenfall umfassen. Um die Vorteileder Implementierung einer Sicherheitsverbesserung mit den zugeordneten Kostenvergleichen zu können, muss der Vergleich auf einer gemeinsamen Grundlage ausgeführt
46
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
werden. Durch eine einfache Methode für die Überprüfung von Maßnahmen werden Kostenund Vorteile auf das gemeinsame Format von „€ pro Jahr“ für die Lebensdauer einer Anlagegebracht.
Tabelle 1 zeigt einige typische Geldwerte, die verwendet werden könnten.
Tabelle 1: Typische Entschädigungssummen vor Gericht (2003)
5.5. Beispiel
Frage: Angenommen, es liegt ein Chemiewerk mit einem Prozess vor, der bei einer Explosionzu folgenden Schäden führen könnte:
• 20 Todesfälle• 40 dauerhaft verletzte Personen• 100 schwer verletzte Personen• 200 leicht verletzte Personen
Eine Analyse ergab, dass diese Explosion mit einer Häufigkeit von ungefähr 10-5 pro Jahrauftritt, was in etwa 1 aus 100 000 pro Jahr entspricht. Die Anlage hat eine geschätzteLebensdauer von 25 Jahren. Wie viel könnte die Organisation vernünftigerweise ausgeben,um das Risiko der Explosion zu eliminieren?
Todesfall € 1 336 800 (x 2 beiKrebs)
Verletzung Verletzung mit dauerhafter Behinderung.Einige dauerhafte Einschränkungen in derFreizeit und möglicherweise bei einigenArbeitsaktivitäten.
€ 207 200
Ernsthaft. Einige Einschränkungen bei derArbeit und/oder in der Freizeit für mehrereWochen/Monate.
€ 20 500
Leichte Verletzung wie geringfügige Schnitteund Blutergüsse mit einer schnellen undvollständigen Genesung.
€ 300
Krankheit Krankheit mit dauerhafter Behinderung. Siehe„Verletzung“.
€ 193 100
Andere Fälle von beeinträchtigter Gesundheit.Abwesend für über eine Woche. Keinedauerhaften gesundheitlichen Konsequenzen.
€ 2300 + € 180 pro Tagder Abwesenheit
Leicht Abwesenheit für max. eine Woche. Keinedauerhaften gesundheitlichen Konsequenzen.
€ 530
PROZESS-SAFEBOOK 1
ALARP-Prinzip
47
Antworten: Wenn das Risiko der Explosion zu eliminieren ist, können die Vorteile wie folgtbeurteilt werden:
Todesfälle: 20 x € 1 336 800 x 10-5 x 25 Jahre = € 6684Dauerhaft verletzte Personen: 40 x € 207 200 x 10-5 x 25 Jahre = € 2072Schwer verletzte Personen: 100 x € 20 500 x 10-5 x 25 Jahre = € 512Leicht verletzte Personen: 200 x € 300 x 10-5 x 25 Jahre = € 15Vorteile gesamt = € 9283
Die Summe von 9283 € entspricht dem geschätzten Vorteil, der durch die Eliminierung derschweren Explosion in der Anlage basierend auf der Vermeidung von Opfern entsteht. (Beidieser Methode werden weder Nachlässe noch die Inflationsrate berücksichtigt.)
Wenn eine Maßnahme als nicht vernünftigerweise möglich gilt, müssen die Kosten imVergleich zu den Vorteilen stark übertrieben sein. In diesem Fall sagt der DF aus, dass dieKonsequenzen solcher Explosionen hoch sind. Ein DF von mehr als 10 ist unwahrscheinlich,weshalb es vernünftigerweise möglich sein kann, eine Summe von maximal 93 000 €(9300 € x 10) auszugeben, um das Risiko einer Explosion zu eliminieren. Der Verantwort lichemüsste die Verwendung eines kleineren DF rechtfertigen.
Diese Art einer einfachen Analyse kann verwendet werden, um einige Maßnahmen durchKalkulation verschiedener alternativer Methoden zur Eliminierung oder Verminderung vonRisiken auszuschließen oder zu berücksichtigen.
Alternatives Konzept
Es ist wahrscheinlicher, dass eine Maßnahme zur Verbesserung der Sicherheit ein Risiko nichteliminiert, sondern das Risiko nur um einen bestimmten Faktor vermindert. Daher muss diebereitgestellte Risikominderung, die als Vorteil bereitgestellt wird, im Vergleich zu denImplementierungskosten beurteilt werden.
Typische Organisationen arbeiten mit einem Ziel, das die Kosten pro gerettetem Lebendefiniert (oder dem Wert für die Verhinderung eines statistischen Todesfalls, VPF – Value ofPreventing a statistical Fatality).
Die Kosten zur Verhinderung von Todesfällen während der Lebensdauer der Anlage werdenmit dem Ziel-VPF verglichen.
Die Verbesserungen werden implementiert, sofern die Kosten nicht stark unverhältnismäßigsind.
48
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
5.6. Beispiel
Frage: Anwendung von ALARP
Ein Ziel von 2 Millionen € pro gerettetem Leben wird in einer bestimmten Industrieverwendet. Ein maximal tolerierbares Risikoziel von 10-5 pro Jahr wurde für eine bestimmteGefahr festgelegt, die wahrscheinlich 2 Todesfälle verursacht.
Das vorgeschlagene Sicherheitssystem wurde beurteilt und ein Risiko von 8,0 x 10-6 pro Jahrvorhergesagt. Vorausgesetzt, dass das allgemein akzeptable (vernachlässigbare) Risiko bei10-6 pro Jahr liegt, ist die Anwendung von ALARP erforderlich.
In diesem Beispiel werden für Kosten von 10 000 € eine zusätzliche Instrumentierung undRedundanz implementiert, sodass das Risiko auf 2,0 x 10-6 pro Jahr (gerade über demvernachlässigbaren Bereich) für die Lebensdauer der Anlage, also 30 Jahre, vermindert wird.
Sollte der Vorschlag übernommen werden?
Antwort: Die Anzahl der geretteten Leben im Vergleich zur Lebensdauer der Anlage wird wiefolgt ermittelt:
N = (Verminderung der Häufigkeit von Todesfällen) x Anzahl der Todesfälle pro Vorfall x Lebensdauer der Anlage
= (8,0 x 10-6 – 2,0 x 10-6) x 2 x 30= 3,6 x 10-4
Daher liegen die Kosten pro gerettetem Leben bei:
VPF = € 10 000/3,6 x 10-4
= € 27,8 Millionen
Der berechnete VPF entspricht mehr als dem 10-fachen des Kriteriums der Zielkosten progerettetem Leben von 2 Millionen €, weshalb der Vorschlag abgelehnt werden sollte.
PROZESS-SAFEBOOK 1
SIL-Bestimmung
49
6. SIL-Bestimmung
6.1. Sicherheitsfunktionen in der Anforderungsbetriebsart und in der Betriebsart mitkontinuierlicher Anforderung
Bei der Beurteilung eines Sicherheitssystems im Hinblick auf Funktionsausfälle gibt es, ab -hängig von der Betriebsart, zwei Hauptoptionen. Wenn ein Sicherheitssystem nur seltenangefordert wird, typischerweise weniger als einmal pro Jahr, arbeitet es in der Anforde -rungs betriebsart. Ein Beispiel für ein solches Sicherheitssystem ist der Airbag in einemFahrzeug.
Die Bremsen in einem Fahrzeug sind ein Beispiel für ein Sicherheitssystem, das in der Be triebs -art mit kontinuierlicher Anforderung arbeitet: sie werden (nahezu) ständig gebraucht. BeiSicherheitssystemen, die in der Anforderungsbetriebsart arbeiten, wird üblicherweise diemittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung (PFD – Pro -bability of Failure on Demand) berechnet, während die Wahrscheinlichkeit eines gefahrbrin -genden Ausfalls pro Stunde (PFH – Probability of a dangerous Failure per Hour) für Sicher -heitssysteme verwendet wird, die in der Betriebsart mit kontinuierlicher Anforderung arbeiten.
6.2. Sicherheitsfunktionen in der Anforderungsbetriebsart
Angenommen in einer Fabrik bricht durchschnittlich alle zwei Jahre ein Feuer aus undwenn nichts unternommen wird, würde das Feuer zu einem Todesfall führen. Es könnte einDiagramm mit der Häufigkeit von Todesfällen erstellt werden (Abbildung 17). Die Häufigkeitder Todesfälle liegt bei 0,5/Jahr.
50
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
In diesem Fall ist wichtig, dass beim Ausarbeiten der Konsequenzen des Feuers keine bereitsbestehenden Sicherheitsmaßnahmen berücksichtigt werden. Es sollen die Konsequenzen imungünstigsten Fall ermittelt werden.
Durch die Installation eines Rauchalarms, der in neun von zehn Fällen funktioniert, würde beizehn Bränden in dem einen Fall, bei dem der Rauchalarm nicht auf Anforderung funktioniert,ein Todesopfer erwartet. In diesem Fall würde sich die Todesfallhäufigkeit von einem Todes -fall in zwei Jahren auf einen Todesfall in 20 Jahren verringern.
Feuer in Fabrik
Häufigkeit von Todesfällen
Häufigkeit der Gefahr
Einmal in 2 Jahren
Führt zu Todesfällen
Im Prozess inhärentes Risiko
Abbildung 17: Häufigkeit von Todesfällen
PROZESS-SAFEBOOK 1
SIL-Bestimmung
51
Wenn in diesem Beispiel der Rauchalarm bei neun von zehn Bränden funktionieren würde,liegt eine Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung (PFD) von1 aus 10 oder 10 % vor. In diesem Fall ist PFD = 0,1. Der Rauchalarm mit einer PFD von 0,1würde die Todesfallhäufigkeit um den Faktor 10 verringern und zu einem Risikominderungs -faktor (RRF – Risk Reduction Factor) von 10 führen.
Zusammenfassung: PFD = 1/RRF.
Es darf nicht vergessen werden, dass die PFD mathematisch eine Wahrscheinlichkeit unddaher eine dimensionslose Quantität mit einem Wert zwischen 0 und 1 ist.
6.3. Beispiel für eine SIL-Bewertung
Das Konzept für die Bestimmung einer SIL-Bewertung (Sicherheits-Integritätslevel) sieht dieBerechnung der erforderlichen Risikominderung vor, um die Häufigkeit der Konsequenzeneiner Gefahr auf ein tolerierbares Maß zu verringern.
Das empfohlene Konzept für die Bestimmung der Sicherheits-Integritätslevel sieht dieBeurteilung des Risikos vor, das von jeder Gefahr für die Anlage ausgeht. Bei der Ausführungeiner HAZOP-Studie für unsere Anlage und beim Erkennen einer Gefahr in dem Prozess, dermöglicherweise Schäden verursachen kann, sofern nichts dagegen unternommen wird,müssen die möglichen Konsequenzen evaluiert werden. Diese Konsequenzen imungünstigs ten Fall bestimmen dann die maximal tolerierbare Häufigkeit für diese Gefahr.
Feuer in Fabrik
Rauchalarm
Häufigkeit von Todesfällen
Häufigkeit der Gefahr
Einmal in 20 Jahren Einmal in 2 Jahren
Häufigkeit von Todesfällen: 1 in 20 Jahren
Führt zu Todesfällen
Im Prozess inhärentes Risiko
Rauchalarm funktioniert in 9 von 10 Fällen
Abbildung 18: Geringere Häufigkeit von Todesfällen
52
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Wenn die Gefahr zum Tod eines Mitarbeiters führen könnte, besteht basierend auf derTolerierbarkeit und Akzeptanz der Risikokriterien [4.6] die Möglichkeit, eine maximaltolerierbare Häufigkeit für die Gefahr zuzuordnen. Anders ausgedrückt, lässt sich für dieerkannte Gefahr ein maximal tolerierbares Risiko von 10 bis 4 Fällen pro Jahr angeben.
Durch die Analyse der auslösenden Ursachen der Gefahr kann die Eintrittswahrscheinlichkeitder Gefahr abgeschätzt werden. Dabei wird angenommen, dass keine anderen Maßnahmenergriffen werden, und es erfolgt ein Vergleich mit der angegebenen maximal tolerierbarenHäufigkeit. Es könnten beispielsweise einige Analysen durchgeführt werden, wobeibestimmt würde, dass unsere Gefahr, sofern sie nicht überprüft wird, einmal pro Jahrauftreten könnte. Dies stellt daher eine Risikolücke dar: etwas, das behoben werden muss(Abbildung 19).
Anschließend können eventuelle Sicherheitsmaßnahmen berücksichtigt werden, die mög -licherweise bereits vorhanden sind, um die Häufigkeit der Gefahr zu reduzieren, wie z. B. einAlarm (Abbildung 20). In diesem Fall verringert der Alarm die Häufigkeit der Gefahrenkonse -quenzen durch die PFD. Aus diesem Grund wird die Risikolücke verkleinert, doch dasverbleibende Gesamtrisiko, obwohl nun kleiner, ist noch immer größer als das maximaltolerierbare Risiko.
Prozessgefahr
Häufigkeit der Gefahr10-4/Jahr 1/Jahr
Risikolücke
Führt zuTodesfällen
Im Prozess inhärentes Risiko
TolerierbareRisikostufe
Abbildung 19: Risikolücke
PROZESS-SAFEBOOK 1
SIL-Bestimmung
53
Die Berücksichtigung weiterer Schutzstufen kann das verbleibende Risiko weiter verringern.Eventuell liegen mechanische Vorrichtungen wie ein Druckminderventil, eine Schutzwandoder ein Damm vor. Weitere Maßnahmen zur Risikominderung können die
AlarmeMechAndere
Prozessgefahr
Häufigkeit der Gefahr10-4/Jahr 10-3/Jahr 10-2/Jahr 0,1/Jahr 1/Jahr
Risikolücke
Führt zuTodesfällen
Im Prozess inhärentes Risiko
TolerierbareRisikostufe
PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1
MittleresRisiko
Abbildung 21: Berücksichtigung anderer Schutzebenen
Alarme
Prozessgefahr
Häufigkeit der Gefahr10-4/Jahr 0,1/Jahr 1/Jahr
Risikolücke
Führt zuTodesfällen
Im Prozess inhärentes Risiko
TolerierbareRisikostufe
PFD = 0,1
Abbildung 20: Berücksichtigung von Alarmen
54
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Prozesssteuerung, Instrumentierung oder Verfahrensvorschriften umfassen und jeweils zurVerringerung des verbleibenden Risikos (Abbildung 21) durch die entsprechenden PFDsbeitragen. In diesem Beispiel wurden alle zulässigen Faktoren für die verschiedenenSicherheitsvorrichtungen berücksichtigt, die an der Anlage vorhanden sind. Und trotzdemverbleibt eine Lücke mit einem Restrisiko. Es wird deutlich, dass zur Verringerung derGefahrenhäufigkeit auf einen Wert, der unter der maximal tolerierbaren Häufigkeit liegt, eineweitere Schutzstufe erforderlich ist, die eine PFD von unter 0,1 aufweist. Dies ist die Aufgabedes SIS, Abbildung 22. Diese Berechnung wird zwar grafisch ausgeführt, stellt jedoch die Ziel-PFD für das vorliegende SIS bereit und ermöglicht die Bestimmung der SIL-Bewertung. Eshandelt sich hierbei um eine Sicherheitsfunktion in der Anforderungsbetriebsart.
AlarmeMechAndere
Prozessgefahr
Häufigkeit der Gefahr10-4/Jahr 10-3/Jahr 10-2/Jahr 0,1/Jahr 1/Jahr
Risikolücke
Führt zuTodesfällen
Im Prozess inhärentes Risiko
TolerierbareRisikostufe
Verblei-bendes
Risiko
PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1
MittleresRisiko
SIS
Abbildung 22: PFD-Ziel
PROZESS-SAFEBOOK 1
SIL-Bestimmung
55
6.4. Sicherheitsfunktionen
Abbildung 23 zeigt die typische Anordnung eines SIS und seines Prozesses.
Die sicherheitstechnische Funktion überwacht einige Prozessparameter und führt Aktionenaus, um den Prozess sicher zu gestalten, wenn bestimmte Grenzwerte überschritten werden.Ein einfaches Beispiel aus der Prozessindustrie ist in Abbildung 24 dargestellt.
In der Abbildung sehen Sie eine Gasleitung, die ein Kraftwerk versorgt. Das Gas strömt vonlinks nach rechts durch ein Abschaltventil, bevor es das Druckregelventil (PCV – Pressure
Druck- sender
Druck-regler
ESD-Logik
Magnet-ventil
Hydraulik-versorgung
Hydraulik-entlüftung
Gasleitungs-einlass
Gasleitungs-ausleitung
Abschalt-ventil
Druckregler-ventil
Ausgelegt für 139 bar Ausgelegt für 48 bar
PC
SPT
Abbildung 24: Beispiel für eine sicherheitstechnische Funktion
SISSicherheitstechnisches
System
Prozess
Abbildung 23: Sicherheitstechnisches System
56
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Control Valve) erreicht. Das Druckregelventil wird von einem Druckregler (PC – PressureController) geregelt, der den Druck des Gases unter 48 bar und damit innerhalb des sicherenBemessungswerts der Auslassleitung hält. Der Ausfall dieser Druckregelungsfunktion könntezu einem Überdruck in der nachfolgenden Leitung und damit möglicherweise zum Bersten,zur Entzündung und zu Todesfällen führen. Daher wurde eine Sicherheitsfunktion entwickelt,mit der dieses Szenario verhindert werden soll. Die Sicherheitsfunktion besteht aus einemseparaten Druckgeber (PT – Pressure Transmitter), einer Logik für die Notabschaltung (ESD –Emergency Shutdown) und einem Abschaltventil (SDV – Shutdown Valve), das durch einhydraulisches Magnetventil (SOV – Solenoid Operated Valve) aktiviert wird, um die Gaszufuhrzu unterbrechen, wenn der nachfolgende Druck einen vorab festgelegten Auslösungswertüberschreitet.
6.5. Beispiel für eine Sicherheitsfunktion in der Anforderungsbetriebsart
Im Folgenden wird ein Beispiel für eine Sicherheitsfunktion in der Anforderungsbetriebsartbeschrieben. Wichtige Merkmale einer Sicherheitsfunktion in der Anforderungsbetriebsart:
• Sie ist in der Regel vom Prozess getrennt• Ein Ausfall der Sicherheitsfunktion führt zu einem Verlust der Schutzfunktion, ist
jedoch an sich nicht gefährlich• Die Funktion wird selten angefordert, d. h. weniger als einmal pro Jahr
Druck- sender
Druck-regler
Prozess & BPCS
Sicherheitstechnische Funktion
ESD-Logik
Magnet-ventil
Hydraulik-versorgung
Hydraulik-entlüftung
Gasleitungs-einlass
Gasleitungs-ausleitung
Abschalt-ventil
Druckregler-ventil
Ausgelegt für 139 bar Ausgelegt für 48 bar
PC
SPT
Abbildung 25: Sicherheitsfunktionen in der Anforderungsbetriebsart
PROZESS-SAFEBOOK 1
SIL-Bestimmung
57
Sicherheitsfunktionen in der Anforderungsbetriebsart umfassen die Abschaltung des Prozesses(PSD – Process Shutdown), die Notfall-Abschaltung (ESE – Emergency Shutdown) undDruckschutzsysteme mit hoher Integrität (HIPPS – High Integrity Pressure Protection Systems).
Es ist oft verwirrend, dass der PT, der Teil der Sicherheitsfunktion ist, den Prozessdruck zwarkontinuierlich überwacht, dies jedoch nicht ausschließt, dass er in der Anforderungsbetriebs -art arbeitet. Der Begriff „Anforderungsbetriebsart“ bezieht sich auf die Häufigkeit der Anfor -derungen zur Ausführung einer Aktion, also die Häufigkeit von Hochdruckabweichungen.
6.6. Beispiel für eine Sicherheitsfunktion in der Betriebsart mit kontinuierlicherAnforderung
Abbildung 26 zeigt ein Beispiel für eine Sicherheitsfunktion in der Betriebsart mitkontinuierlicher Anforderung.
HeizgasHauptgas
Dämpfer
Verb
renn
ungs
luft
S
S
Brenner-Management-
System
TT004
TE003
TE002
TT001
TT406
TE405
TE405
XY101
S XY101
TY102
HC201
HC202
S XY104
Abbildung 26: Sicherheitsfunktionen in der Betriebsart mit kontinuierlicher Anforderung
58
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Die Abbildung veranschaulicht ein typisches Brenner-Management-System (BMS), das zurRegelung eines Ofens verwendet wird. Das System regelt die Zufuhr von Heizgas und Ver -brennungsluft zum Ofen und überwacht die Brennerflamme mithilfe von Flammen wächtern.
Wenn die Flamme erlischt, muss das BMS die Heizgaszufuhr unterbrechen, um eineGasansammlung und eine mögliche Explosion zu verhindern. Ähnlich muss vor demEntzünden der Brenner entleert werden, um sicherzustellen, dass sich kein durch dieVentile gesickertes Gas im Ofen angesammelt hat oder die Steuerung ausfällt.
Das BMS muss die Regelung über die Inbetriebnahmesequenz bereitstellen und den Ofenausreichend entleeren. Zudem muss der Betrieb nach der Entzündung überwacht werden.In diesem Beispiel besteht die Sicherheitsfunktion in der Betriebsart mit kontinuierlicherAnforderung aus dem BMS sowie allen zugeordneten Sensoren und Ventilen.
Wichtige Merkmale einer Sicherheitsfunktion in der Betriebsart mit kontinuierlicherAnforderung :
• Stellt in der Regel einige Regelungsfunktionen bereit• Der Ausfall der Sicherheitsfunktion führt normalerweise zu einer gefährlichen
Situation• Die Funktion wird häufig angefordert, d. h. öfter als einmal pro Jahr oder sogar
ständig
Sicherheitsfunktionen in der Betriebsart mit kontinuierlicher Anforderung umfassentypischerweise Brenner-Management- und Turbinensteuerungssysteme.
6.7. SIL-Bewertung für die Anforderungsbetriebsart
IEC 61511-1, 9.2.4 gruppiert PFD-Ziele in Bereiche oder Sicherheits-Integritätslevel (SILs). Imobigen Beispiel [6.3] liegt für die Sicherheitsfunktion ein PFD-Ziel von <10-1 vor, was zu einerSIL1-Anforderung führt (siehe Tabelle 2).
Tabelle 2: SIL-Bewertung für die Anforderungsbetriebsart
Betrieb in der Anforderungsbetriebsart(Durchschnittliche Ausfallwahrscheinlichkeit beim Ausführender Konstruktionsfunktion auf Anforderung)
Sicherheits-Integritätslevel
≥10-5 bis <10-4 4
≥10-4 bis <10-3 3
≥10-3 bis <10-2 2
≥10-2 bis <10-1 1
PROZESS-SAFEBOOK 1
SIL-Bestimmung
59
Hinweis: Das PFD-Ziel ist in SIL-Bereiche gruppiert, da die Norm ein bestimmtes Maßan Präzision der Techniken und Maßnahmen erfordert, die bei der Beherrschung undVermeidung systematischer Ausfälle angewandt werden. Diese Anforderungen sind inAbschnitt [12.15] näher beschrieben.
6.8. SIL-Bewertung für die Betriebsart mit kontinuierlicher Anforderung
IEC 61511-1, 9.2.4 stellt auch SIL-Bewertungen für Systeme in der Betriebsart mitkontinuierlicher Anforderung bereit (Tabelle 3).
Tabelle 3: SIL-Bewertung für die Betriebsart mit kontinuierlicher Anforderung
Hinweis: Der Ausfallgrenzwert für Ziele in der Betriebsart mit kontinuierlicher Anforderung isteine Ausfall-PFH oder Ausfallrate.
Fußnote.
Auf den ersten Blick erscheinen diese Ziele für die Ausfallrate schwerer erreichbar als die Zielefür die Systeme in der Anforderungsbetriebsart, z. B. muss für SIL1 (Anforderungsbetriebsart)eine PFD von <10-1 vorliegen, während für SIL1 (Betriebsart mit kontinuierlicher Anforde -rung) eine PFH von <10-5 Ausfälle/Stunde erforderlich ist.
Die Tabellen können jedoch aneinander ausgerichtet werden, wenn die Ziele für dieBetriebsart mit kontinuierlicher Anforderung von Ausfälle/Stunde in Ausfälle/Jahr konvertiertwerden. Es gibt ungefähr 10-4 Stunden pro Jahr (tatsächlich sind es 8760) und daher kann dieTabelle für die Betriebsart mit kontinuierlicher Anforderung wie in Tabelle 4 dargestelltgeändert werden.
Betrieb in der Betriebsart mit kontinuierlicher Anforderung(Wahrscheinlichkeit eines gefahrbringenden Ausfalls proStunde, PFH)
Sicherheits-Integritätslevel
≥10-9 bis <10-8 4
≥10-8 bis <10-7 3
≥10-7 bis <10-6 2
≥10-6 bis <10-5 1
60
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Tabelle 4: SIL-Bewertung für die Betriebsart mit kontinuierlicher Anforderung (PA)
6.9. Betriebsarten (Systeme in der Anforderungsbetriebsart und der Betriebsart mitkontinuierlicher Anforderung)
IEC 61511-1, 3.2.43 bietet folgende Definitionen zum Bestimmen der Arbeitsweise eines SIS.
Anforderungsbetriebsart
• Wenn eine bestimmte Aktion als Reaktion auf Prozessbedingungen oder andereAnforderungen ausgeführt wird. Im Falle eines gefährlichen Ausfalls des SIF tritteine mögliche Gefahr nur bei einem Ausfall des Prozesses des BPCS (Betriebs- undÜberwachungseinrichtung) ein.
Betriebsart mit kontinuierlicher Anforderung
• Wenn im Falle eines gefährlichen Ausfalls des SIF eine mögliche Gefahr ohne einenweiteren Ausfall auftritt, sofern nicht eine Maßnahme zur Verhinderung ergriffenwird.
Bei der Entscheidung, ob Ihre Sicherheitsfunktion in der Betriebsart mit hoher Anforde -rungsrate oder in der Anforderungsbetriebsart ausgeführt wird, gilt die Faustregel, dasszunächst die sinnvolle Maßeinheit oder das Maß für die Zuverlässigkeit bestimmt werdensollte.
Beispielsweise stellen die Airbags in einem Fahrzeug eine äußerst wichtige Sicherheitsfunk -tion dar und als Fahrer sollten Sie an deren Wahrscheinlichkeit eines gefahrbringendenAusfalls bei Anforderung interessiert sein, die angibt, dass es sich um eine Funktion in derAnforderungsbetriebsart handelt. In Abschnitt [6.5] sind die wichtigen Merkmale einerSicherheitsfunktion in der Anforderungsbetriebsart wie folgt beschrieben:
• Sie ist in der Regel vom Prozess getrennt• Ein Ausfall der Sicherheitsfunktion führt zu einem Verlust der Schutzfunktion, ist
jedoch an sich nicht gefährlich
Betrieb in der Betriebsart mit kontinuierlicher Anforderung(Wahrscheinlichkeit eines gefährlichen Ausfalls pro Jahr)
Sicherheits-Integritätslevel
≥10-5 bis <10-4 4
≥10-4 bis <10-3 3
≥10-3 bis <10-2 2
≥10-2 bis <10-1 1
PROZESS-SAFEBOOK 1
SIL-Bestimmung
61
Tabelle 2 bestätigt daher, dass die Ziele für die Funktionen in der Anforderungsbetriebsartder Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung entsprechen.
Alternativ wären für die Bremsen in einem Fahrzeug das sinnvolle Maß eine Ausfallrate odereine Ausfallwahrscheinlichkeit pro Stunde. Für den Fahrer wäre interessant zu wissen, welcheAusfallrate die Sicherheitsfunktion aufweist, d. h. dies ist ein gutes Anzeichen dafür, dass essich um eine Funktion in der Betriebsart mit kontinuierlicher Anforderung handelt.
Um dies zu unterstreichen, sind die wichtigen Merkmale einer Sicherheitsfunktion in derBetriebsart mit kontinuierlicher Anforderung wie folgt definiert:
• Stellt in der Regel einige Regelungsfunktionen bereit, in diesem Fall dieBremsfunktion
• Der Ausfall der Sicherheitsfunktion führt normalerweise zu einer gefährlichenSituation, in diesem Fall zum Ausfall der Geschwindigkeitsregelung
Tabelle 3 bestätigt daher, dass die Ziele für die Funktionen in der Betriebsart mit kontinuier -licher Anforderung der Wahrscheinlichkeit gefährlicher Ausfälle pro Stunde entsprechen.
6.10. Sicherheitsfunktionen in der Anforderungsbetriebsart
6.10.1. Beispiel
Frage: Ein Prozessbereich ist pro Tag zwei Stunden lang besetzt. Überdruck in dem Prozessführt zum Austreten von Gas und es wird geschätzt, dass eines von zehn Gaslecks zu einerExplosion führt, die den Tod des Bedieners zur Folge hat.
Die Analyse zeigt, dass die Überdruckbedingung alle fünf Jahre auftritt (dies entspricht einerRate von 0,2 pro Jahr).
Angenommen, die maximal tolerierbare Häufigkeit für die Gefahr (Bediener wird durchExplosion getötet) entspricht 10-4 pro Jahr.
Welche PFD ist für das SIS erforderlich?
Antwort: Die Sterblichkeitsrate entspricht:
= 0,2 pro Jahr x 2/24 x 1/10= 1,67 x 10-3 pro Jahr
Daher muss das Sicherheitssystem folgende Wahrscheinlichkeit eines gefahrbringendenAusfalls bei Anforderung aufweisen:
= 10-4 pro Jahr/1,67 x 10-3 pro Jahr= 6,0 x 10-2, was SIL1 entspricht.
62
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Dies ist ein Beispiel für ein SIS in der Anforderungsbetriebsart, da es nur mit einer Häufigkeitaufgerufen wird, die von der Ausfallrate der gesteuerten Einrichtung bestimmt wird.
Es kann bestätigt werden, dass das Ergebnis tatsächlich eine PFD ist, da eine Rate durcheine Rate dividiert wurde, um eine dimensionslose Menge, z. B. eine Wahrscheinlichkeit,anzugeben.
6.11. Sicherheitsfunktionen in der Betriebsart mit kontinuierlicher Anforderung
Abbildung 27 zeigt ein einfaches Beispiel für eine Sicherheitsfunktion in der Betriebsart mitkontinuierlicher Anforderung. Die Chemikalie im Dampfkessel wird durch ein elektrischesElement erhitzt, das durch einen Temperaturtransmitter gesteuert wird, der den Auslassmisst.
Angenommen, die Überhitzung des Dampfkessels führt zum Bersten, zur Freisetzung derChemikalie und nachfolgend zu einem Feuer, bei dem Lebensgefahr besteht. Es bestehteindeutig ein Risiko, das ein Risiko-Management erfordert. In diesem Beispiel darf dieAusfallrate des gesamten Prozesses nicht das maximal tolerierbare Risiko für die Gefahrüberschreiten.
6.11.1. Beispiel
Frage: Angenommen, der Ausfall des Dampfkessels führt zur Überhitzung und zu einemBrand und in einem von 400 Ausfällen kommt es zu einem Todesfall. Es wird ebenfalls ange -nommen, dass die maximal tolerierbare Sterblichkeitsrate bei 10-5 pro Jahr (SterblichkeitDritter) liegt.
Wie hoch ist die maximal tolerierbare Ausfallrate des Dampfkessels?
TT
Temperatur- regler
DampfkesselProzess-einlass
Prozess-auslass
Leistungder Dampf-kessel-heizung
Heizung
Abbildung 27: Sicherheitsfunktionen in der Betriebsart mit kontinuierlicher Anforderung
PROZESS-SAFEBOOK 1
SIL-Bestimmung
63
Antwort: Da einer von 400 Ausfällen kleiner oder gleich dem maximal tolerierbaren Risikoentsprechen muss, gilt Folgendes:
10-5 pro Jahr ≥ λB x 1/400
Dabei ist λB die Ausfallrate des Dampfkessels.
Daher gilt:
λB = 400 x 10-5 pro Jahr= 4,0 x 10-3 pro Jahr, was SIL2 entspricht.
Dies ist ein Beispiel für ein SIS in der Betriebsart mit kontinuierlicher Anforderung, dasständig ein Risiko birgt, d. h. im Dauergebrauch ist. Der Dampfkessel darf 400 Mal häufigerausfallen als die maximal tolerierbare Ausfallrate, da nur 1 von 400 Ausfällen zu einemTodesfall führt.
In diesem Beispiel müssten Sie den Prozess, d. h. Dampfkessel, Heizelement und Temperatur -sensor, gemäß SIL2 entwerfen und bauen und die Ausfallrate müsste unter 4,0 x 10-3 pro Jahrliegen. Dies wäre ein anspruchsvolles Projekt, doch es gibt keine andere Lösung.
6.11.2. Beispiel
Angenommen, Sie haben den Dampfkesselprozess erstellt und seine Ausfallrate mit 5,0 x 10-2 pro Jahr errechnet, was weit über dem Ziel von 4,0 x 10-3 pro Jahr liegt.
Wenn dies der Fall ist und es in einem von 400 Fällen zu einem Todesfall kommt, wird dieHäufigkeit von Todesfällen wie folgt ermittelt:
= 5,0 x 10-2 pro Jahr x 1/400= 1,25 x 10-4 pro Jahr
Dies liegt über der maximal tolerierbaren Rate von 10-5 pro Jahr (Sterblichkeit Dritter).
Ein alternativer Ansatz könnte sein, die unbefriedigend hohe Ausfallrate des Dampfkesselszuzulassen und eine Sicherheitsfunktion in der Anforderungsbetriebsart zu entwickeln, mitder die Todesfallhäufigkeit auf ein maximal tolerierbares Maß verringert werden könnte(Abbildung 28).
64
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
In dieser Konfiguration wird ein zweiter unabhängiger Temperaturtransmitter installiert, derdie Auslasstemperatur misst und die Spannungsversorgung zum elektrischen Heizgerät übereine ESD-Logik unterbricht, wenn der Prozess ausfällt.
Es gilt Folgendes:
10-5 pro Jahr ≥ λB x PFDT
Dabei ist λB die Ausfallrate des Dampfkessels, 1,25 x 10-4 pro Jahr und PFDT die Wahrschein -lich keit eines gefahrbringenden Ausfalls bei Anforderung der unabhängigen Auslösung.
Daher gilt:
PFDT ≤ 10-5 pro Jahr/1,25 x 10-4 pro JahrPFDT ≤ 0,08
Dies entspricht einer SIL1-Sicherheitsfunktion in der Anforderungsbetriebsart.
Hinweis: Diese beiden Beispiele ermöglichen die Entwicklung des gesamten Dampfkessel -systems und der gesteuerten Einrichtungen im Rahmen von SIL2. Alternativ kann ein Ausfalldes Dampfkesselsystems zugelassen und das System durch eine zusätzliche SIL1-Sicherheits -funktion in der Anforderungsbetriebsart geschützt werden. Mit beiden Optionen wird dasZiel des maximal tolerierbaren Risikos erreicht, doch die Entwicklung eines kleinen SIL1-Systems in der Anforderungsbetriebsart ist kostspieliger als ein SIL2-Steuerungssystem fürden Dampfkessel.
TT TT
Temperatur- regler
DampfkesselProzess-einlass
Prozess-auslass
Temperatur- transmitter
Leistungder Dampf-kessel-heizung
Heizung
ESD-
Relais
Abbildung 28: Sicherheitsfunktionen in der Anforderungsbetriebsart
PROZESS-SAFEBOOK 1
Risikodiagramme
65
7. Risikodiagramme
7.1. Einführung
In den Abschnitten [6.10] und [6.11] ist ein Verfahren veranschaulicht, mit dem SIL-Bewertungen durch Berechnung bestimmt werden können. Risikodiagramme sind jedocheine hilfreiche Alternative, insbesondere dann, wenn zahlreiche Gefahren analysiert werdenmüssen. Die Methode der Risikodiagramme ist ein hilfreiches beschleunigtes Verfahren, dasangewandt wird, wenn zahlreiche Gefahren beurteilt werden müssen.
Vom Ausgangspunkt aus werden zunächst die Gefahrenkonsequenzen bestimmt: Ca, Cb, Ccoder Cd.
Anschließend muss die Häufigkeit oder die Aussetzung der Person, die von der Gefahr amehesten betroffen ist, bestimmt werden. Danach wird eine Entscheidung zwischen Fa(seltene Aussetzung) und Fb (häufige Aussetzung) getroffen. In der Regel kann, wenn sichdie Person mit dem höchsten Risiko nur zu maximal 10 % der Zeit innerhalb des Gefahren -bereichs aufhält, von einer seltenen Aussetzung ausgegangen werden. Anderenfalls wirdvon einer häufigen Aussetzung ausgegangen.
CaSchwere
Verletzung
Start
a
1
2
3
4
5
W3
--
a
1
2
3
4
W2
--
--
a
1
2
3
W1
CbSchwere Verletzung,einzelner Todesfall
CcMehrere
Todesfälle
CdZahlreicheTodesfälle
Fa SelteneAussetzung
Fb HäufigeAussetzung
Fb HäufigeAussetzung
Fa SelteneAussetzung
Fb HäufigeAussetzung
Fa SelteneAussetzung
Pb Wahrscheinlichnicht vermeidbar
Pa Wahrscheinlichvermeidbar
Pb Wahrscheinlichnicht vermeidbar
Pa Wahrscheinlichvermeidbar
Pb Wahrscheinlichnicht vermeidbar
Pa Wahrscheinlichvermeidbar
Pb Wahrscheinlichnicht vermeidbar
Pa Wahrscheinlichvermeidbar
Abbildung 29: Typische Risikodiagramme
66
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Wenn Sie weiter entlang des Risikodiagramms fortfahren und die dem Risiko ausgesetztePerson wahrscheinlich die Gefahr vermeiden kann, z. B. durch Flucht, durch Alarmierungoder durch eine andere Schutzfunktion, kann behauptet werden, dass sich die Gefahrvermeiden lässt. Wählen Sie die entsprechende Option im Risikodiagramm aus. Anderenfallsmuss davon ausgegangen werden, dass sich die Gefahr wahrscheinlich nicht vermeidenlässt, sodass Sie an einem Punkt in einer der Zeilen in den Spalten auf der rechten Seite desRisikodiagramms ankommen.
Schließlich müssen Sie die Wahrscheinlichkeit auswählen, mit der die Gefahr eintritt, z. B.indem Sie entweder Spalte W3 (relativ hohe Eintrittswahrscheinlichkeit), W2 (geringe Ein -trittswahrscheinlichkeit) oder W1 (äußerst geringe Eintrittswahrscheinlichkeit) auswählen.Am Schnittpunkt der ausgewählten Zeile und Spalte können Sie dann den erforderlichen SIL-Level ablesen.
7.2. Beispiel
Angenommen, ein Erdöllagertank könnte überfüllt werden, entzündliche Dämpfe freisetzenund zu mehreren Todesfällen am Standort führen. Die Häufigkeit der Fülloperationen wurdebeurteilt und es wurde entschieden, dass die Wahrscheinlichkeit des Eintritts der Gefahr demWert W1 (äußerst geringe Eintrittswahrscheinlichkeit) entspricht. Es gibt keine Möglichkeit,wie die Mitarbeiter der Anlage die Gefahr vermeiden könnten, falls sie eintritt. Die Mitarbeiterder Anlage sind jedoch nur selten zu Instandhaltungsarbeiten vor Ort, in der Regel wenigerals 1 Stunde lang pro Tag. Abbildung 30 zeigt, wie das Risikodiagramm verwendet werdenkann, um ein SIL1-Ziel zu erreichen.
PROZESS-SAFEBOOK 1
Risikodiagramme
67
In diesem Beispiel könnte die Sicherheitsfunktion eine Auslösung bei einem hohenPegelstand sein, die das Tankeinlassventil schließt. Dieses würde ein SIL1-Ziel aufweisen.
Allerdings kann das konventionelle Risikodiagramm subjektiv sein und das Problemder etwaigen Interpretation der Risikoparameter bergen. Dies kann zu inkonsistentenErgebnissen führen, die zu pessimistischen SIL-Bewertungen führen.
Im dargestellten Risikodiagramm sind einige SIL-Bewertungsfelder mit „a“ und „b“gekennzeichnet. Die Begriffe SILa und SILb werden manchmal in der Industrie verwendet,obwohl sie in der Norm nicht enthalten sind. SILa bedeutet in der Regel, dass eine gewisseRisikominderung bereitgestellt werden muss, doch dass der Risikominderungsfaktor nichtso hoch sein muss wie bei SIL1. In anderen Worten erfordert eine PFD zwischen 1 (keineRisikominderung) und 0,1 SIL1. Beachten Sie, dass einige Organisationen auf „SILa“ mit„(SIL1)“ verweisen.
SILb wird in einer Position über SIL4 abgebildet. Wenn eine SIL4-Anforderung vorliegt, wird in der Regel empfohlen, den Prozess zu überprüfen, da er zu gefährlich ist. Eine SILb-Anforderung ist sogar noch gefährlicher.
CaSchwere
Verletzung
Start
a
1
2
3
4
5
W3
--
a
1
2
3
4
W2
--
--
a
1
2
3
W1
CbSchwere Verletzung,einzelner Todesfall
CcMehrere
Todesfälle
CdZahlreicheTodesfälle
Fa SelteneAussetzung
Fb HäufigeAussetzung
Fb HäufigeAussetzung
Fa SelteneAussetzung
Fb HäufigeAussetzung
Fa SelteneAussetzung
Pb Wahrscheinlichnicht vermeidbar
Pa Wahrscheinlichvermeidbar
Pb Wahrscheinlichnicht vermeidbar
Pa Wahrscheinlichvermeidbar
Pb Wahrscheinlichnicht vermeidbar
Pa Wahrscheinlichvermeidbar
Pb Wahrscheinlichnicht vermeidbar
Pa Wahrscheinlichvermeidbar
Abbildung 30: Beispiel für die Verwendung eines Risikodiagramms
68
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
7.3. Beispiel
In Abbildung 31 ist ein Beispielrisikodiagramm abgebildet, dass den in der Prozessindustrieverwendeten Diagrammen ähnelt. Es veranschaulicht einige der möglichen Probleme, diedurch die Interpretation von Risikoparametern entstehen.
Das Verwendungsprinzip entspricht exakt dem für das Risikodiagramm in Abbildung 29.Allerdings ist in diesem Fall eine Anleitung zur Abschätzung der Anforderungsrateangegeben.
Wenn beispielsweise eine Gefahr zu mehreren Todesfällen führen könnte, bei einer seltenenAussetzung und einer Anforderungsrate von 0,05/Jahr, dann liegt die Anforderungsrateirgendwo zwischen den Kategorien „Niedrig“ und „Mittel“ und es muss eine Entscheidunggetroffen werden, welche Spalte verwendet wird. Bei einem konservativen Ansatz würde sichein SIL3-Ziel ergeben (Abbildung 32).
-- -- --
1 -- --
2 1 --
2 1 1
3 2 1
3 3 2
NR 3 3
NR NR NR
Schwere der Konsequenz
-- = Keine besonderen Sicherheitsmerkmale erforderlichNR = Nicht empfohlenHoch = 0,5–5 pro JahrMittel = 0,05–0,5 pro JahrNiedrig < 0,05 pro Jahr
Aussetzung der Mitarbeiter
Alternativen zur Gefahrenvermeidung
Leichte Verletzungen
Schwere Verletzungen oder einzelner Todesfall
Mehrere Todesfälle
Katastrophal
Niedrige Aussetzung
Niedrige Aussetzung
Hohe Aussetzung
Hohe Aussetzung
Mögliche Vermeidung
Vermeidung unwahrscheinlich
Mögliche Vermeidung
Vermeidungunwahrscheinlich
Anforderungsrate
Hoc
h
Mitt
el
Nie
drig
Anforderungskategorien
Abbildung 31: Risikodiagramm für die Prozessindustrie
PROZESS-SAFEBOOK 1
Risikodiagramme
69
Eine weniger vorsichtige Interpretation würde zu einem SIL2-Ziel führen.
7.4. Beispiel
Abbildung 33 zeigt ein Beispiel für eine typische Risikomatrix. Die Spalten P, A, E und Renthalten Beschreibungen möglicher Gefahrenkonsequenzen, die Häufigkeit des Eintretenswird in qualitativen Ausdrücken beschrieben und die Ziel-SILs werden dort bereitgestellt, wodie Zeilen und Spalten aufeinandertreffen.
-- -- --
1 -- --
2 1 --
2 1 1
3 2 1
3 3 2
NR 3 3
NR NR NR
Schwere der Konsequenz
Aussetzung der Mitarbeiter
Alternativen zur Gefahrenvermeidung
Leichte Verletzungen
Schwere Verletzungen oder einzelner Todesfall
Mehrere Todesfälle
Katastrophal
Niedrige Aussetzung
Niedrige Aussetzung
Hohe Aussetzung
Hohe Aussetzung
Mögliche Vermeidung
Vermeidung unwahrscheinlich
Mögliche Vermeidung
Vermeidung unwahrscheinlich
Anforderungsrate
Hoc
h
Mitt
el
Nie
drig
AnforderungskategorienAbbildung 32: Beispiel für die Verwendung eines Risikodiagramms
70
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Dies scheint ein geradliniger und nützlicher Ansatz zu sein, der jedoch möglicherweise zuProblemen führt, wenn nicht vorsichtig vorgegangen wird.
A: Die Häufigkeit des Eintritts muss in Übereinstimmung mit der Beschreibungquantifiziert werden und zudem zur richtigen SIL-Bewertung führen.
B: „Ist in der Branche noch nie vorgekommen“ kann geschätzt werden, wennangenommenerweise 5000 Anlagen über 20 Jahre lang in Betrieb waren. Dieswürde eine Häufigkeit von etwa <10-5/Jahr und nicht von <10-2/Jahr wie dargestelltergeben. Mit einem maximal tolerierbaren Risiko von <10-4/Jahr würde dies zukeiner SIL-Bewertung führen.
C: Die Häufigkeiten für das maximal tolerierbare Risiko müssen angemessen sein.Ein Wert von <10-3/Jahr für einen einzelnen Todesfall ist zu hoch und führt zuoptimistischen SIL-Bewertungen und zu einer unzureichenden Risikominderung.
D: Damit die Ziel-SILs nach Zeile und Spalte so ansteigen wie in Abbildung 33, müssteauch die Häufigkeit des Eintritts in der entsprechenden Größenordnung zwischenden einzelnen Spalten ansteigen.
PPersonen
ARessource
EUmwelt
EReputation
<0,01/Jahr <0,05/Jahr <0,25/Jahr >2/Jahr >2/Jahr
KeineVerletzung
KeinSchaden
KeineAuswirkung
KeineAuswirkung (SIL1)
UnwesentlicheVerletzung(<1/Jahr)
UnwesentlicherSchaden
(<10 000 US-$)
UnwesentlicheAuswirkung
UnwesentlicheBeeinflussung (SIL1) SIL1
LeichteVerletzung
(<1E-01/Jahr)
Geringer Schaden
(<100 000 US-$)
GeringeAuswirkung
Geringe Beeinflussung (SIL1) SIL1 SIL2
SchwereVerletzung
(<1E-02/Jahr)
Schwerer Schaden
(<500 000 US-$)
Lokale Auswirkung
BeträchtlicheBeeinflussung (SIL1) SIL1 SIL2 SIL3
EinzelnerTodesfall
(<1E-03/Jahr)
Schwerer Schaden
(<10 Mio US-$)
StarkeAuswirkung
NationaleAuswirkung (SIL1) SIL1 SIL2 SIL3 -/-
MehrereTodesfälle
(<1E-04/Jahr)
UmfangreicherSchaden
(>10 Mio. US-$)
MassiveAuswirkung
InternationaleAuswirkung SIL1 SIL2 SIL3 -/- -/-
A
A D
E
F
C
B
B C D E
In derIndustrienoch nie
vorge-kommen
In derIndustriebereitsvorge-
kommen
ImUnternehmen
bereitsvorge-
kommen
Geschiehtmehrmalspro Jahr
imUnternehmen
Geschiehtmehrmalspro Jahr
in derEinrichtung
Abbildung 33: Beispiel für die Verwendung einer Risikomatrix
PROZESS-SAFEBOOK 1
Risikodiagramme
71
E: Die SIL-Bewertung (SIL1) bedeutet, dass eine gewisse Risikominderungerforderlich ist, doch keine Folgeauswirkungen vorhanden sind. Es ist keinSchutz erforderlich, wenn kein gefährliches Ereignis vorliegt.
F: Schließlich muss für die kommerziellen Kategorien die Häufigkeit des Eintritts vonRessourcenschäden realistisch sein und mit den Kosten für die Implementierungder erforderlichen SIF übereinstimmen.
Die Risikomatrix muss daher kalibriert werden und es wird Folgendes vorgeschlagen(Abbildung 34).
7.5. Zusammenfassung
Risikodiagramme und Risikomatrizes können sehr hilfreich sein, insbesondere, wenn sie alsbeschleunigtes Verfahren im ersten Durchgang verwendet werden, um außer den höherenSIL-Levels (z. B. SIL2 und höher) alle Levels zu überprüfen. Durch eine sorgfältige Kalibrierungder verwendeten Verfahren sollten jedoch falsche Ergebnisse vermieden werden, dieaufgrund der hier dargestellten Fallen entstehen könnten.
PPersonen
ARessource
EUmwelt
RReputation
<1E-04/Jahr <1E-03/Jahr <1E-02/Jahr <0,1/Jahr >0,1/Jahr
KeineVerletzung
KeinSchaden
KeineAuswirkung
KeineAuswirkung
UnwesentlicheVerletzung(<0,1/Jahr)
Unwesentlicher Schaden
(<10 000 US-$)
UnwesentlicheAuswirkung
UnwesentlicheBeeinflussung (SIL1) SIL1
LeichteVerletzungen(<1E-02/Jahr)
Geringer Schaden
(<100 000 US-$)
GeringeAuswirkung
Geringe Beeinflussung (SIL1) SIL1 SIL2
SchwereVerletzung
(<1E-03/Jahr)
Schwerer Schaden
(<500 000 US-$)
Lokale Auswirkung
BeträchtlicheBeeinflussung (SIL1) SIL1 SIL2 SIL3
EinzelnerTodesfall
(<1E-04/Jahr)
Schwerer Schaden
(<10 Mio US-$)
StarkeAuswirkung
NationaleAuswirkung (SIL1) SIL1 SIL2 SIL3 -/-
MehrereTodesfälle
(<1E-05/Jahr)
UmfangreicherSchaden
(>10 Mio. US-$)
MassiveAuswirkung
InternationaleAuswirkung SIL1 SIL2 SIL3 -/- -/-
A B C D E
In derIndustrienoch nie
vorge-kommen
In derIndustriebereitsvorge-
kommen
ImUnternehmen
bereitsvorge-
kommen
Geschiehtmehrmalspro Jahr
imUnternehmen
Geschiehtmehrmalspro Jahr
in derEinrichtung
Abbildung 34: Kalibrierung der Risikomatrix
72
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
8. LOPA-Analyse
8.1. Einführung
Die Analyse der Schutzebenen (LOPA – Layer of Protection Analysis) ist eine strukturierteMöglichkeit zur Berechnung der Risikominderung (und der SIL-Bewertungen). LOPA wird ineinem ähnlichen Forum für eine HAZOP-Studie ausgeführt.
Mögliche Gefahren werden typischerweise mithilfe des HAZOP-Konzepts [3] ermittelt undin die LOPA-Arbeitsblätter importiert. Auf diese Weise bleibt eine verfolgbare Verbindungzwischen den beiden Analysen von der Gefahrenidentifikation bis hin zur Anforderung derRisikominderung und zur SIL-Bewertung erhalten. Die LOPA-Analyse kann als Ergänzungzum HAZOP-Meeting ausgeführt werden, da es sich dabei um eine natürliche Progressionhandelt.
8.2. Team der LOPA-Studie
Es ist wichtig, dass ein LOPA-Team aus Mitarbeitern besteht, die ein optimales Gleichgewichtaus Know-how und Erfahrung zum jeweiligen Anlagentyp in die Studie einbringen. Eintypisches LOPA-Team setzt sich wie folgt zusammen:
Name Rolle
Vorsitzender Erläutern des LOPA-Verfahrens, Leiten von Diskussionen undErleichtern der LOPA-Studie. Sollte Erfahrung mit LOPA-Studienhaben, doch nicht direkt an der Konstruktion beteiligt sein, umsicherzustellen, dass die Methode sorgfältig umgesetzt wird.
Sekretär Erfassen der Diskussion des LOPA-Meetings und Bereitstelleneiner Online-Analyse der SIL-Bewertungen. Protokollieren derEmpfehlungen oder Aktionen.
Prozessingenieur In der Regel der Ingenieur, der für das Prozessflussdiagramm und dieEntwicklung der Rohrleitungs- und Instrumentierungspläne (P&IDs)verantwortlich ist.
Anwender/Bediener Beratung hinsichtlich der Verwendung und Durchführbarkeit desProzesses und der Auswirkung von Abweichungen.
C&I-Spezialist Eine Person mit relevantem technischen Know-how zu Steuerungund Instrumentierung.
Instandhaltungs -mitarbeiter
Eine Person, die sich um die Verwaltung des Prozesses kümmert.
Ein Vertreter desKonstruktionsteams
Beratung hinsichtlich Konstruktionsdetails oder Bereitstellungweiterer Informationen.
PROZESS-SAFEBOOK 1
LOPA-Analyse
73
8.3. In der LOPA-Studie verwendete Informationen
Das LOPA-Team muss auf folgende Informationen zurückgreifen können:
• Rohrleitungs- und Instrumentierungspläne (P&IDs) für die Einrichtung• Verfahrensbeschreibung oder Dokumente zur Philosophie• Bestehende Betriebs- und Instandhaltungsverfahren• Layout-Zeichnungen der Anlage
8.4. Festlegen der SIL-Bewertungen
Die LOPA-Technik, wie im Dokument „AIChE Centre for Chemical Process Safety“ beschrieben,ist eine Analyse der Schutzebenen, 2001 [19.4], und kann zum Festlegen von SIL-Bewertun -gen verwendet werden.
LOPA betrifft Gefahren, die durch andere Mittel erkannt werden, z. B. HAZOP, doch kann LOPAim Rahmen eines HAZOP-Meetings ausgeführt werden, um alle Gefahren gleich nach ihrerErkennung bewerten zu können.
Das LOPA-Team prüft sorgfältig jede erkannte Gefahr und dokumentiert die auslösendenUrsachen sowie die Schutzebenen, mit denen die Gefahr verhindert oder verringert werdenkann. Die gesamte Risikominderung wird anschließend bestimmt und der Bedarf einerweiteren Risikominderung analysiert. Wenn zusätzlicher Schutz in Form eines SIS bereitge -stellt werden muss, würde diese Methode die Bestimmung des erforderlichen SIL-Levels undder erforderlichen PFD ermöglichen.
Der LOPA-Prozess wird auf LOPA-Arbeitsblättern aufgezeichnet, die eine Quantifizierung derauslösenden Ereignisse und deren Häufigkeit zusammen mit der Risikominderung erlauben,die von den zu erreichenden unabhängigen Schutzebenen bereitgestellt werden. DieÜberschriften auf dem Arbeitsblatt werden in den folgenden Abschnitten beschrieben.Außerdem ist ein Beispiel für eine LOPA-Analyse angegeben [8.5].
8.5. Beispiel-LOPA
Verwenden Sie das Beispiel mit dem Druckbehälter [3.7] und übertragen Sie die erkanntenGefahren in das LOPA-Arbeitsblatt, um die Risiken zu analysieren.
8.6. LOPA-Arbeitsblätter
8.6.1. Einführung
In den folgenden Abschnitten sind die Überschriften des Arbeitsblatts beschrieben und Sieerhalten zudem eine Anleitung für die Quantifizierung.
74
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Außerdem enthält dieses Kapitel ein Beispiel für ein LOPA-Arbeitsblatt.
8.6.2. Gefahren-ID/Ref
Stellt für jede Gefahr eine ID zur Verfügung. In diesem Beispiel bezieht sich die Gefahr, die fürdie Analyse berücksichtigt wird, auf Ref. 1.10: Hoher Druck im Behälter. Diese Referenzermöglicht die Rückwärtsverfolgbarkeit mit anderen Studien, in diesem Fall mit der HAZOP-Studie. Mit der Weiterentwicklung des Projekts wird auch die Vorwärtsverfolgbarkeit mit SIF-Zuordnung und SIL-Verifizierung ermöglicht.
8.6.3. Ereignisbeschreibung (Gefahr)
Stellt eine Beschreibung der möglichen erkannten Gefahr zur Verfügung.
8.6.4. Konsequenz
Beschreibt die Konsequenz der Gefahr. In der Beispiel-LOPA wurden die Konsequenzen derGefahr hinsichtlich der Mitarbeitersicherheit, den Umweltrisiken und den Risiken für dieRessourcen (also kommerzielle Risiken) analysiert.
8.6.5. Schwerekategorie (Schw.kat.)
Die Schwere der dokumentierten Konsequenzen kann kategorisiert und aus einer Tabelle fürdie Risikoklassifizierung abgeleitet werden (z. B. Tabelle 5).
8.6.6. Maximal tolerierbares Risiko (MTR)
Die maximal tolerierbare Häufigkeit der Gefahrenkonsequenz, wie sie auf die Mitarbeiter -sicherheit, doch typischerweise auch auf die Umwelt, den Ruf der Organisation und aufmögliche Umweltschäden, auf den Ruf des Unternehmens sowie die kommerziellen Kostenangewandt wird, die aus Schäden an Ressourcen, entgangenem Gewinn oder den Verlustder sicheren Versorgung entstehen. Die maximal tolerierbare Häufigkeit muss mit der HSE-Anleitung (also R2P2 [19.3]) übereinstimmen, um die Sicherheit zu gewährleisten.
Allerdings sollte die maximal tolerierbare Häufigkeit für Umwelt-, Reputations- undkommerzielle Risiken allein der Entscheidung eines Unternehmens unterliegen. Tabelle 5enthält typische Werte, die verwendet werden könnten.
PROZESS-SAFEBOOK 1
LOPA-Analyse
75Tabelle 5: Risikokriterien
Konsequenz Schw.kat.
Zielhäufig -keit für dasRisiko (/Jahr)
Beschreibung der Konsequenzen
Am Standort Außerhalb des Standorts
Personen(Sicherheit)
P1 1,0E-01 Medizinische Behandlung von Mitarbeiternoder Verletzungen, die eingeschränkteArbeitsfähigkeit zur Folge haben
Medizinische Behandlung oder Verletzungen,die eingeschränkte Arbeitsfähigkeit zur Folgehaben (Dritte)
P2 1,0E-02 Unfall mit Mitarbeiterausfallzeit (LTA – Lost TimeAccident) ohne dauerhafte Auswirkungen
LTA (Dritte) ohne dauerhafte Auswirkungen
P3 1,0E-03 Dauerhafte Auswirkung auf Mitarbeiter Keine dauerhafte Auswirkungen
P4 1,0E-04 1 toter Mitarbeiter und/oder mehreredauerhaft behinderte Mitarbeiter
Dauerhafte Auswirkungen (Dritte)
P5 1,0E-05 Mehrere tote Mitarbeiter (2–10) Ein toter Dritter und/oder viele dauerhaftbehinderte Dritte
P6 1,0E-06 Zahlreiche tote Mitarbeiter (mehr als 10) Mehrere tote Dritte
Umwelt E1 1,0E-01 Keine Meldung an Behörden, doch Reinigungerforderlich
Keine Meldung an Behörden, doch geringfügigeReinigung erforderlich. (Z. B. Auslaufen von1–100 Liter mit implementiertem Kit)
E2 1,0E-02 Meldung an Behörde, doch keineKonsequenzen für die Umwelt
Meldung an Behörde, doch keine Konsequen -zen für die Umwelt. (Z. B. Auslaufen von>100 Litern in eingedämmte Bereiche/Abfang -vor rich tungen beim Kunden)
E3 1,0E-03 Mittlere Verschmutzung innerhalb derStandortgrenzen
Mittlere Verschmutzung, die eine Beseitigungerfordern (z. B. Abluftfahne entweicht vomStandort, der Standort bleibt jedochbetriebsbereit)
E4 1,0E-04 Signifikante Verschmutzung innerhalb derStandortgrenzen. Evakuierung von Personen/temp. Standortschließung ODER signifikanteVerschmutzung außerhalb des Standorts.Evakuierung von Personen. (Z. B. Auslaufenaußerhalb des Standorts an einer Tankstelle)
Signifikante Verschmutzung außerhalb desStandorts. Evakuierung von Personen. (Z. B.Auslaufen außerhalb des Standorts an einerTankstelle)
E5 1,0E-05 Siehe die Konsequenzen außerhalb desStandorts
Schwerwiegende Verschmutzung mit reparab -len Umweltschäden außerhalb des Standorts.(Z. B. schwerwiegender Schaden für die Umwelt)
E6 1,0E-06 Siehe die Konsequenzen außerhalb desStandorts
Schwerwiegende und anhaltende Verschmut -zung außerhalb des Standorts und/oder über -mäßiges Sterben von Wassertieren und -pflanzen (z. B. Verlust einer Schiffsfracht)
Kosten C1 1,0E-01 <€ 10 000 Verlust -/-
C2 1,0E-02 € 10 000 < € 100 000 Verlust -/-
C3 1,0E-03 € 100 000 < € 1,0 Mio. Verlust -/-
C4 1,0E-04 € 1,0 Mio. < € 10 Mio. Verlust -/-
C5 1,0E-05 € 10 Mio. < € 100 Mio. Verlust -/-
C6 1,0E-06 ≥€ 100 Mio. Verlust -/-
Reputation R1 1,0E-01 Keine Öffentlichkeit. Nur lokale Betroffene. -/-
R2 1,0E-02 Lokale Presse -/-
R3 1,0E-03 Nationale Presse -/-
R4 1,0E-04 Nationales Fernsehen -/-
R5 1,0E-05 Internationale Presse -/-
R6 1,0E-06 Internationales Fernsehen -/-
76
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Beachten Sie, dass bei Anwendung auf die Sicherheit von Personen dies die Häufigkeit ist,mit der die Einzelperson mit dem größten Risiko der Gefahr ausgesetzt ist.
8.6.7. Auslösende Ursache
Führt die erkannten Ursachen der Gefahr auf. Diese Ursachen werden während des LOPA-Meetings anhand der Erfahrung der Teilnehmer bestimmt. Für die Beispielgefahr (Überdruck)sind die möglichen auslösenden Ursachen, ihre Eintrittshäufigkeit und die Datenquelle inTabelle 6 angeführt. Die LOPA-Analyse sollte auf diese Weise alle Daten übersichtlich dar -stellen und alle auslösenden Ereignisse und deren Häufigkeit mit Bezug auf die Datenquellenangeben.
Tabelle 6: Auslösende Ereignisse und Häufigkeiten
8.6.8. Häufigkeit der Auslösung (/Jahr), Spalte [a]
Quantifiziert die erwartete Eintrittshäufigkeit der auslösenden Ursache. Diese Häufigkeitkann basierend auf der Erfahrung der Teilnehmer und auf möglicherweise verfügbarenhistorischen Daten geschätzt werden. Alternativ kann diese Häufigkeit aus geeignetenQuellen zur Ausfallrate abgeleitet werden [14.6].
Die auslösenden Ereignisse und ihre Eintrittshäufigkeit für das Beispiel sind in Tabelle 6aufgelistet.
Auslösende Ursache Wahrscheinlich -keit der Auslö -sung (pa)
Datenquelle
Druckregelung durch DCS schlägt fehl. 1,65E-02 Exida 2007, Artikel x.x.x
Flüssigkeitspegel LL101 falsch und Anzeige einesniedrigen Pegels.
1,10E-02 Exida 2007, Artikel x.x.x
TT100 fällt aus und zeigt eine niedrige Temperatur an. 2,68E-03 Exida 2007, Artikel x.x.x
PT102 fällt aus und zeigt einen niedrigen Druck an. 8,58E-04 Exida 2007, Artikel x.x.x
Gasausleitung FCV102 fällt im geschlossenenZustand aus.
1,01E-02 Oreda 2002, Artikel x.x.x
Heizgas FCV100 fällt im offenen Zustand aus. 1,01E-02 Oreda 2002, Artikel x.x.x
Flüssigkeitsausleitung XV102 fällt im geschlossenenZustand aus.
2,89E-03 Oreda 2002, Artikel x.x.x
Flüssigkeitseinleitung XV102 fällt im geöffnetenZustand aus.
2,89E-03 Oreda 2002, Artikel x.x.x
PROZESS-SAFEBOOK 1
LOPA-Analyse
77
Wenn die Eintrittswahrscheinlichkeit der Auslösung auf menschlichen Faktoren wieBedienerfehlern basiert, kann die Schätzung durchaus eine Herausforderung sein. Bei einerTechnik basiert die Schätzung auf der Häufigkeit der Möglichkeiten, die ein Bediener hat, umeinen Fehler zu begehen. Zu diesem Wert kommt noch der Faktor der Wahrscheinlichkeithinzu, dass der Bediener einen gefährlichen Fehler macht.
Angenommen, ein Bediener kann einen Überdruck in einer Leitung auslösen, indem erein Ventil schließt. Normalerweise öffnet der Bediener ein Überströmventil, bevor er dasHauptventil schließt – und zwar jeden Monat. Die grundlegende Häufigkeit λB für dieseAktivität liegt daher bei 12 pro Jahr (einmal pro Monat).
Es wird davon ausgegangen, dass der Bediener gut geschult ist, die Aufgabe zur Routinegehört und er nicht unter Stress steht. Also wird die Wahrscheinlichkeit, dass er einen Fehlermacht, mit PE angegeben, d. h. er versäumt es mit einer Wahrscheinlichkeit von 1 %, dass erdas Überströmventil zuerst öffnet. Die Häufigkeit des auslösenden Ereignisses, λINIT, kann wiefolgt geschätzt werden:
λINIT = λB x PE
λINIT = 12 x 1 %/JahrλINIT = 0,12/Jahr
Üblicherweise kann eine Empfindlichkeitsprüfung für diese Daten vorgenommen werden,indem die LOPA-Teilnehmer gefragt werden, ob bei ihnen schon einmal ein solches Ereignisaufgetreten ist oder ob sie die Häufigkeit als angemessen betrachten. Eine Häufigkeit von0,12/Jahr entspricht einem Fehler alle 8 Jahre.
8.6.9. Bedingte Änderungsfaktoren
Verteilung der Leckgröße, Spalte [b]
Im vorliegenden Beispiel treten die vorausgesetzten Konsequenzen der Überdruckgefahr nurauf, wenn die Druckbedingung zum Bersten des Behälters führt. Es könnte beispielsweise soargumentiert werden, dass die meisten Überdruckbedingungen nicht zu einem Austretenvon Flüssigkeiten oder Gasen führen oder zu einem kleinen Leck an einem Flansch. In demBeispiel hat das LOPA-Team geschätzt, dass 10 % der auslösenden Ereignisse zuKonsequenzen führen.
Wahrscheinlichkeit einer Entzündung, Spalte [c]
Für die anzunehmenden Sicherheits- und kommerziellen Konsequenzen muss sich dasfreigesetzte Gas entzünden. In diesem Beispiel wurde auf eine Brandschutzstudie verwiesen,die eine 75%-ige Entzündungswahrscheinlichkeit vorhergesagt hat, sofern ein Szenario miteinem großen Bruch vorliegt. Daher können für die Sicherheitskonsequenzen 0,75 als
78
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
bedingter Änderungsfaktor angegeben werden und die Häufigkeit des auslösendenEreignisses wird um diesen Faktor verringert.
Für die umwelttechnischen Konsequenzen kann keine Risikominderung angegeben werden,da diese Konsequenzen nicht durch die Entzündung bedingt sind.
Mehrzweckkonstruktion, Spalte [d]
Ein Beispiel für eine Mehrzweckkonstruktion wäre eine ummantelte Leitung, die einengewissen Schutz vor dem Austreten von Flüssigkeit/Gas bietet. In dem Beispiel wurde dieMehrzweckkonstruktion nicht berücksichtigt, da keine speziellen Konstruktionsmerkmalevorhanden sind, die zu einer Risikominderung führen.
8.6.10. Unabhängige Schutzebenen (IPLs – Independent Protection Layers)
Jede Schutzebene besteht aus einer Gruppierung von Einrichtungen und/oderadministrativen Steuerungen, die zusammen mit den anderen Ebenen funktionieren.
Die von jeder IPL bereitgestellte Schutzebene wird zum einen durch die Wahrscheinlichkeitquantifiziert, dass die angegebene Funktion auf Anforderung nicht ausgeführt werden kann,zum anderen aber auch durch ihre PFD, eine dimensionslose Zahl zwischen 0 und 1. Jekleiner der Wert der PFD, desto größer der Faktor für die Risikominderung, der als Ände -rungs faktor auf die berechnete Eintrittswahrscheinlichkeit der Auslösung angewandt wird[8.6.8]. Daher wird auf dem LOPA-Arbeitsblatt, sofern keine IPL angegeben ist, die Zahl 1eingefügt.
In dem Beispiel können die in den Spalten [e] bis [h] angegebenen IPLs an die jeweiligeAnwendung angepasst werden. Es wurden typische IPLs angegeben.
Betriebs- und Überwachungseinrichtung (BPCS – Basic Process Control System), Spalte [e].
Es kann positiv angerechnet werden, wenn ein Regelkreis im BPCS (DCS) verhindert, dassdie Gefahr als Folge einer möglichen auslösenden Ursache eintritt. In dem Beispiel kann dasBPCS (DCS) bei einigen auslösenden Ursachen, z. B. wenn das FlüssigkeitseinleitungsventilXV102 im geöffneten Zustand ausfällt, diese ausgleichen, indem es das Flüssigkeitsauslei -tungs ventil öffnet und so einen hohen Pegel verhindert. Es wurde eine PFD von 0,1 angege -ben. Dies bedeutet, dass das DCS das Eintreten der Konsequenzen bei neun von zehnEreignissen verhindert.
Eine PFD von 0,1 ist in der Regel, die maximale Risikominderung, die für ein nicht für SILausgelegtes System angegeben werden kann. Dies liegt daran, dass sich das DCS manuellanpassen lässt. Aus diesem Grund sind die Einstellungen für den Auslösungspunkt und dieTestanordnung weniger streng als für ein SIS.
PROZESS-SAFEBOOK 1
LOPA-Analyse
79
Unabhängige Alarme, Spalte [f ].
Positiv bewertet werden können vom BPCS unabhängige Alarme, die den Bediener warnenund die Bedieneraktion nutzen. Die positive Bewertung kann nur erfolgen, wenn der Alarmtatsächlich vom BPCS und von der SIF unabhängig ist und wenn der Bediener innerhalb dersicheren Prozesszeit auf den Alarm reagieren und Maßnahmen ergreifen kann, die denProzess sicher machen.
Typischerweise kann für unabhängige Alarme eine PFD von 0,1 angegeben werden. Indiesem Beispiel wurde keine positive Bewertung angegeben.
8.6.11. Zusätzliche Minderung
Nutzung, Spalte [g].
Zugriff – Minderungsebenen können die Nutzung umfassen, also den Teil der Zeit, währendder ein Bediener einer Gefahr ausgesetzt ist, und den eingeschränkten Zugang zu Gefahren -bereichen. In diesem Beispiel wurde eine Nutzung für eine 8-Stunden-Schicht angegeben.
Sonstige Minderung: Spalte [h].
Weitere Minderungen können in der folgenden Form verfügbar sein:
• Physikalisch – Minderungsebenen können physikalische Hindernisse sein, dievor der Gefahr schützen, sobald sie ausgelöst wurde. Beispiele hierfür wärenDruckmindergeräte und Dämme.
• Bedieneraktion – Positiv bewertet werden kann die Erkennung und Untersuchungin regelmäßigen Intervallen, sofern der Bediener die entsprechende Maßnahmeergreifen kann.
In diesem Beispiel wurde keine positive Bewertung angegeben.
8.6.12. Mittlere Häufigkeit eines Ereignisses
Die mittlere Häufigkeit eines Ereignisses wird durch Multiplikation der Häufigkeit der Aus -lösung mit den PFDs der Schutzebenen berechnet. Die berechnete Zahl wird in Ereignisein -heiten pro Jahr angegeben. Die gesamte mittlere Häufigkeit gibt die Anforderungsrate füreine beliebige vorgeschlagene SIF an.
8.6.13. Für SIS erforderliche PFD
Wird durch Vergleichen des maximal tolerierbaren Risikos, λMTR, mit der mittleren Häufigkeitdes Ereignisses oder der Gefahrenhäufigkeit, λHAZ, berechnet.
PFD = λMTR/λHAZ
80
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
8.6.14. Für SIS erforderliche SIL
Wird aus Tabelle 7 abgerufen, die der für das SIS erforderlichen PFD entspricht.
Tabelle 7: Von SIL angegebene PFD und Ausfallraten
Es muss beachtet werden, dass die PFD und Ausfallrate für jeden SIL-Level von derBetriebsart abhängt, in der ein SIS verwendet werden soll (abhängig davon, wie oft sieangefordert wurde [8.6.12]).
Im Folgenden sind die LOPA-Arbeitsblätter aufgelistet.
SIL-Level Wahrscheinlichkeit einesgefahrbringenden Ausfallsbei Anforderung
Betriebsart mit konti -nuierlicher AnforderungAusfallrate pro Stunde
SIL4 ≥10-5 bis <10-4 ≥10-9 bis <10-8
SIL3 ≥10-4 bis <10-3 ≥10-8 bis <10-7
SIL2 ≥10-3 bis <10-2 ≥10-7 bis <10-6
SIL1 ≥10-2 bis <10-1 ≥10-6 bis <10-5
PROZESS-SAFEBOOK 1
LOPA-Analyse
81
BPCS
[DCS
]U
nabh
ängi
ge
Ala
rme
Zusä
tzlic
he
Min
deru
ng:
Nut
zung
(B
eset
zung
s-
zahl
en)
Zusä
tzlic
he
Min
deru
ng z
. B.
Bran
dsch
utz-
mau
ern/
betr
iebl
ich
Verf
ahre
n/A
blas
sven
tile
Mitt
lere
Li
kelih
ood
eine
s Er
eign
isse
s (p
ro Ja
hr)
Lt. S
RS
erfo
rder
-lic
he P
FD
Lt. S
RS
erfo
rder
-lic
her S
IL
Kom
men
tare
/Ann
ahm
en
[a]
[b]
[c]
[d]
[e]
[f][g
][h
]
Dru
ckre
gelu
ng d
urch
D
CS s
chlä
gt fe
hl.
1,65
E-02
0,10
0,75
0,33
4,13
E-04
[a] S
iehe
Dat
en z
um
einl
eite
nden
Ere
igni
s.[b
] LO
PA-T
eam
sch
ätzt
di
e W
ahrs
chei
nlic
hkei
t ein
es
groß
en L
ecks
(Ber
sten
) auf
10
%.
[c] B
rand
risik
ostu
die
schä
tzt
die
Wah
rsch
einl
ichk
eit d
er
Entz
ündu
ng a
uf 7
5 %
.[d
] Kei
ne p
ositi
ve B
ewer
tung
de
r Kon
stru
ktio
nsm
erkm
ale.
[e] D
CS is
t die
ein
leite
nde
Urs
ache
, dah
er k
eine
pos
itive
Be
wer
tung
des
DCS
.[f]
Kei
ne u
nabh
ängi
gen
Ala
rme
verf
ügba
r. Ke
ine
posi
tive
Bew
ertu
ng b
eans
pruc
ht.
[g] B
erei
ch u
m B
ehäl
ter i
st
8 St
d. p
ro T
ag b
eset
zt.
[h] K
eine
Dru
ckab
lass
vent
ile.
Kein
e po
sitiv
e Be
wer
tung
be
ansp
ruch
t.
PT10
2 fä
llt a
us u
nd z
eigt
ei
nen
nied
rigen
Dru
ck a
n8,
58E-
040,
100,
750,
332,
15E-
05W
ie o
ben.
Flüs
sigk
eits
einl
eitu
ng
XV10
2 fä
llt im
geö
ffnet
en
Zust
and
aus.
2,89
E-03
0,10
0,75
0,10
0,33
7,23
E-06
Wie
obe
n m
it fo
lgen
den
Aus
nahm
en:
[e] D
CS k
ann
Aus
fälle
des
Ei
nlas
sven
tils
kom
pens
iere
n.G
esch
ätzt
e PF
D =
0,1
.
Gas
ausl
eitu
ng F
CV10
2 fä
llt im
ges
chlo
ssen
en
Zust
and
aus.
1,01
E-02
0,10
0,75
0,10
0,33
2,52
E-05
Wie
obe
n.
Flüs
sigk
eits
ausl
eitu
ng
XV10
2 fä
llt im
ge
schl
osse
nen
Zust
and
aus.
2,89
E-03
0,10
0,75
0,10
0,33
7,23
E-06
Wie
obe
n.
TT10
0 fä
llt a
us u
nd z
eigt
ei
ne n
iedr
ige
Tem
pera
tur
an2,
68E-
030,
100,
750,
100,
336,
70E-
06W
ie o
ben.
Hei
zgas
FCV
100
fällt
im
geöff
nete
n Zu
stan
d au
s.1,
01E-
020,
100,
750,
100,
332,
52E-
05W
ie o
ben.
Flüs
sigk
eits
pege
l LL1
01
fällt
aus
und
gib
t ein
en
nied
rigen
Peg
el a
n.1,
10E-
020,
100,
750,
100,
332,
74E-
05W
ie o
ben.
5,34
E-04
P51,
00E-
051,
87E-
02
Kons
eque
nz
1.10
Behä
lter
Hoh
er D
ruck
fü
hrt z
um B
erst
en
des
Behä
lters
un
d zu
r Fr
eise
tzun
g vo
n G
as.
Sich
erhe
it:Fr
eige
setz
tes
Gas
ent
zünd
et
sich
am
Br
enne
r und
an
hei
ßen
Obe
rfläc
hen.
Mög
liche
r-w
eise
zw
ei
Tode
sfäl
le
beim
Inst
and-
haltu
ngs-
pers
onal
.
SIL1
Max
. to
lerie
r-ba
res
Risi
ko
(pro
Jahr
)
Aus
löse
rLi
kelih
ood
der
Aus
lösu
ng
(pro
Jahr
)
Vert
eilu
ng
der
Leck
größ
e
Wah
r-sc
hein
lich-
keit
der
Entz
ün-
dung
Meh
r-
zwec
k-
kons
truk
-tio
n (K
onst
ruk-
tions
ein-
stuf
ung)
Una
bhän
gige
Sch
utze
bene
nID
/Ref
.Zo
nen-
be
schr
ei-
bung
Erei
gnis
- be
schr
eibu
ng
(Gef
ahr)
Schw
ere-
kate
gorie
82
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
BPCS
[DCS
]U
nabh
ängi
ge
Ala
rme
Zusä
tzlic
he
Min
deru
ng:
Nut
zung
(B
eset
zung
s-
zahl
en)
Zusä
tzlic
he
Min
deru
ng z
. B.
Bran
dsch
utz-
mau
ern/
betr
iebl
ich
Verf
ahre
n/A
blas
sven
tile
Mitt
lere
Li
kelih
ood
eine
s Er
eign
isse
s (p
ro Ja
hr)
Lt. S
RS
erfo
rder
-lic
he P
FD
Lt. S
RS
erfo
rder
-lic
her S
IL
Kom
men
tare
/Ann
ahm
en
[a]
[b]
[c]
[d]
[e]
[f][g
][h
]
Dru
ckre
gelu
ng d
urch
D
CS s
chlä
gt fe
hl.
1,65
E-02
0,10
1,65
E-03
[a] S
iehe
Dat
en z
um e
inle
itend
en
Erei
gnis
.[b
] LO
PA-T
eam
sch
ätzt
die
W
ahrs
chei
nlic
hkei
t ein
es g
roße
n Le
cks
(Ber
sten
) auf
10
%.
[c] E
ntzü
ndun
g ni
cht e
rfor
derli
ch
Kein
e Be
ansp
ruch
ung
der
Risi
kom
inde
rung
[d
] Kei
ne B
eans
pruc
hung
der
Ko
nstr
uktio
nsm
erkm
ale.
[e] D
CS is
t die
ein
leite
nde
Urs
ache
, dah
er k
eine
pos
itive
Be
wer
tung
des
DCS
.[f]
Kei
ne u
nabh
ängi
gen
Ala
rme
verf
ügba
r. Ke
ine
posi
tive
Bew
er-
tung
bea
nspr
ucht
.[g
] Vom
Ris
iko
betr
offen
e U
mge
bung
24
Std.
/Tag
. Kei
ne
Bean
spru
chun
g de
r Ris
ikom
inde
-ru
ng. 8
Std
. pro
Tag
.[h
] Kei
ne D
ruck
abla
ssve
ntile
. Ke
ine
posi
tive
Bew
ertu
ng
bean
spru
cht.
PT10
2 fä
llt a
us u
nd z
eigt
ei
nen
nied
rigen
Dru
ck a
n8,
58E-
040,
108,
58E-
05W
ie o
ben.
Flüs
sigk
eits
einl
eitu
ng
XV10
2 fä
llt im
geö
ffnet
en
Zust
and
aus.
2,89
E-03
0,10
0,10
2,89
E-05
Wie
obe
n m
it fo
lgen
den
Aus
nahm
en:
[e] D
CS k
ann
Aus
fälle
des
Ei
nlas
sven
tils
kom
pens
iere
n.G
esch
ätzt
e PF
D =
0,1
.
Gas
ausl
eitu
ng F
CV10
2 fä
llt im
ges
chlo
ssen
en
Zust
and
aus.
1,01
E-02
0,10
0,10
1,01
E-04
Wie
obe
n.
Flüs
sigk
eits
ausl
eitu
ng
XV10
2 fä
llt im
ges
chlo
s-se
nen
Zust
and
aus.
2,89
E-03
0,10
0,10
2,89
E-05
Wie
obe
n.
TT10
0 fä
llt a
us u
nd z
eigt
ei
ne n
iedr
ige
Tem
pera
tur
an
2,68
E-03
0,10
0,10
2,68
E-05
Wie
obe
n.
Hei
zgas
FCV
100
fällt
im
geöff
nete
n Zu
stan
d au
s.1,
01E-
020,
100,
101,
01E-
04W
ie o
ben.
Flüs
sigk
eits
pege
l LL1
01
fällt
aus
und
gib
t ein
en
nied
rigen
Peg
el a
n.1,
10E-
020,
100,
101,
10E-
04W
ie o
ben.
2,14
E-03
E21,
00E-
02Ke
ine
Kons
eque
nz
1.10
Behä
lter
Hoh
er D
ruck
fü
hrt z
um
Bers
ten
des
Behä
lters
und
zu
r Fre
iset
zung
vo
n G
as.
Um
wel
t:Be
rste
n de
s Be
hälte
rs,
Gas
frei
setz
ung,
ke
ine
Entz
ün-
dung
.Fr
eise
tzun
g am
St
ando
rt.
Rein
igun
g un
d M
eldu
ng a
n Be
hörd
e er
ford
erlic
h,
doch
kei
ne
Kons
eque
nzen
fü
r die
Um
wel
t.
Kein
e
Max
. to
lerie
r-ba
res
Risi
ko
(pro
Jahr
)
Aus
löse
rLi
kelih
ood
der
Aus
lösu
ng
(pro
Jahr
)
Vert
eilu
ng
der
Leck
größ
e
Wah
r-sc
hein
lich-
keit
der
Entz
ün-
dung
Meh
r-zw
eck
Kons
truk
-tio
n (K
onst
ruk-
tions
ein-
stuf
ung)
Una
bhän
gige
Sch
utze
bene
nID
/Ref
.Zo
nen-
be
schr
ei-
bung
Erei
gnis
- be
schr
eibu
ng
(Gef
ahr)
Schw
ere-
kate
gorie
PROZESS-SAFEBOOK 1
LOPA-Analyse
83
BPCS
[DCS
]U
nabh
ängi
ge
Ala
rme
Zusä
tzlic
he
Min
deru
ng:
Nut
zung
(B
eset
zung
s-
zahl
en)
Zusä
tzlic
he
Min
deru
ng z
. B.
Bran
dsch
utz-
mau
ern/
betr
iebl
ich
Verf
ahre
n/A
blas
sven
tile
Mitt
lere
Li
kelih
ood
eine
s Er
eign
isse
s (p
ro Ja
hr)
Lt. S
RS
erfo
rder
-lic
he P
FD
Lt. S
RS
erfo
rder
-lic
her S
IL
Kom
men
tare
/Ann
ahm
en
[a]
[b]
[c]
[d]
[e]
[f][g
][h
]
Dru
ckre
gelu
ng d
urch
D
CS s
chlä
gt fe
hl.
1,65
E-02
0,10
0,75
1,24
E-03
[a] S
iehe
Dat
en z
um e
inle
itend
en
Erei
gnis
.[b
] LO
PA-T
eam
sch
ätzt
die
W
ahrs
chei
nlic
hkei
t ein
es g
roße
n Le
cks
(Ber
sten
) auf
10
%.
[c] B
rand
risik
ostu
die
schä
tzt d
ie
Wah
rsch
einl
ichk
eit d
er
Entz
ündu
ng a
uf 7
5 %
.[d
] Kei
ne p
ositi
ve B
ewer
tung
de
r Kon
stru
ktio
nsm
erkm
ale.
[e] D
CS is
t die
ein
leite
nde
Urs
ache
, dah
er k
eine
pos
itive
Be
wer
tung
des
DCS
.[f]
Kei
ne u
nabh
ängi
gen
Ala
rme
verf
ügba
r. Ke
ine
posi
tive
Bew
ertu
ng b
eans
pruc
ht.
[g] B
erei
ch u
m B
ehäl
ter i
st 8
Std
. pr
o Ta
g be
setz
t.[h
] Kei
ne D
ruck
abla
ssve
ntile
. Ke
ine
posi
tive
Bew
ertu
ng
bean
spru
cht.
PT10
2 fä
llt a
us u
nd z
eigt
ei
nen
nied
rigen
Dru
ck a
n8,
58E-
040,
100,
756,
44E-
05W
ie o
ben.
Flüs
sigk
eits
einl
eitu
ng
XV10
2 fä
llt im
geö
ffnet
en
Zust
and
aus.
2,89
E-03
0,10
0,75
0,10
2,17
E-05
Wie
obe
n m
it fo
lgen
den
Aus
nahm
en:
[e] D
CS k
ann
Aus
fälle
des
Ei
nlas
sven
tils
kom
pens
iere
n.G
esch
ätzt
e PF
D =
0,1
.
Gas
ausl
eitu
ng F
CV10
2 fä
llt im
ges
chlo
ssen
en
Zust
and
aus.
1,01
E-02
0,10
0,75
0,10
7,56
E-05
Wie
obe
n.
Flüs
sigk
eits
ausl
eitu
ng
XV10
2 fä
llt im
ge
schl
osse
nen
Zust
and
aus.
2,89
E-03
0,10
0,75
0,10
2,17
E-05
Wie
obe
n.
TT10
0 fä
llt a
us u
nd z
eigt
eine
nie
drig
e Te
mpe
ratu
r an
2,68
E-03
0,10
0,75
0,10
2,01
E-05
Wie
obe
n.
Hei
zgas
FCV
100
fällt
im
geöff
nete
n Zu
stan
d au
s.1,
01E-
020,
100,
750,
107,
56E-
05W
ie o
ben.
Flüs
sigk
eits
pege
l LL1
01
fällt
aus
und
gib
t ein
en
nied
rigen
Peg
el a
n.1,
10E-
020,
100,
750,
108,
21E-
05W
ie o
ben.
1,60
E-03
C51,
00E-
056,
24E-
03
Kons
eque
nz
1.10
Behä
lter
Hoh
er D
ruck
fü
hrt z
um
Bers
ten
des
Behä
lters
und
zu
r Fre
iset
zung
vo
n G
as.
Kom
mer
ziel
l:Be
rste
n de
s Be
hälte
rs,
Gas
frei
setz
ung,
En
tzün
dung
un
d Be
schä
digu
ng
der R
esso
urce
.
Scha
den
an
der E
inric
htun
g er
ford
ert d
as
Aus
wec
hsel
n de
s Be
hälte
rs,
veru
rsac
ht
Kost
en v
on
schä
tzun
gs-
wei
se 1
0 M
io.
und
eine
n Pr
oduk
tions
-au
sfal
l von
1
Jahr
SIL2
Max
. to
lerie
r-ba
res
Risi
ko
(pro
Jahr
)
Aus
löse
rLi
kelih
ood
der
Aus
lösu
ng
(pro
Jahr
)
Vert
eilu
ng
der
Leck
größ
e
Wah
r-sc
hein
lich-
keit
der
Entz
ün-
dung
Meh
r-
zwec
k-
kons
truk
-tio
n (K
on-
stru
ktio
ns-
eins
tufu
ng)
Una
bhän
gige
Sch
utze
bene
nID
/Ref
.Zo
nen-
be
schr
ei-
bung
Erei
gnis
- be
schr
eibu
ng
(Gef
ahr)
Schw
ere-
kate
gorie
84
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
8.6.15. LOPA-Ergebnisse
Die Ergebnisse in Tabelle 8 zeigen, dass die Überdruckgefahr Sicherheitskonsequenzenhat, vor denen durch eine SIL1-SIF mit einer PFD von ≤ 1,87E-02 geschützt werden kann.Allerdings dominiert das kommerzielle Risiko, weshalb eine SIL2-SIF mit einer PFD von≤ 8,24E-03 erforderlich ist.
Tabelle 8: LOPA-Ergebnisse
Es ist nicht unüblich, dass nicht sicherheitsrelevante Gefahren dominieren. In diesem Beispielstellt die Gefahr stets ein Risiko für die Ressource dar, wohingegen die Mitarbeiter hinsichtlichder Sicherheit nur während eines Teils der Zeit gefährdet sind.
Die SIF, die als Schutz vor Überdruck entwickelt werden muss, sollte daher die kommerziellenZiele erfüllen und dieselbe SIF wird aus diesem Grund auch die Mitarbeiter ausreichendschützen.
Gefahr Konsequenz SIL-Bewertung
PFD-Ziel
Sicherheit Sicherheit: Das freigesetzte Gas entzündetsich am Brenner und an heißen Ober -flächen. Möglicherweise zwei Todesfällebeim Instandhaltungspersonal.
SIL1 1,87E-02
Schutzart Umwelt: Bersten des Behälters,Gasfreisetzung, keine Entzündung.Freisetzung am Standort. Reinigung undMeldung an Behörde erforderlich, dochkeine Konsequenzen für die Umwelt.
Keine Keine
Kommerziell Kommerziell: Bersten des Behälters,Gasfreisetzung, Entzündung undBeschädigung der Ressource. Schaden ander Einrichtung erfordert das Auswechselndes Behälters und verursacht Kosten von10 Mio. € und einen Produktionsausfall von1 Jahr.
SIL2 6,24E-03
PROZESS-SAFEBOOK 1
Zuordnung von Sicherheitsfunktionen
85
9. Zuordnung von Sicherheitsfunktionen
9.1. Phasen des Lebenszyklus
In Abbildung 35 ist die anzuwendende Phase des Lebenszyklus dargestellt.
Das Ziel dieser Phase wie in IEC 61511-1, 9.1 definiert, ist die Zuordnung von Sicherheits -funktionen zu Schutzebenen.
Als Eingaben erfordert diese Phase eine Beschreibung der Anforderungen an dieSicherheitsfunktion und der Anforderungen an die Sicherheitsintegrität.
Als Ausgaben muss die Phase Informationen zur Zuordnung der allgemeinen Sicherheits -funktionen, ihre geplanten Ausfallgrenzwerte und die zugeordneten Sicherheits-Integritäts -level bereitstellen. Annahmen hinsichtlich anderer Risikominderungsmaßnahmen, diewährend des Lebenszyklus des Prozesses/der Anlage verwaltet werden müssen, werdenebenfalls definiert.
Man
agem
ent u
nd B
eurt
eilu
ng d
er fu
nktio
nale
nSi
cher
heit
und
Aud
its
10
Auf
bau
und
Plan
ung
des
Sich
erhe
itsle
bens
zykl
us
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung andererMaßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahmeund Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 35: Lebenszyklusphase 2
86
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
9.2. Zuordnung von Sicherheitsfunktionen
Für das Beispiel des Trennbehälters [3.7.1] wurden die folgenden SIFs und SIL-Anforderungenermittelt (siehe Tabelle 9). Die Analyse der Gefahrenreferenz [1.10] wurde als Teil des LOPA-Beispiels [8.5] dargestellt. LOPA wäre zum Bestimmen der SIL- und PFD-Ziele für die anderenerkannten Gefahren verwendet worden.
Tabelle 9: SIF-Anforderungen
HAZOP-Ref Gefahr Konsequenz SIL-Bewertung
PFD-Ziel
1.01 Hoher Druck führt zumBersten des Behälters undzur Freisetzung von Gas.
Das freigesetzte Gas entzündet sich am Brennerund an heißen Oberflächen. Möglicherweisezwei Todesfälle beim Instandhaltungspersonal.Der Schaden an der Einrichtung erfordert denAustausch des Behälters, verursacht Kosten von10 Mio. € und erfordert eine Prozessabschal -tung für 1 Jahr. Geringe Freisetzung in dieUmgebung.
SIL2 6,24E-03
1.11 Niedriger Druck führtzum Bersten desBehälters und zurFreisetzung von Gas.
Das freigesetzte Gas entzündet sich am Brennerund an heißen Oberflächen. Möglicherweisezwei Todesfälle beim Instandhaltungspersonal.Der Schaden an der Einrichtung erfordert denAustausch des Behälters, verursacht Kosten von10 Mio. € und erfordert eine Prozessabschal -tung für 1 Jahr. Geringe Freisetzung in dieUmgebung.
Keine Keine
1.15 Hohe Temperatur führt zuhohem Druck, zumBersten des Behälters undzur Freisetzung von Gas.
Das freigesetzte Gas entzündet sich am Brennerund an heißen Oberflächen. Möglicherweisezwei Todesfälle beim Instandhaltungspersonal.Der Schaden an der Einrichtung erfordert denAustausch des Behälters, verursacht Kosten von10 Mio. € und erfordert eine Prozessabschal -tung für 1 Jahr. Geringe Freisetzung in dieUmgebung.
Keine Keine
1.16 Niedrige Temperatur,mögliches Einfrieren derFlüssigkeit (Verfestigung),Bersten des Behälters,Auslaufen von Flüssigkeit.
Schäden an der Einrichtung erfordern denAustausch des Behälters, verursachen Kostenvon etwa 10 Mio. € und erfordern eineProzessabschaltung für 6 Monate. DieFreisetzung in die Umwelt muss gemeldetwerden.
Keine Keine
1.20 Ein hoher Pegel imBehälter könnte dazuführen, dass Flüssigkeit indie Gasausleitungeingeschleppt wird.
Schäden an der nachfolgenden Einrichtungerfordern den Austausch des Behälters,verursachen Kosten von etwa 10 Mio. € underfordern eine Prozessabschaltung für6 Monate.
SIL1 8,10E-02
1,21 Ein niedriger Pegel imBehälter könnte dazuführen, dass Gas in dieFlüssigkeitsausleitungeingeschleppt wird.
Schäden an der nachfolgenden Einrichtungerfordern die Reinigung des Behälters,verursachen Kosten von etwa 2 Mio. € underfordern eine Prozessabschaltung für6 Wochen.
SIL1 6,22E-02
PROZESS-SAFEBOOK 1
Zuordnung von Sicherheitsfunktionen
87
Durch die mittlere Häufigkeit des Ereignisses, die von der LOPA-Analyse angegeben wird, wurdefestgelegt, dass alle vorgeschlagenen SIFs als Anforderungsbetriebsart angesehen werden. SIL1-Ziele wurden für hohe und niedrige Ebenen definiert und daher wurden die folgenden SIFsvorgeschlagen. Zur Minderung des hohen Drucks wurde ein Druckablass ventil als üblicheEngineering-Praxis implementiert und es wurde eine SIF wie unten gezeigt eingerichtet.
Die einzelnen SIFs bilden zusammen das gesamte SIS:
Sicherheits-technisches
System
PHH100 ESDV100
P
LHH101 ESDV101
L
LHH102 ESDV102
L
Abbildung 35b: Lebenszyklusphase 2
Sicherheits-technischeFunktion
LHH102 ESDV102
L
Sicherheits-technischeFunktion
LHH101 ESDV101
L
Sicherheits-technischeFunktion
PHH100 ESDV100
P
Abbildung 35a: Lebenszyklusphase 2
88
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Im folgenden Diagramm sind die zugeordneten SIFs hervorgehoben:
Flüssig-keitsaus-leitung
Heizgas- versorgung
Flüssig-keitsein-leitung
Gas- ausleitung
XV101ESDV101
LL101TT100
FCV100
FCV100 XV100
T
P
Brenner
LH101
FCV102XV102
ESDV102
PT102PRV102
LH
LL
ESDV100
LLL101 SISLL
PHH100P
LHH102SISL
SIS
Abbildung 35c: Lebenszyklusphase 2
PROZESS-SAFEBOOK 1
SIS – Spezifikationen der sicherheitstechnischenAnforderungen
89
10. SIS – Spezifikationen der sicherheitstechnischen Anforderungen
10.1. Phasen des Lebenszyklus
In Abbildung 36 ist die anzuwendende Phase des Lebenszyklus dargestellt.
Das Ziel dieser Phase wie in IEC 61511-1, 10.1 definiert, ist die Angabe der Anforderungen fürdie SIFs.
10.2. Anforderungen an die Sicherheitsintegrität einer SIF
Der SIL-Level jeder SIF wurde während der Studie zur Bestimmung des SIL-Levels mithilfe vonRisikodiagramm, LOPA oder Risikomatrix ausgewählt.
Diese Informationen müssen jetzt mithilfe der Spezifikation der sicherheitstechnischen An -for derungen (SRS – Safety Requirements Specification) an das Konstruktionsteam kommuni -ziert werden, um sicherzustellen, dass die Konstruktion während der Implementierung die
Man
agem
ent u
nd B
eurt
eilu
ng d
er fu
nktio
nale
nSi
cher
heit
und
Aud
its
10
Auf
bau
und
Plan
ung
des
Sich
erhe
itsle
bens
zykl
us
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung andererMaßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahmeund Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 36: Lebenszyklusphase 3
90
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Anforderungen der SIF-Sicherheitsintegrität erfüllt. Die SRS ist die Grundlage der SIF-Validierung.
10.3. Rahmenbedingungen für die SRS
Vor Beginn der Konstruktionsarbeiten muss die SRS basierend auf den Anleitungen inIEC 61511-1/2, Abschnitt 10 & 12 vorbereitet werden. Die SRS enthält die funktionalenund Integritätsanforderungen für jede SIF und muss ausreichend Informationen für dieKonstruktion und Entwicklung des SIS bereitstellen. Diese Informationen sollten eindeutig,präzise, nachweisbar, verwaltbar und durchführbar ausgedrückt und strukturiert werden,damit sie von denjenigen, die diese Informationen während der verschiedenen Phasendes Lebenszyklus sehr wahrscheinlich nutzen, problemlos verstanden werden.
Die SRS muss für jede SIF Anweisungen für Folgendes enthalten:
• Beschreibung der SIF• Ausfälle infolge gemeinsamer Ursachen• Definition des sicheren Zustands der SIF• Anforderungsrate• Intervalle für die Wiederholungsprüfung• Reaktionszeiten, die erforderlich sind, um den Prozess in einen sicheren Zustand zu
bringen• SIL und Betriebsart (Anforderungsbetriebsart oder Betriebsart mit kontinuierlicher
Anforderung)• Prozessmessungen und ihre Auslösungspunkte• Prozessausgabeaktionen und Kriterien für einen erfolgreichen Betrieb• Funktionale Beziehung zwischen Eingaben und Ausgaben• Anforderungen für eine manuelle Abschaltung• Einschalten oder Ausschalten für die Auslösung • Rückstellung nach einer Abschaltung• Maximal zulässige Rate der Fehlauslösungen• Ausfallmodi und SIS-Reaktion auf Ausfälle• Start und Neustart des SIS• Schnittstellen zwischen dem SIS und anderen Systemen• Anwendungssoftware• Überbrückungen/Sperren/Umgehungen und wie sie beseitigt werden• Aktionen nach der SIS-Fehlererkennung
Nicht sicherheitsrelevante Funktionen können vom SIS ausgeführt werden, um eineordnungsgemäße Abschaltung oder eine schnellere Inbetriebnahme zu gewährleisten.
PROZESS-SAFEBOOK 1
SIS – Entwicklung und Engineering
91
11. SIS – Entwicklung und Engineering
11.1. Phasen des Lebenszyklus
In Abbildung 37 ist die anzuwendende Phase des Lebenszyklus dargestellt.
Mit dieser Phase soll, wie in IEC 61511-1, 11.1 definiert, Folgendes bestimmt werden:
• Konstruktion des SIS, um die erforderlichen SIFs bereitzustellen [11.2]• Sicherstellen, dass die SIF-Konstruktion dem angegebenen SIL-Level entspricht,
der während der SIL-Bestimmung definiert wurde [13].
Man
agem
ent u
nd B
eurt
eilu
ng d
er fu
nktio
nale
nSi
cher
heit
und
Aud
its
10
Auf
bau
und
Plan
ung
des
Sich
erhe
itsle
bens
zykl
us
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung andererMaßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahme und Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 37: Lebenszyklusphase 4
92
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
11.2. SIF-Konstruktion
Die SRS bildet die Grundlage der SIF-Konstruktion und ermöglicht dem Konstruktionsteamdie Umsetzung der Funktionalität in Konstruktionsdokumente wie beispielsweise eine FDS.Die FDS sollte also alle funktionalen und integritätsbezogenen Anforderungen enthalten, diezum Konstruieren und Entwickeln des SIS erforderlich sind.
Es ist wichtig, dass die Konstruktionsdokumentation die folgenden Anforderungen enthält:
• Anforderungen an das Systemverhalten beim Erkennen eines Fehlers [13.2]• Hardwarefehlertoleranz [13.3]• Auswahl der Komponenten und Subsysteme [13.4] • Feldgeräte [13.5]• Bediener-, Wartungs- und Kommunikationsschnittstellen zum SIS [13.6]• Anforderungen an den Instandhaltungs- oder Testaufbau [13.7]• SIF-Ausfallwahrscheinlichkeit [13.8]• Anwendungssoftware [13.9]
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
93
12. Zuverlässigkeitstechniken
12.1. Einführung
Dieser Abschnitt enthält eine kurze Einführung in Zuverlässigkeitstechniken. Es handeltsich weder um einen umfassenden Überblick über die Methoden des Zuverlässigkeits-Engineerings, noch um die Beschreibung eines neuen oder unkonventionellen Verfahrens.Die hierin beschriebenen Methoden werden von Ingenieuren routinemäßig verwendet.
12.2. Definitionen
Der Übersicht halber folgt zunächst eine kurze Liste wichtiger Begriffe und Definitionen.Ausführlichere Definitionen zu Begriffen und zur Bezeichnungen finden Sie in denzahlreichen Normtexten zum entsprechenden Thema.
Abhängiger Ausfall, – Ausfall, der durch den Ausfall von mindestens einem zugeordnetenElement verursacht wird. Nicht unabhängig.
Abhängigkeit – Gibt an, inwieweit ein Element betriebsbereit ist und die erforderlicheFunktion zu jeder Zeit (zufällig) während eines angegebenen Aufgabenprofils auszuführen,sofern die Verfügbarkeit zu Beginn der Aufgabe gegeben ist.
Ausfall – Das Ereignis oder ein nicht funktionsfähiger Zustand, in dem sich ein Element oderein Teil eines Elements nicht wie zuvor angegeben verhält oder verhalten wird.
Ausfallart – Die Konsequenz des Mechanismus, durch den der Ausfall auftritt, z. B.Kurzschluss, Drahtbruch, Riss, übermäßiger Verschleiß.
Ausfallmechanismus – Der physikalische, chemische, elektrische, thermische oder sonstigeProzess, der zu einem Ausfall führt.
Ausfallrate – Gesamtzahl der Ausfälle innerhalb einer Elementpopulation, dividiert durch dieGesamtzahl der funktionierenden Einheiten, die durch diese Population ausgeschöpft wird(während eines bestimmten Messintervalls unter festgelegten Bedingungen).
Eignung– Gibt die Eignung eines Elements an, die Ziele der Aufgabe unter denBedingungen während der Aufgabe zu erreichen.
Korrigierende Instandhaltung – Alle Aktionen, die als Reaktion auf einen Ausfall ausgeführtwerden, um ein Element wieder in einen festgelegten Zustand zu versetzen. Die korrigieren -de Instandhaltung kann beliebige oder alle der folgenden Schritte umfassen: Lokalisierung,Trennung, Demontage, Austausch, Wiedereinbau, Ausrichtung und Überprüfung.
94
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Mittlere Betriebsdauer bis zum Ausfall (MTTF – Mean Time to Failure) – Ein grundlegen -des Maß für die Zuverlässigkeit nicht reparierbarer Elemente: Die mittlere Zeit funktionieren -der Einheiten, während der alle Teile des Elements innerhalb der angegebenen Grenzwertefunktionieren (während eines bestimmten Messintervalls unter festgelegten Bedingungen).
Mittlere Betriebsdauer zwischen Ausfällen (MTBF – Mean Time Between Failure) –Ein grundlegendes Maß für die Zuverlässigkeit reparierbarer Elemente: Die mittlere Zeitfunktionierender Einheiten, während der alle Teile des Elements innerhalb der angegebenenGrenzwerte funktionieren (während eines bestimmten Messintervalls unter festgelegtenBedingungen).
Mittlere Dauer bis zur Wiederherstellung (MTTR – Mean Time To Repair) – Eingrundlegendes Maß für die Wartbarkeit: Die Summe der Zeiten für korrigierendeInstandhaltungsarbeiten mit einer festgelegten Reparaturstufe, dividiert durch dieGesamtzahl der Ausfälle innerhalb eines Elements, das auf dieser Stufe repariert wurde(während eines bestimmten Intervalls unter festgelegten Bedingungen).
Unabhängiger Ausfall – Ausfall, der auftritt, ohne durch den Ausfall eines anderen Elementsverursacht zu sein. Nicht abhängig.
Verfügbarkeit – Gibt an, inwieweit sich ein Element zu Beginn der Aufgabe im betriebsbe -rei ten und zuverlässigen Zustand befindet, wenn die Aufgabe bei einem unbekanntenZustand aufgerufen wird.
Vorbeugende Instandhaltung – Alle Aktionen, die ausgeführt werden, um einenfestgelegten Zustand für ein Element beizubehalten. Hierzu zählen systematischeUntersuchungen sowie das Erkennen und Verhindern bevorstehender Ausfälle.
Wartbarkeit – Gibt an, inwiefern ein Element fähig ist, beibehalten oder in einem be -stimmten Zustand wiederhergestellt zu werden, wenn Wartungsarbeiten von Mitarbeiternmit festgelegten Fähigkeiten ausgeführt werden. Diese Mitarbeiter verwenden dabeivorgeschriebene Verfahren und Ressourcen für jede vorgeschriebene Wartungs- undReparaturstufe.
Zufälliger Ausfall – Ausfall, dessen Auftreten nur im wahrscheinlichkeitstheoretischen oderstatistischen Sinn vorhersagbar ist. Gilt für alle Verteilungen.
Zuverlässigkeit – (1) Die Dauer oder Wahrscheinlichkeit einer fehlerfreien Ausführung unterfestgelegten Bedingungen. (2) Die Wahrscheinlichkeit, dass ein Element seine vorgeseheneFunktion während eines bestimmten Intervalls unter festgelegten Bedingungen ausführenkann. Für nicht redundante Elemente entspricht dies der Definition (1). Für redundanteElemente ist dies die Definition der Aufgabenzuverlässigkeit.
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
95
12.3. Grundlegende mathematische Konzepte beim Zuverlässigkeits-Engineering
Viele mathematische Konzepte gelten für das Zuverlässigkeits-Engineering, insbesonderewenn es um Bereiche der Wahrscheinlichkeit und Statistik geht. Auf ähnliche Weise könnenviele mathematische Verteilungen für die unterschiedlichsten Zwecke verwendet werden,wie z. B. die Gaußsche (Normal-) Verteilung, die Lognormalverteilung, die Rayleigh-Verteilung, die Exponentialverteilung, die Weibull-Verteilung und viele weitere. Für diesekurze Einführung sollen die Ausführungen auf die Exponentialverteilung begrenzt werden.
Ausfallrate und mittlere Betriebsdauer zwischen Ausfällen/mittlere Betriebsdauer bis zumAusfall (MTBF/MTTF).
Zweck der quantitativen Zuverlässigkeitsmessungen ist die Definition der Ausfallrate relativzur Zeit. Außerdem kann so diese Ausfallrate zum besseren Verständnis der quantitativenAusfallaspekte in einer mathematischen Verteilung modelliert werden. Der grundlegendsteBaustein ist die Ausfallrate, die mithilfe der folgenden Gleichung geschätzt wird:
λ = F/T
Dabei gilt: λ = Ausfallrate (manchmal auch als Gefahrenrate bezeichnet)
T = Gesamtzahl der Gerätestunden (Betriebszeit/Zyklen/Laufleistung usw.) während einesPrüfungszeitraums für ausgefallene und nicht ausgefallene Elemente.
F = Gesamtzahl der Ausfälle, die während des Prüfungszeitraums auftreten.
Wenn beispielsweise fünf Elektromotoren insgesamt 50 Jahre lang funktionieren undwährend dieses Zeitraums fünf Funktionsausfälle auftreten, liegt die Ausfallrate bei0,1 Ausfällen pro Jahr.
Ein weiteres, äußerst grundlegendes Konzept ist die mittlere Betriebsdauer zwischenAusfällen (MTBF/MTTF). Der einzige Unterschied zwischen MTBF und MTTF ist, dass MTBF aufElemente angewandt wird, die bei einem Ausfall repariert werden. Für Elemente, die einfachentsorgt und ersetzt werden, wird der Begriff MTTF verwendet. Die Berechnungen sindidentisch. Die grundlegende Berechnung zum Abschätzen der mittleren Betriebsdauerzwischen Ausfällen (MTBF) und der mittleren Betriebsdauer bis zum Ausfall (MTTF) ist derKehrwert der Funktion der Ausfallrate. Dieser wird mit der folgenden Gleichung berechnet.
θ = T/F
Dabei gilt: θ = Mittlere Betriebsdauer zwischen Ausfällen/Mittlere Betriebsdauer bis zumAusfall
96
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
T = Gesamte Betriebszeit/Zyklen/Laufzeit usw. während eines Prüfungszeitraums fürausgefallene und nicht ausgefallene Elemente
F = Gesamtzahl der Ausfälle, die während des Prüfungszeitraums auftreten.
Der MTBF für unser Beispiel mit den industriellen Elektromotoren liegt bei 10 Jahren, wasdem Kehrwert der Ausfallrate für die Motoren entspricht. Im Übrigen würde der MTBF fürElektromotoren, die bei einem Ausfall überarbeitet werden, geschätzt. Bei kleineren Motoren,die entsorgt werden, würde die MTTF angegeben.
Die Ausfallrate ist eine grundlegende Komponente zahlreicher komplexerer Zuverlässigkeits -berechnungen. Abhängig von der mechanischen/elektrischen Konstruktion, dem Betriebs -kontext, den Umgebungsbedingungen und/oder der Wartungseffizienz kann die Ausfallrateeiner Maschine kleiner werden, konstant bleiben oder linear bzw. geometrisch ansteigen.Allerdings wird für die meisten Zuverlässigkeitsberechnungen eine konstante Ausfallrateangenommen.
12.4. Badewannenkurve
Im Konzept veranschaulicht die Badewannenkurve die drei grundlegenden Merkmale derAusfallrate einer Maschine: abfallend, konstant oder ansteigend. In der Praxis bleiben diemeisten Maschinen während ihrer Lebensdauer innerhalb der frühen Lebensphase oder inden Bereichen der konstanten Ausfallrate der Badewannenkurve. Nur selten sind zeitabhän -gige Ausfallmechanismen zu sehen, da typische Industriemaschinen normalerweise ganzoder teilweise ersetzt werden, bevor sie verschleißen. Allerdings ist die Badewannenkurvetrotz dieser Modellierungseinschränkungen ein nützliches Werkzeug, um die grundlegendenKonzepte des Zuverlässigkeits-Engineerings zu erläutern.
Der menschliche Körper ist ein gutes Beispiel für ein System, das entlang der Badewannen -kurve verläuft. Die Ausfallrate (Sterblichkeit) des Menschen (und einer Maschinen) istwährend der ersten Lebensjahre in der Regel sehr hoch, doch die Rate verringert sich, wenndas Kind (Produkt) älter wird. Angenommen, eine Person überlebt die Teenager-Jahre. Dannwird die Sterblichkeitsrate relativ konstant und verbleibt dort, bis altersabhängige (zeitab -hängige) Krankheiten die Sterblichkeitsrate (Verschleiß) wieder erhöhen.
Im Allgemeinen gibt es die Vorstellung, dass die Badewannenkurve sich aus verschiedenenAusfallverteilungen zusammensetzt (Abbildung 38).
Die Ausfallrate, die in den ersten Lebensjahren abfällt, ist bedingt durch systematischeGründe wie fertigungsbedingte Schwachstellen, die in einem Produkt vorliegen. Wenn eineProduktcharge gefertigt wird, enthält ein Teil der Population Schwachstellen, die im Betriebzu Ausfällen führen. Wenn die ausgefallenen Elemente zur Reparatur eingesandt werden,
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
97
verringert sich der Anteil der Produkte mit Schwachstellen in der Population undentsprechend sinkt auch die Ausfallrate.
Die steigende Zahl der verschleißbedingten Ausfälle kann ähnliche systematische Gründehaben. Ausfallmechanismen können durch verminderte Widerstandsfähigkeit wie beispiels -weise die Akkumulation von Ermüdungsschäden bedingt sein. In der Elektronik sind diezeitabhängigen Ausfallmechanismen eher mechanischer Natur und umfassen z. B.Ermüdungsausfälle von Lötstellen.
Der Zeitraum mit der konstanten Ausfallrate macht den Großteil eines Produktlebenszyklusaus und ist ein Maß für die Konstruktionsqualität, der Konstruktionsgüte. In diesem Bereichder konstanten Ausfallrate werden einfache Zuverlässigkeitsberechnungen ausgeführt.
12.5. Exponentialverteilung
Die Exponentialverteilung ist die grundlegendste und am häufigsten verwendete Prognose -formel für Zuverlässigkeit. Sie modelliert Maschinen mit der konstanten Ausfallrate oder demflachen Teil der Badewannenkurve. Die meisten industriellen Maschinen verbleiben währendihrer Lebensdauer einen Großteil der Zeit im Bereich der konstanten Ausfallrate, sodass dieseweit verbreitet ist.
00
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
10 20 30Zeit
SinkendKonstantAnsteigendGesamt
Badewannenkurve
Aus
fallr
ate
40 50 60
Abbildung 38: Badewannenkurve
98
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Mit der folgenden grundlegenden Gleichung kann die Zuverlässigkeit einer Maschinegeschätzt werden, die der Exponentialverteilung folgt. Dabei ist die Ausfallrate als Funktionder Zeit konstant.
R(t) = exp { -λ . t }
Dabei gilt: R(t) = Zuverlässigkeitsschätzung für einen Zeitraum, Zyklen, Laufzeit usw. (t)
λ = Ausfallrate (1/MTBF oder 1/MTTF) und t = Risikozeit
Wenn Sie im Beispiel mit den Elektromotoren von einer konstanten Ausfallrate ausgehen,liegt die Wahrscheinlichkeit, dass ein Motor sechs Jahre lang ohne Ausfall betrieben werdenkann (also die Projektzuverlässigkeit), bei 55 Prozent. Dies wird wie folgt berechnet:
R(t) = exp { – 0,1 x 6 }= exp { – 0,6 }= 0,5488 ≈ 55 %
Anders ausgedrückt, nach sechs Jahren wird erwartet, dass etwa 45 % der Populationidentischer Motoren, die in einer identischen Anwendung verwendet werden, der Wahr -scheinlichkeitstheorie nach ausfallen. An diesem Punkt lohnt es sich, zum wiederholten Maledarauf aufmerksam zu machen, dass mit diesen Berechnungen die Wahrscheinlichkeit füreine Population hochgerechnet wird. Jedes individuelle Gerät aus der Population könntebereits am ersten Betriebstag ausfallen, während ein anderes 30 Jahre lang fehlerfreifunktionieren kann. Dies ist die Natur wahrscheinlichkeitstheoretischer Zuverlässigkeits -hochrechnungen.
Ein Merkmal der Exponentialverteilung ist, dass der MTBF an dem Punkt auftritt, an dem dieberechnete Zuverlässigkeit bei 36,78 % liegt, oder an dem Punkt, an dem bereits 63,22 % derMaschinen ausgefallen sind. Im Beispiel mit den Motoren wird erwartet, dass nach 10 Jahren63,22 % der Motoren von einer Population identischer Motoren, die in identischen Anwen -dungen eingesetzt werden, ausfallen werden. Anders ausgedrückt liegt die Überlebensratebei 36,78 % der Population.
12.6. Schätzen der Systemzuverlässigkeit
Sobald die Zuverlässigkeit von Komponenten oder Maschinen relativ zum Betriebskontextund der erforderlichen Aufgabenzeit festgelegt wurde, müssen Betriebstechniker dieZuverlässigkeit eines Systems oder Prozesses beurteilen. Auch hier werden der Kürze undEinfachheit halber die Zuverlässigkeitsschätzungen für Reihen-, Parallel- und redundanteSysteme mit gemeinsamer Last erläutert (so genannte MooN-Systeme – M out of N; M aus N).
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
99
12.6.1. Reihensysteme
Bevor hintereinandergeschaltete Systeme erläutert werden, sollten zunächst Zuverlässig -keits block diagramme (RBDs – Reliability Block Diagrams) näher betrachtet werden. RBDsbilden einen Prozess einfach von Anfang bis Ende ab. Bei einem Reihensystem folgt aufSubsystem 1 Subsystem 2 usw. Im Reihensystem hängt die Fähigkeit, Subsystem 2 zuimplementieren, vom Betriebszustand von Subsystem 1 ab. Wenn Subsystem 1 nichtfunktioniert, ist das System unabhängig von der Bedingung von Subsystem 2 deaktiviert[Abbildung 39].
Zum Berechnen der Systemzuverlässigkeit eines Reihenprozesses müssen Sie nur diegeschätzte Zuverlässigkeit von Subsystem 1 zum Zeitpunkt (t) mit der geschätztenZuverlässigkeit von Subsystem 2 zum Zeitpunkt (t) multiplizieren. Die grundlegendeGleichung für die Berechnung der Systemzuverlässigkeit eines einfachen Reihensystemslautet wie folgt:
Rs(t) = R1(t) . R2(t) . R3(t)
Dabei gilt: Rs(t) – Systemzuverlässigkeit zum Zeitpunkt (t)
Rn(t) – Zuverlässigkeit des Subsystems oder der Subfunktion zu einem bestimmtenZeitpunkt (t)
Daher wird für ein einfaches System mit drei Subsystemen oder Subfunktionen, die jeweilseine geschätzte Zuverlässigkeit von 0,90 (90 %) zum Zeitpunkt (t) aufweisen, die Systemzu -ver lässigkeit als 0,90 X 0,90 X 0,90 = 0,729 oder etwa 73 % berechnet.
12.6.2. Parallelsysteme
Oft implementieren Konstruktionsingenieure Redundanz in kritische Maschinen. VonIngenieuren werden diese Systeme daher auch Parallelsysteme genannt. Diese Systemekönnen als aktive Parallelsysteme oder Standby-Parallelsysteme konzipiert sein. Das Block -diagramm für ein einfaches Parallelsystem mit zwei Komponenten ist in Abbildung 40dargestellt.
R1(t) R2(t) R3(t)
Subsystem 1 Subsystem 2 Subsystem 3
Abbildung 39: Reihensystem
100
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Verwenden Sie die folgende Gleichung, um die Zuverlässigkeit eines aktiven Parallelsystemszu berechnen, in dem beide Maschinen aktiv sind:
Rs(t) = 1 – [ {1-R1(t)} . {1-R2(t)} ]
Dabei gilt: Rs(t) – Systemzuverlässigkeit zum Zeitpunkt (t)
Rn(t) – Zuverlässigkeit des Subsystems oder der Subfunktion zu einem bestimmtenZeitpunkt (t)
Das einfache Parallelsystem im vorliegenden Beispiel mit zwei parallelen Komponenten, vondenen jede eine Zuverlässigkeit von 0,90 aufweist, hat eine gesamte Systemzuverlässigkeitvon 1 – (0,1 X 0,1) = 0,99. Auf diese Weise wurde die Systemzuverlässigkeit beträchtlichverbessert.
12.6.3. MooN-Systeme (M out of N; M aus N)
Ein wichtiges Konzept für Ingenieure ist das Konzept von MooN-Systemen. Für diese Systememüssen M Einheiten aus einer Gesamtpopulation in N für die Verwendung verfügbar sein.Ein gutes Beispiel aus der Industrie sind Kohlemühlen in einer Stromerzeugungsanlage.Häufig entwickeln Ingenieure diese Funktion in der Anlage mithilfe eines MooN-Konzepts.Beispielsweise besteht eine Einheit aus vier Mühlen und damit die Einheit ordnungsgemäßbei Volllast arbeitet, müssen drei der vier Mühlen funktionieren [Abbildung 41].
12.7. Gefährliche und ungefährliche Ausfälle
Damit Zuverlässigkeitsberechnungen sinnvoll sind, geht es uns nicht nur um die Ausfallratedes Systems, sondern auch darum, wie ein System ausfallen kann, also um den Ausfallmodus.
Ausfallmodi können als sicher oder gefährlich klassifiziert werden. Abbildung 42 zeigt eineGasleitung. Wenn die Leitung ein Kraftwerk mit Brennstoff versorgt, das Absperrventilfehlerhaft ist und fälschlicherweise schließt, wird die Brennstoffversorgung unterbrochenund es kommt möglicherweise zu Gewinneinbußen. Der Ausfallmodus (Ausfall imgeschlossenen Zustand) ist jedoch ein ungefährlicher Ausfall.
R1(t)
R2(t)
Abbildung 40: Paralleles System
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
101
Wenn dasselbe Ventil in der geöffneten Position ausfällt, wird die Brennstoffversorgungaufrechterhalten. Kommt es jedoch zu einer Überdruckbedingung, sind wir nicht in der Lage,den Brennstoff zu isolieren und die Leitung sicher zu machen. Dieser Ausfallmodus (Ausfallim geöffneten Zustand) wird daher als gefährlicher Ausfall betrachtet.
Druck- sender
Druck-regler
ESD-Logik
Magnet-ventil
Hydraulik-versorgung
Hydraulik-entlüftung
Gasleitungs-einlass
Gasleitungs-ausleitung
Abschalt-ventil
Druckregler-ventil
Ausgelegt für 139 bar Ausgelegt für 48 bar
PC
SPT
Abbildung 42: Beispiel für eine sicherheitstechnische Funktion
R1(t)
R2(t)
R3(t)
R4(t)
Abbildung 41: 3oo4-System
102
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
In diesem Beispiel würde der gefährliche Ausfallmodus mit dem falschen Öffnen ersterkannt, wenn eine Anforderung erfolgt, d. h. wenn das Ventil den Befehl zum Schließenerhält. Dies gilt dann als gefährlicher unerkannter Ausfall.
Wenn eine Leitung dagegen das Kraftwerk mit Kühlmittel versorgt und das Ventil SSV969Aausfällt und fälschlicherweise schließt, wird die Kühlmittelzufuhr unterbrochen und dasKraftwerk könnte überhitzen. In dieser Anwendung stellen dasselbe Ventil und derselbeAusfallmodus (Ausfall im geschlossenen Zustand) einen gefährlichen Ausfall dar. Wenn dasVentil in der geöffneten Position ausfällt, wird der Kühlmittelfluss aufrechterhalten, weshalbdieser Ausfallmodus (Ausfall im geöffneten Zustand) als ungefährlicher Ausfall gilt.
Ein gefährlicher Ausfall einer Komponente in einer sicherheitstechnischen Funktionverhindert, dass die Funktion einen sicheren Zustand erreicht, wenn dies erforderlich ist.Die gefährliche Ausfallrate ist durch das folgende Symbol gekennzeichnet: λD.
Ein ungefährlicher Ausfall hat nicht das Potenzial, das sicherheitstechnische System in einengefährlichen Zustand oder einen Zustand mit Funktionsausfall zu versetzen, sodass dasSystem abgeschaltet oder die sicherheitstechnische Funktion aktiviert wird, wenn gar keineGefahr vorhanden ist. Die ungefährliche Ausfallrate ist durch das folgende Symbol gekenn -zeichnet: λS.
Eventuell gibt es Ausfallmodi, die überhaupt keine Auswirkung auf die Sicherheitsfunktionhaben. Zu diesen können Instandhaltungsfunktionen, Anzeigen, Datenprotokollierungs- undandere nicht sicherheitsrelevante (Nicht-SR-) Funktionen gehören. Die Nicht-SR-Ausfallrate istdurch das folgende Symbol gekennzeichnet: λNicht-SR.
Die gesamte Ausfallrate eines Elements, λ, entspricht der Summe der sicherheitsrelevantenund Nicht-SR-Ausfallraten. Normalerweise werden nur λD und λS in den Zuverlässigkeits -berechnungen berücksichtigt.
λ = λD + λS + λNicht-SR
12.8. Erkannte und unerkannte Ausfälle
Die PFD bezieht sich auf gefährliche Ausfälle, die das SIS bei Bedarf daran hindern, seineFunktion auszuführen. Diese Ausfallmodi sind entweder als erkannte Ausfälle klassifiziert, dasie durch Diagnosen erkannt werden, oder sie sind als unerkannte Ausfälle klassifiziert, dienicht erkannt werden, außer durch manuelle Wiederholungsprüfung en, und in der Regeljährlich ausgeführt werden. Es wird empfohlen, dass diese durch die FMECA (Failure Modeand Effects and Criticality Analysis) klassifizierten Ausfallmodi als gefährliche erkannteAusfälle im Rahmen der Diagnose erkannt und in der Softwarevalidierung verifiziert werdensollten. Außerdem sollten die Verfahren der Wiederholungsprüfung sicherstellen, dassgefährliche unerkannte Ausfallmodi erkannt werden, damit die Effizienz zu gewährleistet ist.
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
103
In Übereinstimmung mit IEC 61508-6, Anhang B.3.1, kann bei der Analyse berücksichtigtwerden, dass es für jede Sicherheitsfunktion eine optimale Wiederholungsprüfung undReparatur gibt, d. h. alle Ausfälle, die unerkannt bleiben, werden durch die Wiederholungs -prüfung entdeckt.
12.9. Zeitraum der Wiederholungsprüfung (Tp) und mittlere Ausfalldauer (MDT – MeanDown Time)
Bei einem Ausfall wird davon ausgegangen, dass er im Schnitt in der Mitte des Prüfintervallsauftritt. Anders ausgedrückt bleibt der Fehler während 50 % des Prüfzeitraums unerkannt.
Bei erkannten und unerkannten Ausfällen hängt die mittlere Ausfalldauer (MDT – MeanDown Time) vom Prüfintervall und ebenso von der Reparaturzeit (oder der MTTR) ab.
Die MDT wird daher wie folgt berechnet:
MDT = Prüfintervall + MTTR2
Die MDT entspricht daher für erkannte Ausfälle in etwa der Reparaturzeit, da das Prüfintervall(Autotest) in der Regel kurz mit der MTTR verglichen wird. Bei unerkannten Ausfällen wird dieReparaturzeit kurz mit dem Prüfintervall, dem Zeitraum der Wiederholungsprüfung Tpverglichen, weshalb die MDT für unerkannte Ausfälle in etwa Tp/2 entspricht.
12.10. Modellieren der Systemausfallrate (λsys)
Die Ausfallrate eines redundanten Systems, λsys, kann unter Berücksichtigung der Anzahlder Möglichkeiten berechnet werden, wie ein Systemausfall auftreten kann. In einem 3oo4-System müssen 3 von 4 Kanälen (3 out of 4) funktionieren, damit das System funktioniert.Aus diesem Grund führen zwei beliebige Ausfälle zu einem Systemausfall.
104
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Die Rate, mit der zwei Ausfälle auftreten können, λ2, wird angegeben durch die Ausfallrateeines Elements, λ, multipliziert mit der Wahrscheinlichkeit, dass ein zweiter Ausfall währendder Ausfalldauer, MDT, des ersten Ausfalls auftritt, λ.MDT.
Daher gilt:
λ2 = λ.(λ.MDT)
Allerdings gibt es zwölf Permutationen (die Ordnung ist wichtig) von zwei Ausfällen in einem3oo4-System: A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B und D.C, die alle berücksichtigtwerden müssen. Die Systemausfallrate entspricht daher ungefähr Folgendem:
λSYS = 12.λ2.MDT
Um genau zu sein, sollten alle Permutationen von 3 und 4 gleichzeitige Ausfälle sowieAusfälle infolge gemeinsamer Ursachen berücksichtigen, da diese auch zu Systemausfällenführen können, doch in einer Näherung erster Ordnung können Terme höherer Ordnungvernachlässigt werden. Die Systemausfallrate für 3oo4- und andere Konfigurationen sind inTabelle 10 aufgeführt. Beachten Sie, dass bei diesen Näherungen Terme höherer Ordnungvernachlässigt werden.
λ
λ
λ
λ
Abbildung 43: 3oo4-System
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
105
Tabelle 10: Systemausfallrate
Beachten Sie, dass die Mitwirkung von Ausfällen infolge gemeinsamer Ursachen späterausführlicher beschrieben wird [12.17].
12.11. Modellieren der Raten gefährlicher erkannter und unerkannter Ausfälle (λDD)und (λDU)
Durch Ersetzen von λDD und λDU für λ in Tabelle 10 und durch Verwendung von MDT oder Tp/2kann die Systemausfallrate aufgrund gefährlicher erkannter oder unerkannter Ausfälleabgeleitet werden (siehe Tabelle 11).
Konfiguration λsys
1oo1 λ
1oo2 2.λ2.MDT
2oo2 2.λ
1oo3 3.λ3.MDT2
2oo3 6.λ2.MDT
3oo3 3.λ
1oo4 λ4.MDT3
2oo4 12.λ3.MDT2
3oo4 12.λ2.MDT
4oo4 4.λ
106
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Tabelle 11: Rate gefährlicher Systemausfälle
12.12. Modellieren der Rate der Fehlauslösungen des Systems (λSTR)
Da davon ausgegangen wird, dass ungefährliche Ausfallraten in der Regel alle erkanntwerden, können in einer redundanten Konfiguration ausgefallene Kanäle repariert werden,sofern das System nicht auslöst. Aus diesem Grund kann hier das Konzept für gefährlicheerkannte Ausfälle verwendet werden, mit der Ausnahme, dass sich die Anzahl der Ausfälle,die für eine Fehlauslösung erforderlich sind, von der Anzahl unterscheiden kann, die füreinen gefährlichen Ausfall erforderlich ist.
In der Regel umfassen Fehlauslösungen nur die Raten ungefährlicher Ausfälle. Dochabhängig vom Systemausfallverhalten beim Erkennen eines Fehlers können auch gefährlicheerkannte Ausfälle berücksichtigt werden, sodass die Rate der Fehlauslösungen der Summeder beiden entspricht.
In Tabelle 12 sind die Raten der Fehlauslösungen des Systems für ungefährliche Ausfällezusammengefasst.
Konfiguration Erkannt Unerkannt
λsys λsys
1oo1 λDD λDU
1oo2 2.λDD2.MDT λDU2.TP
2oo2 2.λDD 2.λDU
1oo3 3.λDD3.MDT2 λDU3.TP2
2oo3 6.λDD2.MDT 3.λDU2.TP
3oo3 3.λDD 3.λDU
1oo4 λDD4.MDT3 λDU4.TP3
2oo4 12.λDD3.MDT2 4.λDU3.TP2
3oo4 12.λDD2.MDT 6.λDU2.TP
4oo4 4.λDD 4.λDU
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
107
Tabelle 12: Rate der Fehlauslösungen des Systems
12.13. Modellieren der Verfügbarkeit von Sicherheitssystemen in derAnforderungsbetriebsart
Für ein Sicherheitssystem wird die Verfügbarkeit aufgrund gefährlicher erkannter Ausfälle,ADD, wie folgt angegeben:
ADD = 1/(1 + .λDD(SYS).MDT)
Dabei ist λDD(SYS) die Systemausfallrate als Ergebnis gefährlicher erkannter Ausfälle [12.11].
Für gefährliche unerkannte Ausfälle wird ADU wie folgt angegeben:
ADU = 1/(1 + .λDU(SYS).TP/2)
Dabei ist λDU(SYS) die Systemausfallrate als Ergebnis gefährlicher unerkannter Ausfälle [12.11].
Für ungefährliche Ausfälle wird AS wie folgt ermittelt:
AS = 1/(1 + .λS(SYS).MDT)
Dabei ist λS(SYS) die Systemausfallrate als Ergebnis der (sicheren) Ausfälle aufgrundFehlauslösung [12.12].
Konfiguration Fehlauslösung
λstr
1oo1 λS
1oo2 2.λS
2oo2 2.λS2.MDT
1oo3 3.λS
2oo3 6.λS2.MDT
3oo3 3.λS3.MDT2
1oo4 4.λS
2oo4 12.λS2.MDT
3oo4 12.λS3.MDT2
4oo4 λS4.MDT3
108
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Die Systemverfügbarkeit ist daher das Produkt der Verfügbarkeiten aufgrund gefährlichererkannter, gefährlicher unerkannter und ungefährlicher Ausfälle:
ASYS = ADD . ADU . AS
Diese Methode kann für die Modellierung von Reihensystemen (Simplex) und redundantenSystemen verwendet werden.
12.14. Modellieren der Verfügbarkeit von Sicherheitssystemen in der Betriebsart mitkontinuierlicher Anforderung
Wenn die Methode auf Sicherheitssysteme in der Betriebsart mit kontinuierlicher Anforde -rung angewandt wird, muss der Planer die Natur der Anforderungen verstehen, die an dieSicherheitsfunktion gestellt werden. Einige Sicherheitsfunktionen in der Betriebsart mitkontinuierlicher Anforderung arbeiten auf Anforderung (genau wie eine Sicherheitsfunktionin der Anforderungsbetriebsart), doch sie sind aufgrund der Anforderungshäufigkeit, alsoöfter als einmal pro Jahr, als Funktionen in der Betriebsart mit kontinuierlicher Anforderungklassifiziert. In diesem Fall kann die Verfügbarkeit wie für eine Sicherheitsfunktion in derAnforderungsbetriebsart berechnet werden, mit Ausnahme des Intervalls für dieWiederholungsprüfung TP, das durch das Anforderungsintervall TD ersetzt werden muss.Gefährliche unerkannte Ausfälle würden unerkannt bleiben, bis die Sicherheitsfunktionangefordert wird.
Wenn die Sicherheitsfunktion im kontinuierlichen Modus eine dauerhafte Steuerung effizientbereitstellt, kann die Verfügbarkeit als Steuerungssystem berechnet werden [12.15].
12.15. Modellieren der Verfügbarkeit eines Steuerungssystems
Beim Modellieren der Verfügbarkeit von Steuerungssystemen geht es vor allem um Ausfälle,die sich auf den Prozess auswirken. Dabei müssen wir entscheiden, ob ein Ausfall den Prozessso weit beeinflusst, dass das Steuerungssystem tatsächlich nicht verfügbar ist.
Die Erkennung eines Ausfalls erfolgt entweder durch Diagnosen oder Fehleralarme odernach Symptomen. Im ersten Fall ist eine Reparatur erforderlich und das System ist bis zuseiner Wiederherstellung nicht verfügbar. Im zweiten Fall arbeitet der gesteuerte Prozessaußerhalb seiner festgelegten Grenzwerte.
Ausfälle, die unerkannt bleiben, führen nicht sofort zu einem nicht verfügbarenSteuerungssystem. Mit der Zeit kann der unerkannte Ausfall jedoch dazu führen, dass sichdie Prozessparameter außerhalb der festgelegten Grenzwerte verlagern. Dann werden sieerkannt und haben eine Nichtverfügbarkeit zur Folge.
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
109
Die Verfügbarkeit des Steuerungssystems kann daher modelliert werden, indem die gesamteSystemausfallrate, ASYS, wie folgt angegeben wird:
ASYS = 1/(1 + λSYS.MDT)
Dabei ist λSYS die gesamte Systemausfallrate als Ergebnis aller Ausfälle [Tabelle 10].
12.16. Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH) undWahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung (PFD)
Die vereinfachten PFH- und PFD-Formeln für allgemeine Konfigurationen sind für erkannteAusfälle in Tabelle 13 und für unerkannte Ausfälle in Tabelle 14 aufgeführt.
Tabelle 13: Berechnung von PFH/PFD (erkannte Ausfälle)
Konfiguration PFH PFD
1oo1 λDD λDD.MDT
1oo2 2.λDD2.MDT 2.λDD2.MDT2
2oo2 2.λDD 2.λDD.MDT
1oo3 3.λDD3.MDT2 3.λDD3.MDT3
2oo3 6.λDD2.MDT 3.λDD2.MDT2
3oo3 3.λDD 3.λDD.MDT
1oo4 4.λDD4.MDT3 λDD4.MDT4
2oo4 12.λDD3.MDT2 4.λDD3.MDT3
3oo4 12.λDD2.MDT 6.λDD2.MDT2
4oo4 4.λDD 4.λDD.MDT
110
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Tabelle 14: Berechnung von PFH/PFD (unerkannte Ausfälle)
12.17. Berücksichtigung von Ausfällen infolge gemeinsamer Ursache
Ausfälle infolge gemeinsamer Ursache (CCF) sind Ausfälle, die eventuell nur eine Ursachehaben, jedoch gleichzeitig mehrere Kanäle betreffen können. Ihre Ursache kann beispiels -weise ein systematischer Fehler, ein Fehler in der Konstruktionsspezifikation oder eineexterne Belastung wie übermäßige Temperaturen sein, die zum Ausfall von Komponentenin beiden redundanten Kanälen führen. Der Systemkonstrukteur ist dafür verantwortlich,entsprechende Maßnahmen zu ergreifen, um die Häufigkeit von Ausfällen infolge gemein -samer Ursachen zu minimieren. Hierfür muss er entsprechende Konstruktionspraktikeneinsetzen.
Der Beitrag von Ausfällen infolge gemeinsamer Ursache (CCF – Common Cause Failures) inparallelen redundanten Pfaden wird durch die Einbeziehung eines β-Faktors berücksichtigt.Die CCF-Ausfallrate, die in die Berechnung eingeschlossen wird, entspricht β x gesamteAusfallrate einer der redundanten Pfade.
Das β-Faktormodell [IEC 61508-6, Anhang D] ist die bevorzugte Methode, weil sie objektivist und Rückverfolgbarkeit bei der Schätzung von β bietet. Das Modell wurde kompiliert,um eine Reihe spezieller Fragen zu stellen, die anschließend mithilfe einer objektivenEngineering-Beurteilung bewertet werden. Die maximale Bewertung für jede Frage wurdeim Modell durch Kalibrierung der Ergebnisse verschiedener Beurteilungen abhängig vonbekannten Feldausfalldaten gewichtet.
Konfiguration PFH PFD
1oo1 λDU λDD.TP/2
1oo2 λDU2.TP λDD2.TP2/3
2oo2 2.λDU λDD.TP
1oo3 λDU3.TP2 λDD3.TP3/4
2oo3 3.λDU2.TP λDD2.TP2
3oo3 3.λDU 3.λDD.TP/2
1oo4 λDU4.TP3 λDD4.TP4/5
2oo4 4.λDU3.TP2 λDD3.TP3
3oo4 6.λDU2.TP 2.λDD2.TP2
4oo4 4.λDU 2.λDD.TP
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
111
Zwei Spalten werden für die Auswertung der Checkliste verwendet. Spalte A enthält dieBewertungen der Leistungsmerkmale des CCF-Schutzes, die so wahrgenommen werden,als würden sie durch einen Anstieg der Diagnosehäufigkeit (automatische Prüfung oderWiederholungsprüfung) verbessert. Spalte B enthält die Bewertungen für die Leistungs -merkmale, die anscheinend durch einen Anstieg der Diagnosehäufigkeit nicht verbessertwerden können.
Das Modell ermöglicht die Änderung der Bewertung durch die Häufigkeit und denDeckungs grad der Diagnoseprüfung. Die Bewertungen in Spalte A werden mit dem Faktor Cmultipliziert, der von den diagnosebezogenen Überlegungen abgeleitet wird. Der endgül -tige β-Faktor wird anschließend anhand der Summe der ursprünglichen Bewertungenabgeschätzt:
Ursprüngliche Bewertung = (A * C) + B
Die Beziehung zwischen β und der ursprünglichen Bewertung ist im Grunde genommeneine negative Exponentialfunktion, da keine Daten vorliegen, um die Abweichung von derAnnahme zu rechtfertigen, dass mit der Verringerung (Verbesserung) von β die nachfolgen -den Verbesserungen immer schwieriger zu erreichen sind.
Wenn eine bestimmte Frage nicht auf das zu beurteilende System zutrifft, wird eineBewertung von 100 % oder 0 % eingegeben, je nachdem, welcher Wert für das Systempassend ist.
Im Folgenden sind typische Bedingungen aufgeführt, die beim Abschätzen des CCF-Beitragsberücksichtigt werden müssen:
• Redundante Kanäle sind physikalisch getrennt• Verschiedene Technologien, z. B. ein elektronischer Kanal und ein relaisbasierter
Kanal• Ein dokumentiertes Arbeitssystem vor Ort muss sicherstellen, dass Ausfälle
überprüft werden• Durch dokumentierte Instandhaltungsverfahren sollte ein erneutes Verlegen von
Kabelführungen verhindert werden• Eingeschränkter Zugang durch die Mitarbeiter• Die Betriebsumgebung wird kontrolliert und die Bemessungswerte der
Einrichtung liegen über dem gesamten Bereich der Umgebungsbedingungen
Die tatsächliche Leistung während des Betriebs hängt jedoch von der jeweiligen Installationund den Konstruktions-, Betriebs- und Instandhaltungspraktiken ab, die übernommenwurden. Unter der Voraussetzung, dass alle sinnvollen guten Engineering-Praktikenübernommen wurden, bietet das Modell einen nachvollziehbaren Schätzwert für den CCF-Beitrag.
112
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Wenn CCFs in den Formeln für PFD und PFH [Tabelle 13 und Tabelle 14] berücksichtigtwerden, kann der folgende Ansatz verwendet werden. Die verwendeten Gleichungen sindVereinfachungen der Standardgleichungen und werden in [19.6] abgeleitet.
Für erkannte Ausfälle:
PFD1oo1 = λDD.MDT Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC 61508-6, B.3.2.2.2
Für unerkannte Ausfälle:
PFD1oo1 = λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDU2.TP2/3 + β.λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.2
Dabei ist λDD die Rate der gefährlichen erkannten Ausfälle, λDU ist die Rate der gefährlichenunerkannten Ausfälle und β ist der Beitrag der Ausfälle infolge gemeinsamer Ursachen (CCF).TP ist das Intervall für die Wiederholungsprüfung und MDT die mittlere Ausfalldauer.
Die generischen Formen dieser Gleichungen für verschiedene Konfigurationen werden fürSysteme in der Betriebsart mit kontinuierlicher Anforderung und in der Anforderungsbe -triebs art in [19.7] näher untersucht.
12.18. Ausfallraten
Bei der Berechnung von PFD und SFF verwendet die Analyse insofern die zugrunde liegendeHypothese von IEC 61508-6, Anhang B.3, als die Ausfallraten der Komponenten über dieLebensdauer des Systems konstant sind.
Die in Berechnungen verwendeten Ausfallraten können durch die FMECA (Failure Modeand Effects and Criticality Analysis) ermittelt und durch Felddaten oder durch Verweiseauf veröffentlichte Daten aus Industriequellen quantifiziert werden. Die verwendetenAusfallraten müssen mit verfügbaren Daten für ähnliche Module mit derselben Komplexitätund Technologie verglichen werden. Dieses Konzept gewährleistet einen konservativenAnsatz hinsichtlich der Zuverlässigkeitsmodellierung und sorgt für Vertrauen, dass dieberechnete Zuverlässigkeitsleistung während des Betriebs erreicht werden kann.
Ausfallraten und ihre Quellen werden in 14.8 näher erläutert.
12.19. Modellierung von 1oo2, 1oo2D und Hot-Standby
Die folgenden Beispiele zeigen Zuverlässigkeitsblockdiagramme (RBDs – Reliability BlockDiagrams), in denen einige gängige Systemkonfigurationen modelliert wurden.
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
113
1oo2
Ein 1oo2-System ist eine 1-aus-2-Architektur (1 out of 2), bei der einer der beiden Kanäle dieSicherheitsfunktion ausführen kann. Es ist eine fehlertolerante Konfiguration, bei der derAusfall eines Kanals toleriert werden kann.
Wenn es sich bei dem Kanalausfall um einen gefährlichen unerkannten Ausfall handelt, wirddieser durch die Diagnose nicht erkannt und es wird kein Fehler angezeigt. Allerdingsfunktioniert die Sicherheitsfunktion weiterhin, da der eine verbleibende Kanal die Auslösungeinleiten kann. Wenn es sich bei dem Kanalausfall um einen gefährlichen erkannten Ausfallhandelt, führt dies in der Regel zu einer Fehleranzeige.
Ein Beispiel-RBD ist in 12.20 abgebildet.
1oo2D
In einer 1oo2D-Systemarchitektur sind zwei Kanäle parallel angeschlossen und jeder Kanalverfügt über Diagnoseschaltkreise, die Ausfälle mit einem hohen Diagnosedeckungsgraderkennen. Beide Kanäle müssen der Ausführung einer Abschaltungsaktion während desnormalen Systembetriebs zustimmen. Ein fehlerfrei funktionierender Kanal steuert dasSystem, wenn der Diagnoseschaltkreis der anderen Seite einen Ausfall erkennt.
Hinsichtlich der Zuverlässigkeitsmodellierung funktioniert das 1oo2D-System bei gefähr -lichen erkannten Ausfällen als 1oo2-Konfiguration und die Systemausfallrate sowie die PFDkönnen als 1oo2 für erkannte Ausfälle modelliert werden.
Ein einzelner gefährlicher und unerkannter Ausfall eines Kanals in einem 1oo2D-Systemverhindert, dass das System ordnungsgemäß funktioniert. Daher müssen Systemausfallrateund PFD für unerkannte Fehler als 2oo2 modelliert werden. Anders ausgedrückt: Es müssenbeide Kanäle ordnungsgemäß funktionieren.
Ein Beispiel-RBD ist in 12.21 abgebildet.
Hot-Standby
Eine Hot-Standby-Systemarchitektur verfügt über zwei parallel angeschlossene Kanäle, d. h.ein Kanal ist als Master definiert und steuert die Sicherheitsfunktion. Der andere Kanal hatdie Funktion eines Ersatzteils, das bei laufendem System ausgewechselt werden kann (Hot-Spare), sodass beim Erkennen eines gefährlichen Ausfalls im Master-Kanal der Standby-Kanaldie Steuerung der Sicherheitsfunktion übernimmt.
Hinsichtlich der Zuverlässigkeitsmodellierung funktioniert das Hot-Standby-System beigefährlichen erkannten Ausfällen als 1oo2-Konfiguration und die Systemausfallrate sowie diePFD können als 1oo2 für erkannte Ausfälle modelliert werden.
114
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Ein einzelner gefährlicher und unerkannter Ausfall eines Kanals verhindert, dass das Systemordnungsgemäß funktioniert. Daher müssen Systemausfallrate und PFD für unerkannteFehler als 1oo1 modelliert werden. Anders ausgedrückt: Die Sicherheitsfunktion kann einenunerkannten Ausfall des Master-Kanals nicht tolerieren und es gibt keine Redundanz beiunerkannten Ausfällen. Ein Beispiel-RBD ist in 12.22 abgebildet.
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
115
CCF
5 %
Men
ge1
11
12
11
Konfi
gura
tion
1oo1
1oo1
1oo1
1oo2
1oo2
1oo2
1oo2
λDD
(Dia
gnos
e)1,
16E-
060,
00E+
000,
00E+
008,
19E-
082,
95E-
072,
03E-
071,
38E-
075,
25E-
08λD
D*M
enge
1,16
E-06
0,00
E+00
0,00
E+00
8,19
E-08
5,90
E-07
2,03
E-07
1,38
E-07
5,25
E-08
λDD
für V
erzw
eigu
ng1,
16E-
061,
01E-
065,
25E-
08M
DT
2424
24G
esam
t λD
D1,
16E-
064,
93E-
115,
25E-
08
λDU
(Bes
tänd
igke
itspr
üfun
g)3,
66E-
072,
00E-
072,
00E-
079,
10E-
093,
28E-
082,
26E-
081,
54E-
085,
84E-
09λD
U*M
enge
3,66
E-07
2,00
E-07
2,00
E-07
9,10
E-09
6,56
E-08
2,26
E-08
1,54
E-08
5,84
E-09
λDU
für V
erzw
eigu
ng7,
66E-
071,
13E-
075,
84E-
09Ze
itrau
m fü
r Bes
tänd
igke
itspr
üfun
g, T
8760
8760
8760
Ges
amt λ
DU
7,66
E-07
1,11
E-10
5,84
E-09
λS (D
iagn
ose)
2,15
E-06
3,00
E-07
3,00
E-07
9,10
E-08
3,28
E-07
2,26
E-07
1,54
E-07
5,84
E-08
λS*M
enge
0,00
E+00
0,00
E+00
2,63
E-03
9,10
E-08
6,56
E-07
2,26
E-07
1,54
E-07
5,84
E-08
λS fü
r Ver
zwei
gung
2,63
E-03
1,13
E-06
5,84
E-08
MD
T24
2424
Ges
amt λ
S2,
63E-
032,
25E-
065,
84E-
08
Ges
amt λ
DD
1,21
E-06
Ges
amt λ
DU
7,72
E-07
Ges
amt λ
S2,
63E-
03
Ges
amt λ
SYS
2,63
E-03
/h
Dig
ital-
ausg
ang
CCF
CNB
CPU
CNB
Ana
log-
eing
ang
CPU
Dru
ckse
nder
PT-x
xxLü
fter
ladu
ng
FL-x
xxLü
fter
ladu
ng
FL-x
xx
Ana
log-
eing
ang
Dig
ital-
ausg
ang
Systemausfallratefür ein 1oo2-System
116
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Dig
ital-
ausg
ang
CCF
CNB
CPU
CNB
Ana
log-
ei
ngan
gCP
U
Dru
ckse
nder
PT-x
xxLü
fter
ladu
ng
FL-x
xxLü
fter
ladu
ng
FL-x
xxCN
BA
nalo
g-ei
ngan
gCP
UD
igita
l-au
sgan
g
CCF
5 %
Men
ge1
11
12
11
24
22
Konfi
gura
tion
1oo1
1oo1
1oo1
1oo2
1oo2
1oo2
1oo2
2oo2
2oo2
2oo2
2oo2
λDD
(Dia
gnos
e)1,
16E-
060,
00E+
000,
00E+
008,
19E-
082,
95E-
072,
03E-
071,
38E-
075,
25E-
08λD
D*M
enge
1,16
E-06
0,00
E+00
0,00
E+00
8,19
E-08
5,90
E-07
2,03
E-07
1,38
E-07
5,25
E-08
λDD
für V
erzw
eigu
ng1,
16E-
061,
01E-
065,
25E-
08M
DT
2424
24G
esam
t λD
D1,
16E-
064,
93E-
115,
25E-
08
λDU
(Bes
tänd
igke
itspr
üfun
g)3,
66E-
072,
00E-
072,
00E-
079,
10E-
093,
28E-
082,
26E-
081,
54E-
08λD
U*M
enge
3,66
E-07
2,00
E-07
2,00
E-07
1,82
E-08
1,31
E-07
4,52
E-08
3,07
E-08
λDU
für V
erzw
eigu
ng7,
66E-
072,
25E-
07Ze
itrau
m fü
r Bes
tänd
igke
itspr
üfun
g, T
8760
8760
Ges
amt λ
DU
7,66
E-07
9,87
E-04
λS (D
iagn
ose)
2,15
E-06
3,00
E-07
3,00
E-07
9,10
E-08
3,28
E-07
2,26
E-07
1,54
E-07
5,84
E-08
λS*M
enge
0,00
E+00
0,00
E+00
2,63
E-03
9,10
E-08
6,56
E-07
2,26
E-07
1,54
E-07
5,84
E-08
λS fü
r Ver
zwei
gung
2,63
E-03
1,13
E-06
5,84
E-08
MD
T24
2424
Ges
amt λ
S2,
63E-
032,
25E-
065,
84E-
08
Ges
amt λ
DD
1,21
E-06
Ges
amt λ
DU
9,88
E-04
Ges
amt λ
S2,
63E-
03
Ges
amt λ
SYS
3,62
E-03
/h
Ana
log-
ei
ngan
gD
igita
l- au
sgan
g
Systemausfallratefür ein 1oo2D-System
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
117
Dig
ital-
ausg
ang
CCF
CNB
CPU
CNB
Ana
log-
ei
ngan
gCP
U
Dru
ckse
nder
PT-x
xxLü
fter
ladu
ng
FL-x
xxLü
fter
ladu
ng
FL-x
xxCN
BA
nalo
g-
eing
ang
CPU
Dig
ital-
ausg
ang
Ana
log-
ei
ngan
gD
igita
l- au
sgan
g
Men
ge1
11
12
11
12
11
Konfi
gura
tion
1oo1
1oo1
1oo1
1oo2
1oo2
1oo2
1oo2
1oo1
1oo1
1oo1
1oo1
λDD
(Dia
gnos
e)1,
16E-
060,
00E+
000,
00E+
008,
19E-
082,
95E-
072,
03E-
071,
38E-
075,
25E-
08λD
D*M
enge
1,16
E-06
0,00
E+00
0,00
E+00
8,19
E-08
5,90
E-07
2,03
E-07
1,38
E-07
5,25
E-08
λDD
für V
erzw
eigu
ng1,
16E-
061,
01E-
065,
25E-
08M
DT
2424
24G
esam
t λD
D1,
16E-
064,
93E-
115,
25E-
08
λDU
(Bes
tänd
igke
itspr
üfun
g)3,
66E-
072,
00E-
072,
00E-
079,
10E-
093,
28E-
082,
26E-
081,
54E-
08λD
U*M
enge
3,66
E-07
2,00
E-07
2,00
E-07
9,10
E-09
6,56
E-08
2,26
E-08
1,54
E-08
λDU
für V
erzw
eigu
ng7,
66E-
071,
13E-
07Ze
itrau
m fü
r Bes
tänd
igke
itspr
üfun
g, T
8760
8760
Ges
amt λD
U7,
66E-
074,
93E-
04
λS (D
iagn
ose)
2,15
E-06
3,00
E-07
3,00
E-07
9,10
E-08
3,28
E-07
2,26
E-07
1,54
E-07
5,84
E-08
λS*M
enge
0,00
E+00
0,00
E+00
2,63
E-03
9,10
E-08
6,56
E-07
2,26
E-07
1,54
E-07
5,84
E-08
λS fü
r Ver
zwei
gung
2,63
E-03
1,13
E-06
5,84
E-08
MD
T24
2424
Ges
amt λS
2,63
E-03
2,25
E-06
5,84
E-08
Ges
amt λD
D1,
21E-
06G
esam
t λD
U4,
94E-
04G
esam
t λS
2,63
E-03
Ges
amt λ
SYS
3,13
E-03
/h
Systemausfallratefür ein Hot-Standby-System
118
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Dig
ital-
ausg
ang
CCF
CNB
CPU
CNB
Ana
log-
ei
ngan
gCP
U
Dru
ckse
nder
PT-x
xxLü
fter
ladu
ng
FL-x
xxLü
fter
ladu
ng
FL-x
xx
CCF
5 %
Men
ge1
11
12
11
Konfi
gura
tion
1oo1
1oo1
1oo1
1oo2
1oo2
1oo2
1oo2
λDD
(Dia
gnos
e)1,
16E-
060,
00E+
000,
00E+
008,
19E-
082,
95E-
072,
03E-
071,
38E-
075,
25E-
08λD
D*M
enge
1,16
E-06
0,00
E+00
0,00
E+00
8,19
E-08
5,90
E-07
2,03
E-07
1,38
E-07
5,25
E-08
λDD
für V
erzw
eigu
ng1,
16E-
061,
01E-
065,
25E-
08M
DT
2424
24G
esam
t λD
D1,
16E-
064,
93E-
115,
25E-
08
λDU
(Bes
tänd
igke
itspr
üfun
g)3,
66E-
072,
00E-
072,
00E-
079,
10E-
093,
28E-
082,
26E-
081,
54E-
085,
84E-
09λD
U*M
enge
3,66
E-07
2,00
E-07
2,00
E-07
9,10
E-09
6,56
E-08
2,26
E-08
1,54
E-08
5,84
E-09
λDU
für V
erzw
eigu
ng7,
66E-
071,
13E-
075,
84E-
09Ze
itrau
m fü
r Bes
tänd
igke
itspr
üfun
g, T
8760
8760
8760
Ges
amt
λDU
7,66
E-07
1,11
E-10
5,84
E-09
λS (D
iagn
ose)
2,15
E-06
3,00
E-07
3,00
E-07
9,10
E-08
3,28
E-07
2,26
E-07
1,54
E-07
5,84
E-08
λS*M
enge
0,00
E+00
0,00
E+00
2,63
E-03
9,10
E-08
6,56
E-07
2,26
E-07
1,54
E-07
5,84
E-08
λS fü
r Ver
zwei
gung
2,63
E-03
1,13
E-06
5,84
E-08
MD
T24
2424
Ges
amt
λS2,
63E-
032,
25E-
065,
84E-
08
Ges
amt
λDD
=1,
21E-
06D
urch
schn
. (D
D)=
0,99
997
Ges
amt
λDU
=7,
72E-
07D
urch
schn
. (D
U)=
0,99
328
Ges
amt
λS=
2,63
E-03
Dur
chsc
hn. (
S)=
0,94
062
Ges
amt
λSY
S=
2,63
E-03
/hV
erfü
gbar
keit
=0,
9343
Ana
log-
ei
ngan
gD
igita
l- au
sgan
g
Verfügbarkeit eineskomplexen Systems
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
119
12.24. Beispieldatenblatt
Die in den oben abgebildeten RBDs verwendeten Daten zu Ausfallraten müssen im Berichtangeführt und bis zur Quelle nachvollziehbar sein. Wenn auf veröffentlichte Daten verwiesenwird, muss die Quelle ausreichende Details angeben, die es Dritten erlauben, dieverwendeten Daten unabhängig zu überprüfen. Hierzu könnte eine Dokument-ID, die ISBN-Nummer, sofern vorhanden, die Seitenzahl und Abschnittsnummer angeführt werden.
Tabelle 15 ist eine typische Datentafel für die oben abgebildeten Beispiel-RBDs.
Tabelle 14: Berechnung von PFH/PFD (unerkannte Ausfälle)
12.25. Modellierung von Feuer- und Gas-Systemen (F&G)
Beim Modellieren von F&G-Systemen müssen Sie einige Richtlinien zur Fehlertoleranzangeben. Die Modellierung von ESD- oder ähnlichen Systemen folgt in der Regel derselbenKonfiguration, die auch von der Bewertung des Logik-Solvers verwendet wird. Beispielsweisewird die Zuverlässigkeit von Druckgebern, die mit 1 aus 2 (1oo2) bewertet werden, beiHochdruck durch ein ESD-System, als 1oo2 modelliert. Dasselbe gilt jedoch nicht immer fürF&G-Systeme.
Beschrei bung Teile -nummer
λGesamt λD λDD λDU λS Kommentare/Quelle
Druckgeber PT-xxx
PT-xxx 3,68E-06 1,53E-06 1,16E-06 3,66E-07 2,15E-06 Handbuch zurfunktionalen Sicherheitdes Herstellers PT-xxx, M-xxx-xxx, Monat-20xx
LüfterladungFL-xxx, Strom -wandler
FL-xxx 5,00E-07 2,00E-07 0,00E+00 2,00E-07 3,00E-07 FARADIP-THREE V6.4,Reliability Data Base.Technis, 26 Orchard Drive,Tonbridge, Kent TN104LG, ISBN 0-951-65623-6.
Comms.ModuleControlNetCNB
1756-CNB 1,82E-07 9,10E-08 8,19E-08 9,10E-09 9,10E-08 Allen-Bradley-Dokumentzur Verwendung vonControlLogix in SIL2-Anwendungen
Analogein -gangsmodul
1756-AI16 6,56E-07 3,28E-07 2,95E-07 3,28E-08 3,28E-07 Allen-Bradley-Dokumentzur Verwendung vonControlLogix in SIL2-Anwendungen
ControlLogix-CPU
1756-L63 4,52E-07 2,26E-07 2,03E-07 2,26E-08 2,26E-07 Allen-Bradley-Dokumentzur Verwendung vonControlLogix in SIL2-Anwendungen
Digitalaus -gangsmodul
1756-OB32
3,07E-07 1,54E-07 1,38E-07 1,54E-08 1,54E-07 Allen-Bradley-Dokumentzur Verwendung vonControlLogix in SIL2-Anwendungen
120
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Im Allgemeinen kann eine konservative Analyse in der Regel vorgenommen werden,ohne dass Annahmen des Detektordeckungsgrads und der Redundanz im Alarmlayoutvorausgesetzt werden, doch in der Praxis kann dies zu einer pessimistischen Analyseund dazu führen, dass die Zielwerte nicht erreicht werden. Wenn solche Schwierigkeitenauftreten, ermöglichen fundierte Kenntnisse der Gefahren die Entwicklung eineszielgerichteteren Modells, sodass eine realistischere Analyse ausgeführt werden kann.
F&G-Systeme schützen nicht nur Menschen, sondern können auch zum Schutz einerRessource vor kommerziellen Risiken oder eines Standorts vor Umweltrisiken eingesetztwerden. Die Aktion, die das SIF für diesen Schutz ausführen muss, bestimmt das zuverwendende Zuverlässigkeitsmodell.
Bei der Modellierung eines F&G-SIF zur Bestimmung der Konformität mit den Zielen für dieHardwarezuverlässigkeit, z. B. PFD, muss entschieden werden, welche exakteHardwarekonfiguration modelliert werden soll.
Beispielsweise geben die C&E-Daten für ein F&G-SIF typischerweise Folgendes an:
a) Ein beliebiger von sechs (1oo6) Gasmeldern im Alarmzustand wird als „Gaseinzeln“ bezeichnet und aktiviert einen Alarm in der Steuerzentrale.
b) Zwei beliebige von sechs (2oo6) Gasmeldern im Alarmzustand werden als „Gasbestätigt“ bezeichnet, aktivieren Alarme und Warnleuchten am Standort undgenerieren eine Notabschaltung (ESD) der Anlage.
Allerdings müssen Sie für die korrekte Modellierung die SIF und die Gefahr, vor der dieseschützt, verstanden haben. Die von der SIF auszuführende Aktion bestimmt das zuverwendende Modell.
12.26. Modellieren von Melderkonfigurationen in F&G-Systemen
In der Praxis wird ein einzelner Gasalarm durch einen Bediener überprüft, um festzustellen,ob er real oder falsch ist oder aufgrund eines Melderfehlers ausgelöst wurde. Die auszufüh -rende Aktion wird nur als Ergebnis eines bestätigten Gasalarms aktiviert, wodurchsichergestellt ist, dass das Anlagenpersonal sicher evakuiert werden kann. Dies ist dieSicherheitsfunktion, mit der die SIL-Bewertung angezogen wurde. Aus diesem Grund mussFall b) oben der Ausgangspunkt für die Zuverlässigkeitsmodellierung sein: ein bestätigterGasalarm stellt sicher, dass die Mitarbeiter sicher evakuiert werden können.
Das Layout in Abbildung 44 zeigt sechs Gasmelder, die in einer Zone positioniert sind. Undder Logik-Solver, der für 2oo6 stimmt, ist so konfiguriert, dass die auszuführende Aktion nuraktiviert wird, wenn zwei beliebige von sechs Meldern Gas erkennen.
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
121
Allerdings geht es bei der Modellierung von SIFs anhand von PFD-Zielen um die Berechnungder Wahrscheinlichkeit, dass auf Gas nicht reagiert wird, wenn es erforderlich ist. Eine Gas -freisetzung, die groß genug ist, um gefährlich zu sein, liegt eventuell nur im Abdeckungs -bereich der Hälfte der sechs Melder (siehe Abbildung 45).
In der Praxis sollte die auszuführende Aktion so früh wie möglich aktiviert werden, d. h. wennsich die beiden mindestens erforderlichen Sensoren in der Gaswolke befinden. In diesem Fallmüssen die Sensoren als 2oo2 und ohne Redundanz modelliert werden, d. h. es könntenfolglich keine Sensorausfälle toleriert werden. Wenn die Ziele mit einer nicht redundantenKonfiguration erreicht werden, würde dies einen konservativen Ansatz darstellen, da diesernicht auf der Rechtfertigung eventueller Annahmen des Melderdeckungsgrads basiert.
Zone mit 6 Gasmeldern
Gas
Zone 01
F&GAuszuführende Aktion beim Erhalt eines Alarms von zwei beliebigen aus sechs Meldern.Logik-Abstimmung 2oo6
G
G
G
G
G
G
Abbildung 45: F&G-Systemdeckungsgrad
Zone mit 6 GasmeldernZone 01
F&GAuszuführende Aktion beim Erhalt eines Alarms von zwei beliebigen aus sechs Meldern.Logik-Abstimmung 2oo6
G
G
G
G
G
G
Abbildung 44: F&G-Systemlayout
122
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
In der Realität ist die PFD des Sensorsubsystems eher besser als die, die für eine nichtredundante Konfiguration berechnet wurde, da es aufgrund der Sensorpositionierungwahrscheinlich einige Überlappungen beim Sensordeckungsgrad gibt, weshalb der Ausfalleines einzelnen Sensors möglicherweise toleriert werden kann.
Bei der Zuverlässigkeitsmodellierung muss der Planer daher den maximalen Umfang derGasfreisetzung (Größe der Gaswolke) beurteilen, die toleriert werden kann, bevor die auszu -führende Aktion erforderlich würde. Außerdem muss er abschätzen, wie viele Sensoren zudiesem Zeitpunkt innerhalb der Wolke liegen.
Wenn in diesem Beispiel zugelassen werden kann, dass die Gaswolke groß genug ist, um3 Sensoren abzudecken, bevor die auszuführende Aktion eingeleitet wird, kann mit derLogikabstimmung, die zwei beliebige Sensoren aus 6 vorgibt, der Ausfall eines Sensorstoleriert werden. Anders ausgedrückt könnte die Zuverlässigkeit der Gaserkennung auchals 2 aus 3 modelliert werden.
12.27. Auswirkungen einer falschen Modellierung auf die PFD
Wenn im obigen Beispiel die Logikabstimmung der Gasmelder 2oo6 ergibt, sind einigePlaner möglicherweise versucht, die Zuverlässigkeit des Systems als 2oo6 anstatt als 2oo3oder sogar 2oo2 zu modellieren. Offensichtlich kann die daraus resultierende Diskrepanz inder gesamten PFD der Sicherheitsfunktion und ihrer Leistung im Hinblick auf SIL-Bewertun -gen zwischen redundanten und nicht redundanten Konfigurationen beträchtlich sein.
Sofern eine gewisse Fehlertoleranz beansprucht werden kann, z. B. durch die Modellierungvon 2oo3 oder 2oo4, sind dagegen die Differenzen in der gesamten PFD der Sicherheits -funktion und ihrer Leistung im Hinblick auf SIL-Bewertungen eher gering. Die PFD fürredundante Konfigurationen ist durch Ausfälle infolge gemeinsamer Ursachen begrenzt,weshalb Verbesserungen hinsichtlich der PFD weniger signifikant sind, wenn dieHardwarefehlertoleranz (HFT) auf über 1 ansteigt.
Wenn allerdings die Fehlertoleranz aufgrund der Melderpositionierung oder der Größe derGaswolke, die toleriert werden kann, wenn die auszuführende Aktion erforderlich ist, nichtgewährleistet ist, kann die daraus resultierende Diskrepanz zwischen redundanten und nichtredundanten Konfigurationen beträchtlich sein (Abbildung 46).
Hinweis: Die PFD wird für typische Sensorausfallraten und Reparaturzeiten berechnet undgeht von einem Beitrag gemeinsamer Ursachen für redundante Konfigurationen aus. EineFehlertoleranz von Null stellt in diesem Beispiel eine 2oo2-Konfiguration dar, eine Fehler -toleranz von 1 eine 2oo3-Konfiguration, 2 eine 2oo4-Konfiguration usw.
Die Ergebnisse zeigen, dass abhängig von der Architektur oder der für die Modellierungausgewählten HFT die berechnete PFD in den Bereich von SIL1, SIL2 oder SIL3 fallen könnte.
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
123
12.28. Auswirkungen einer falschen Modellierung auf die Architektur
Eine falsche Modellierung hat signifikantere Auswirkungen auf die Leistung der Architekturder Sicherheitsfunktion. Für einen bestimmten Anteil ungefährlicher Ausfälle (SFF – SafeFailure Fraction) hängt die SIL-Leistung des Meldersubsystems von seiner HFT ab.
Beispielsweise könnten für einen Melder des Typs B mit einem SFF zwischen 60 % und 90 %die folgenden SIL-Fähigkeiten für die Architektur beansprucht werden:
Wenn jedoch der Planer aufgrund der Abstimmungslogik wieder von einer 2oo6-Konfiguration ausgeht, führt eine optimistische Architektur zu einem SIL3-Anspruch,während tatsächlich jedoch nur ein niedrigerer SIL-Level vorliegt.
HFT Konfiguration SIL (Architektur)
0 2oo2 SIL1
1 2oo3 SIL2
2 4oo4 SIL3
01,00E-04
1,00E-03
1,00E-02
1,00E-01
1,00E+00
1 2 3Hardware-Fehlertoleranz (HFT)
F&G-System PFD
2oo2
2oo3SIL2
SIL3
SIL1
2oo4 2oo5 2oo6
PFD
4
Abbildung 46: PFD-Berechnung für ein F&G-System
124
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
12.29. Modellieren von Alarmkonfigurationen in F&G-Systemen
Mitarbeiter werden vor Gefahren durch Feuer und Gas durch einen bestätigten Alarmgeschützt. Um eine sichere Evakuierung der Mitarbeiter zu gewährleisten sind lediglichoptische und akustische Alarme erforderlich. Daher muss bei Sicherheitsrisiken die Aus -gangskonfiguration lediglich die Bereitstellung optischer und akustischer Meldegerätevorsehen.
Bei F&G-Systemen kann die auszuführende Aktion typischerweise zur Aktivierung optischer6oo6- UND akustischer 4oo4-Alarme angegeben werden. Die Modellierung solcher Konfi -gurationen führt aufgrund der Anzahl der zu berücksichtigenden Geräte in der Regel zueinem Problem, wenn ein PFD-Ziel besser als SIL1 erreicht werden soll. Da außerdem Alarmeund Warnleuchten einen äußerst geringen SFF aufweisen, können ihre strukturellenEigenschaften in der Regel in Simplex-Konfigurationen maximal SIL1 erreichen.
Vergessen Sie nicht, dass eine Zone störende Einrichtungen enthalten kann, die eineWarnleuchte verstellen oder zum Überhören eines akustischen Alarms führen können. Daherwird empfohlen, Alarme so zu positionieren, dass die Mitarbeiter im Gefahrenbereich stetsmehrere Meldegeräte sehen oder hören können. Wenn sich diese Annahme verifizieren lässt,kann der Planer eine solche Fehlertoleranz bei der Zuverlässigkeitsmodellierung derAlarmkonfiguration nutzen.
Eine 6oo6-Konfiguration von Meldegeräten kann 2 oder 3 separate Zonen mit vielleicht 2oder 3 Meldegeräten pro Zone abdecken. Der Planer muss daher anhand der Layout-Zeichnungen für die Anlage entscheiden, welche Fehlertoleranz für die jeweilige Zonebeansprucht werden kann, und anschließend dies entsprechend modellieren(Abbildung 47).
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
125
Die Entscheidung, wie viele Warnleuchten gesehen werden können und wie viele davonausfallen dürfen, ohne zum Ausfall der Sicherheitsfunktion zu führen, ist daher von zentralerBedeutung. Im Layout der Fallstudie wurde entschieden, dass in jeder Zone zwei der dreiWarnleuchten in der Zone stets gesehen werden können.
In einem solchen Layout wäre ein vernünftiger Ansatz die Modellierung jeder Zone 1 als1oo2, da Sie nur eine Warnleuchte sehen müssen. Da jedoch beide Zonen geschützt werdenmüssen, sind im Modell beide Zonen zu berücksichtigen, also 1oo2 + 1oo2.
Gehen Sie in einem weiteren Beispiel von 6 Warnleuchten in einer einzelnen Zone aus,wobei entschieden wurde, dass jederzeit 4 der 6 Warnleuchten gesehen werden können(Abbildung 48). In diesem Fall muss stets eine der vier Warnleuchten, die gesehen werdenkönnen, funktionieren. Daher können die Alarme als 1oo4 modelliert werden.
Zone 01 Zone 02
Warnleuchte Warnleuchte
Warnleuchte
Warnleuchte
Warnleuchte
Warn-leuchte
F&G-Logik-Solver6oo6-Ausgänge
Abbildung 47: Beispiel für das Layout eines Alarmsystems
126
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
12.30. F&G-Eingaben in ESD-Systeme
Bis jetzt wurde noch nicht erwähnt, dass bei einem bestätigten Feuer oder Gasaustritt eineNotabschaltung (ESD) der Anlage ausgelöst werden muss. Ob die ESD-Auslösung im Rahmender F&G-SIF implementiert wird, hängt von den Konsequenzen der Gefahr und deserforderlichen Schutzes ab.
Wenn die Gefahr zu einem persönlichen Sicherheitsrisiko führt, kann argumentiert werden,dass Alarme ausreichend sind, um den Schutz zu gewährleisten. In der Regel führen F&G-Auslösungen auch zu einer Eingabe in das ESD-System, doch in vielen Fällen dient dies dazu,eine Eskalation der Gefahr zu verhindern und die Ressource zu schützen. Eine ESD-Auslösungkann auch ein Zeichen einer guten Haushaltung sein, wobei die Inbetriebnahme nach derBeseitigung der Gefahr auf kontrolliertere Weise ermöglicht wird. Das F&G-System schütztvor Feuer oder Gas, während die ESD vor anderen Gefahren schützt. Sofern das F&G-Systemseine Ziele hinsichtlich der Risikominderung erfüllt, sollte es außer den oben genanntenGründen keine weiteren geben, warum das ESD ausgelöst werden sollte. Daher würde dasESD normalerweise nicht in die F&G-SIF integriert.
Es gibt jedoch Ausnahmen. Wenn die Gefahr zu einem Umwelt- oder Ressourcenschadenführt, bieten Alarme allein keinen Schutz, weshalb die Anlage beim Erkennen von Feuer oderGas möglicherweise isoliert werden muss. In solchen Fällen müssen Sie eine Abschaltungund Isolierung integrieren, wie sie in der Zuverlässigkeitsmodellierung der F&G-SIFsvorgesehen ist.
Zone 01
Warnleuchte
Warnleuchte
F&G-Logik-Solver6oo6-Ausgänge
Warnleuchte Warnleuchte
Warnleuchte Warnleuchte
Abbildung 48: Beispiel für das Layout eines Alarmsystems (1 Zone)
PROZESS-SAFEBOOK 1
Zuverlässigkeitstechniken
127
12.31. Zusammenfassung
Es ist offensichtlich, dass die Modellierung des Eingangssubsystems zu optimistischenErgebnissen führen kann, wenn anstelle der Fehlertoleranz der Melder die Konfigurationder Logikabstimmung modelliert wird. Wird derselbe Ansatz bei der Modellierung desAusgangssubsystems verwendet, ergeben sich äußerst pessimistische Ergebnisse. Zwischenden beiden Subsystemen kann das übernommene Modellierungskonzept zu einer großenAbweichung der berechneten PFD und den strukturellen Eigenschaften und daher zu einerstarken Abweichung des beanspruchten SIL-Levels führen.
Daher ist wichtig, dass ein sinnvoller Ansatz für die Modellierung von F&G-Systemenübernommen wird, um die Modellierungstechniken eindeutig zu verstehen und dieGefahren und Systeme zu analysieren. Auf diese Weise wird sichergestellt, dass eine präziseBeurteilung der Risikominderung durch ein F&G-System erreicht und Endkunden durchoptimistische Beanspruchungen nicht falsch informiert werden.
128
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
13. SIL-Verifizierung
13.1. Konformität mit den Zielen der Sicherheits-Integritätslevel
Es wird oft gefragt, was getan werden muss, um die Konformität nachzuweisen. Es reichtnicht aus, „SIL-zertifizierte“ Komponenten zu kaufen und davon auszugehen, dass dadurchautomatisch eine Konformität gegeben ist. Und da die Norm keine Vorschriften macht, ist esaußerdem nicht möglich, eine Checkliste oder ähnliches für die auszuführenden Aufgabenbereitzustellen. Wie viel oder wenig Sie unternehmen, hängt in Wirklichkeit von zahlreichenFaktoren ab. Das Konzept hängt von der Menge der verfügbaren Informationen oder Daten(also der Analysetiefe) ab. Alternativ muss die angewandte Strenge Ihre Kunden oder dieBehörde zufriedenstellen – doch alle der oben genannten Faktoren müssen Sie davonüberzeugen, dass Sie genug getan haben.
Falls es zu Problemen kommt und eine Person getötet wird, müssen Sie den Familiengegenübertreten und beweisen, dass Sie alles getan haben, was von Ihnen hätte erwartetwerden können.
Ein empfohlener Plan für die Konformität wäre, die Anforderungen von IEC 61511-1, 10und 12 zu erfüllen. Hierzu gehören auch folgende Unterabschnitte, die in Abbildung 49dargestellt sind:
• Anforderungen an das Systemverhalten beim Erkennen eines Fehlers [13.2]• Hardwarefehlertoleranz [13.3]• Auswahl der Komponenten und Subsysteme [13.4] • Feldgeräte [13.5]• Bediener-, Wartungs- und Kommunikationsschnittstellen zum SIS [13.6]• Anforderungen an den Instandhaltungs- oder Testaufbau [13.7]• SIF-Ausfallwahrscheinlichkeit [13.8]• Anwendungssoftware [13.9]
Wenn diese Abschnitte noch weiter unterteilt werden können, ist dies ebenfalls dargestellt.
Konformität mit IEC 61511-1, 5: Das Management der funktionalen Sicherheit wird inAbschnitt [18] näher erläutert.
PROZESS-SAFEBOOK 1
SIL-Verifizierung
129
IEC
6151
1-1,
11,
12
Kons
truk
tion
und
Engi
neer
ing
des
sich
erhe
itste
ch-
nisc
hen
Syst
ems
IEC
6151
1-1,
11.
2A
llgem
eine
A
nfor
deru
ngen
IEC
6151
1-1,
11.
3A
nfor
deru
ngen
an
das
Syst
emve
rhal
ten
beim
Erk
enne
n ei
nes
Fehl
ers
IEC
6151
1-1,
11.
4A
nfor
deru
ngen
an
die
Har
dwar
efeh
ler-
to
lera
nz
IEC
6151
1-1,
11.
5A
nfor
deru
ngen
hin
sich
t-lic
h de
r Aus
wah
l von
Ko
mpo
nent
en u
nd
Subs
yste
men
IEC
6151
1-1,
11.
5.3
Anf
orde
rung
en
basi
eren
d au
f der
vo
rher
igen
Nut
zung
IEC
6151
1-1,
11.
5.4
Anf
orde
rung
en h
insi
cht-
lich
FPL-
prog
ram
mie
r-ba
rer G
erät
e ba
sier
end
auf d
er v
orhe
rigen
N
utzu
ng
IEC
6151
1-1,
11.
5.5
Anf
orde
rung
en h
insi
cht-
lich
LVL-
prog
ram
mie
r-ba
rer G
erät
e ba
sier
end
auf d
er v
orhe
rigen
N
utzu
ng
IEC
6151
1-1,
11.
5.2
Allg
emei
ne
Anf
orde
rung
en
IEC
6151
1-1,
11.
5.6
Anf
orde
rung
en
hins
icht
lich
FVL-
pro-
gram
mie
rbar
er
Ger
äte
IEC
6151
1-1,
11.
6Fe
ldge
räte
IEC
6151
1-1,
11.
7Be
dien
-, W
artu
ngs-
und
Ko
mm
unik
atio
ns-
schn
ittst
elle
n
IEC
6151
1-1,
11.
8A
nfor
deru
ngen
an
den
Inst
andh
altu
ngs-
od
er T
esta
ufba
u
IEC
6151
1-1,
11.
9SI
F-A
usfa
ll-
wah
rsch
einl
ichk
eit
IEC
6151
1-1,
11
Kons
truk
tion
und
Engi
neer
ing
des
SIS
IEC
6151
1-1,
12
Anf
orde
rung
en a
n di
e A
nwen
dung
s-
soft
war
e
IEC
6151
1-1,
12.
4Pl
anun
g un
d En
twic
klun
g de
r A
nwen
dung
s-so
ftw
are
IEC
6151
1-1,
5Ve
rwal
tung
der
fu
nktio
nale
n Si
cher
heit
IEC
6151
1-1
Anf
orde
rung
en a
n di
e SI
L-Be
urte
ilung
hi
nsic
htlic
h de
r Ko
nfor
mitä
t
Abbildung 49: Plan für Konformität
130
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
13.2. Anforderungen an das Systemverhalten beim Erkennen eines Fehlers (IEC 61511-1, 11.3
Das Systemverhalten beim Erkennen eines Fehlers muss angegeben werden. Dies kannbeispielsweise in der SRS oder der Konstruktionsspezifikation näher erläutert werden.
Im Folgenden sind typische Beispiele für die Art von Parametern angeführt, dieberücksichtigt werden könnten:
1. Alle Ausgangsblöcke stimmen für 1oo2 bei den SPS-Anforderungen und kehrenbeim Erkennen eines Kommunikationsausfalls einer SPS zu 1oo1 zurück.
2. Die Konstruktionsspezifikation gibt an, dass ein fehlersicheres Prinzip angewandtwird. Alle Abschaltelemente des SIS erreichen ein Prinzip für den Übergang ineinen sicheren Zustand beim Auftreten eines Ausfalls.
3. Im Falle eines ESD-Systems wurde eine Funktion zur Deaktivierung für dieAuslösung implementiert.
4. Im Falle des F&G-Systems wurde eine Aktivierung zur Auslösung der Freisetzungeines Löschmittels implementiert. Das Erkennen eines einzelnen gefährlichenFehlers in einer redundanten Konfiguration wird durch eine Alarmbedingungangezeigt. Das F&G-System funktioniert während der zulässigen Reparaturdauerweiterhin sicher und es wurden zusätzliche Maßnahmen zur Risikominderungimplementiert, wie z. B. eine fest verdrahtete von Hand ausgelöste Freisetzungvon Löschmittel.
13.3. Anforderungen für Hardwarefehlertoleranz, IEC 61511-1, 11.4
13.3.1. Konzept
Um die Anforderungen für die Hardwarefehlertoleranz (HFT) zu erfüllen, ist eine quantitativeBeurteilung des Anteils sicherer Ausfälle (SFF – Safe Failure Fraction) und der strukturellenEinschränkungen erforderlich.
13.3.2. Anteil sicherer Ausfälle
Im Kontext der Hardwaresicherheitsintegrität ist der höchste SIL-Level, der für eine Sicher -heitsfunktion beansprucht werden kann, durch die HFT und den SFF der Subsystemebeschränkt, die diese Sicherheitsfunktion ausführen.
Eine Hardwarefehlertoleranz von 1 gibt an, dass die Architektur des Subsystems so konzipiertist, dass ein gefahrbringender Ausfall eines der Subsysteme die Sicherheitsaktion nichtverhindert, d. h. eine Konfiguration von 1oo2 oder 2oo3 würde einer HFT von 1 entsprechen,eine Konfiguration von 1oo3 oder 2oo4 einer HFT von 2.
PROZESS-SAFEBOOK 1
SIL-Verifizierung
131
Hinsichtlich dieser Anforderungen stellt IEC 61508 [19.1] die folgenden Richtlinien zurVerfügung:
• Eine Hardwarefehlertoleranz von N bedeutet, dass N+1 Fehler zum Ausfall derSicherheitsfunktion führen könnten. Beim Bestimmen der Hardwarefehlertoleranzdürfen keine anderen Maßnahmen berücksichtigt werden, die die Auswirkungenvon Fehlern steuern, wie beispielweise Diagnosen.
• Wenn ein Fehler direkt zum Auftreten von mindestens einem Folgefehler führt,gelten diese Fehler als Einzelfehler.
• Beim Bestimmen der Hardwarefehlertoleranz können bestimmte Fehlerausgeschlossen werden, sofern die Wahrscheinlichkeit, dass sie auftreten, imVerhältnis zu den Anforderungen für die Sicherheitsintegrität des Subsystemsäußerst gering ist. Alle Fehlerausschlüsse dieser Art müssen gerechtfertigt unddokumentiert werden.
Es werden die folgenden allgemeinen Beziehungen verwendet.
SFF = Σ (Σ λS + Σ λDD)/(Σ λS + Σ λD) Ref. IEC 61508-2.C.1
Dabei gilt:
λD = λDU + λDD
Für jedes Element in der Sicherheitsfunktion muss der SFF berechnet werden. Mit dem Wertkann anschließend anhand von Tabelle 16 die SIL-Konformität für die Stufe der Hardware -fehlertoleranz bestimmt werden.
13.3.3. Strukturelle Einschränkungen
IEC 61511-1, 11.4.5 ermöglicht die Beurteilung der Hardwarefehlertoleranz mithilfe derAnforderungen von IEC 61508-2, Tabelle 2 und 3.
Innerhalb von IEC 61508 [19.1] sind Subsysteme entweder als Typ A oder Typ B kategorisiert.Wenn die Ausfallmodi richtig definiert sind, das Verhalten bei Fehlerbedingungen vollständigbestimmt werden kann und ausreichende und aussagekräftige Felddaten zur Verfügungstehen, kann im Allgemeinen das Subsystem als Typ A betrachtet werden. Wenn eine dieserBedingungen nicht zutreffen sollte, muss das Subsystem als Typ B eingestuft werden.
Einfache mechanische Geräte wie Ventile werden in der Regel als Typ A eingestuft. Logik-Solver sind normalerweise als Typ B eingestuft, da sie über eine gewisse Prozess-Funktiona -lität verfügen und daher ihr Verhalten unter Fehlerbedingungen eventuell nicht vollständigbestimmt werden kann. Sensoren können abhängig von der Technologie oder Komplexitätdes Geräts entweder als Typ A oder Typ B eingestuft werden.
132
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Die strukturellen Einschränkungen einer Sicherheitsfunktion sind in Tabelle 16zusammengefasst.
Tabelle 16: Strukturelle Einschränkungen
Hinweis: Eine Hardwarefehlertoleranz von N bedeutet, dass N+1 Fehler zum Ausfall derSicherheitsfunktion führen könnte.
13.3.4. Beispiel
In diesem Beispiel (Abbildung 50) besteht die Sicherheitsfunktion aus zwei Pegelgebern, diein einer 1oo2-Konfiguration arbeiten. Wenn einer der Geber einen hohen Pegel erkennt,deaktiviert die Allen-Bradley-SPS das Magnetventil, wodurch das ESD-Ventil schließen kann.
Für die Beurteilung der strukturellen Eigenschaften müssen Sie zunächst festlegen, vonwelchem Typ (A oder B) die einzelnen Elemente sind. Dies kann in der Regel mithilfe derDefinitionen in Tabelle 16 bestimmt werden. Als allgemeine Regel gilt, dass Sie sicher seinmüssen, welche Ausfallmodi und welches Ausfallverhalten ein Element aufweist. Außerdem
Definition von Subsystemen des Typs A: Ausfallmodi aller Teile ausreichend definiert, Verhalten des Subsystems unter Fehlerbedingungenvollständig bestimmt und ausreichend zuverlässige Daten zu den Erfahrungen im Feld, diezeigen, dass die beanspruchten Ausfallraten für erkannte und unerkannte gefährliche Ausfälleerfüllt werden
Anteil ungefährlicherAusfälle
Hardwarefehlertoleranz (N)
0 1 2
<60 % SIL1 SIL2 SIL3
60 % – <90 % SIL2 SIL3 SIL4
90 % – <99 % SIL3 SIL4 SIL4
≥99 % SIL3 SIL4 SIL4
Definition von Subsystemen des Typs B: Ausfallmodus mindestens einer Komponente ist nicht ausreichend definiert oder das Verhaltendes Subsystems unter Fehlerbedingungen kann nicht vollständig bestimmt werden oder esliegen nicht genügend zuverlässige Daten zur Erfahrung im Feld zur Verfügung, die diebeanspruchten Ausfallraten für erkannte und unerkannte gefährliche Ausfälle unterstützen.
Anteil sicherer Ausfälle Hardwarefehlertoleranz (N)
0 1 2
<60 % Unzulässig SIL1 SIL2
60 % – <90 % SIL1 SIL2 SIL3
90 % – <99 % SIL2 SIL3 SIL4
≥99 % SIL3 SIL4 SIL4
PROZESS-SAFEBOOK 1
SIL-Verifizierung
133
müssen sehr gute Ausfalldaten zur Verfügung stehen, um das Element als Typ A einzustufen.Anderenfalls muss das Element als Typ B eingestuft werden.
Die vorliegenden Ausfalldaten für die einzelnen Elemente ermöglichen anschließend dieBerechnung des SFF. Elementtyp und SFF sind in Abbildung 50 unter jedem Element inTabellenform aufgelistet.
Die HFT bezieht sich auf die Stufe der Fehlertoleranz für jedes Element. Die Pegelgeber, diein einer 1oo2-Konfiguration arbeiten, verfügen über eine HFT von 1. Alle anderen Elementeweisen keine Fehlertoleranz auf und haben daher eine HFT von 0.
Schließlich kann der SIL-Level, der für die strukturellen Eigenschaften der einzelnen Elementebeansprucht wird, mithilfe dieser Informationen in Tabelle 16 bestimmt werden.
Die Schwimmerschalter sind vom Typ A, weshalb die Kriterien für Typ A gelten. Mit einem SFFvon 0,40 und einer Fehlertoleranz von 1 entsprechen die Pegelgeber den strukturellenEinschränkungen von SIL2.
Auf ähnliche Weise können auch das SOV und das ESD-Ventil beurteilt werden. Das SOV,ebenfalls Typ A, weist eine Fehlertoleranz von 0 und einen SFF von 0,72 auf, was zu SIL2 führt.Das ESD-Ventil, Typ A, mit einer Fehlertoleranz von 0 und einem SFF von 0,25 führt zu SIL1.
TypSFFHFT
Architektur-SILZulässiger SIL (Arch)
Allgemein zulässiger SIL
A0,40
121
SIL1
B0,95
02
A0,72
02
A0,25
01
CCF 5 %
Schwimmer-schalter
Schwimmer-schalter
SPS 1oo1NE
SOV ESD-Ventil
Abbildung 50: Beispiel für eine sicherheitstechnische Funktion
134
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Abbildung 51: Strukturelle Einschränkungen für Pegelgeber
Die SPS wurde als Gerät des Typs B eingestuft. Dies gilt für die meisten speicherprogrammier -baren Steuerungen, da sie durch die Software gesteuert werden und deshalb ein Elementdarstellen, dessen Ausfallverhalten unsicher ist. Daher wird keine der Bedingungen für Typ Aerfüllt.
Die Beurteilung der SPS muss daher anhand der Anforderungen für Typ B erfolgen(Abbildung 52).
Abbildung 52: Strukturelle Einschränkungen der SPS
Zusammenfassend wird das strukturelle SIL-Niveau für jedes Element in Abbildung 50dargestellt und der SIL-Level, der für die gesamte Sicherheitsfunktion beansprucht werdenkann, ist SIL1. Die strukturelle SIL-Leistung für die gesamte Sicherheitsfunktion wird durchden niedrigsten beanspruchten SIL-Level begrenzt.
Definition von Subsystemen des Typs B: Ausfallmodus mindestens einer Komponente ist nicht ausreichend definiert oder das Verhaltendes Subsystems unter Fehlerbedingungen kann nicht vollständig bestimmt werden oder esliegen nicht genügend zuverlässige Daten zur Erfahrung im Feld zur Verfügung, die diebeanspruchten Ausfallraten für erkannte und unerkannte gefährliche Ausfälle unterstützen.
Anteil sicherer Ausfälle(SSF)
Hardwarefehlertoleranz (N)
0 1 2
<60 % Unzulässig SIL1 SIL2
60 % – <90 % SIL1 SIL2 SIL3
90 % – <99 % SIL2 (SPS) SIL3 SIL4
≥99 % SIL3 SIL4 SIL4
Definition von Subsystemen des Typs A: Ausfallmodi aller Teile ausreichend definiert, Verhalten des Subsystems unter Fehlerbedingungenvollständig bestimmt und ausreichend zuverlässige Daten zu den Erfahrungen im Feld, diezeigen, dass die beanspruchten Ausfallraten für erkannte und unerkannte gefährliche Ausfälleerfüllt werden
Anteil ungefährlicherAusfälle (SSF)
Hardwarefehlertoleranz (N)
0 1 2
<60 % SIL1 (ESD-Wert) SIL2 (LT) SIL3
60 % – <90 % SIL2 (SOV) SIL3 SIL4
90 % – <99 % SIL3 SIL4 SIL4
≥99 % SIL3 SIL4 SIL4
PROZESS-SAFEBOOK 1
SIL-Verifizierung
135
13.4. Anforderungen für die Auswahl von Komponenten und Subsystemen, IEC 61511-1, 11.5
13.4.1. Konzept
Für Anwendungen im Prozesssektor kann die Auswahl von Komponenten und Subsystemenauf einer Beurteilung der Eignung basieren. Ziel ist es, Anforderungen anzugeben für:
• die Auswahl von Komponenten und Subsystemen• die Qualifikation einer Komponente oder eines Subsystems zur Integration in die
Architektur einer SIF• die Angabe von Akzeptanzkriterien für Komponenten und Subsysteme
13.4.2. Allgemeine Anforderungen, IEC 61511-1, 11.5.2
Diese Vorgehensweise gilt nicht für SIL4-Anwendungen und für alle anderen Komponentenund Subsysteme muss Folgendes beachtet werden:
Die Darstellung der Eignung muss eine SIL-Beurteilung umfassen, die aus der Berechnungder PFD und strukturellen Einschränkungen anhand der Ziele besteht.
Die Darstellung der Eignung muss zudem Überlegungen zur Dokumentation der Hardwareund der integrierten Software der Hersteller umfassen. In der Praxis wird die Dokumentationfür ausgewählte Komponenten und Subsysteme in der Form technischer Spezifikationenbereitgestellt, die Funktionalität und Umweltleistung abdecken. Die FDS muss daher eineAnmerkung enthalten, die die Eignung der ausgewählten Komponenten und Subsystemebasierend auf der vom Hersteller bereitgestellten Spezifikationsdokumentation hinsichtlichder funktionalen Anforderungen umfasst.
Die Komponenten und Subsysteme müssen mit der Spezifikation der sicherheitstechnischenAnforderungen übereinstimmen. In der Praxis werden Komponenten und Subsystemebasierend auf ihrer Fähigkeit ausgewählt, die Sicherheitsanforderungen zu erreichen. DerNachweis der Konformität erfolgt durch eine Beurteilung, wobei die Anforderungenhinsichtlich struktureller Einschränkungen und der PFD weiterhin gelten.
13.4.3. Vor dem Einsatz, IEC 61511-1, 11.5.3
Primär sollte die Komponentenauswahl anhand der Beschaffungsspezifikation genehmigterAnbieter erfolgen.
Die Berücksichtigung des QMS und der Konfigurationsverwaltungssysteme des Herstellerssollten Teil der Beurteilung des Anbieters sein und beim Nachweis der Eignung in der FDSberücksichtigt werden.
136
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Für alle ausgewählten Komponenten und Subsysteme muss die FDS zudem auf denNachweis einer akkumulierten Verwendung verweisen. Der Nachweis kann auf Folgendembasieren:
• akkumulierte Gerätestunden für SIL1- und Feldgeräte;• akkumulierte Gerätestunden mit der Identifikation gefahrbringender Ausfälle für
SIL2- und komplexe Elemente.
Für SIL3-Logik-Solver-Anwendungen ist eine Zertifizierung erforderlich.
Die erforderliche akkumulierte Verwendung einer Komponente oder eines Subsystemshängt von der Zielausfallrate sowie davon ab, ob Ausfälle gemeldet wurden. Abbildung 53soll lediglich der Orientierung dienen und zeigt die erforderliche Anzahl der akkumuliertenGerätejahre (Anzahl der Geräte x Nutzungsjahre) für verschiedene Werte der Zielausfallrate.
Wenn beispielsweise die Zielausfallrate bei 1,00E-06/Stunden liegt und null Ausfällegemeldet wurden, müssen aus Abbildung 53 etwa 137 Gerätejahre nachgewiesen werden.Dies kann mit 14 Geräten erzielt werden, die 10 Jahre lang ohne Ausfall eingesetzt wurden.Falls Ausfälle bei der Feldpopulation gemeldet wurden, ist die tatsächliche Geräteausfallrate
1,00E-071
10
100
1000
10 000
1 000 000
1,00E-06 1,00E-05 1,00E-04Zielausfallrate (/Stunde)
X
X
X
Erfo
rder
liche
Ger
ätej
ahre
0 Ausfälle1 Ausfall5 Ausfälle10 Ausfälle15 AusfälleX
Abbildung 53: Anleitung zur erforderlichen Verwendung
PROZESS-SAFEBOOK 1
SIL-Verifizierung
137
höher, weshalb mehr ausfallfreie Betriebsstunden erforderlich sind, um dieselbeZielausfallrate zu erreichen.
Die Abbildung basiert auf einer Χ2-Verteilung bei einer Vertrauensgrenze von 70 % und darfdaher lediglich der Orientierung dienen. Außerdem bietet sie einen Anhaltspunkt, wann eineausreichende Anzahl von Gerätejahren akkumuliert wurde.
IEC 61511 erfordert auch die dokumentierte Überwachung von Rückgabedaten und einenÄnderungsprozess des Herstellers, der die Auswirkung der gemeldeten Ausfälle beurteilt.
In der Praxis stehen Ausfalldaten nur selten zur Verfügung, weshalb die Auswahl daher eineBeurteilung der Komponenten und Subsysteme umfassen kann, um sicherzustellen, dassdiese wie erforderlich funktionieren. Diese Beurteilung kann Diskussionen mit anderenBenutzern oder mit Herstellern oder Benutzern ähnlicher Geräte oder Anwendungenerfordern. Ein solcher unterstützender Nachweis muss in der FDS als Teil der Eignung derKomponenten und Subsysteme dokumentiert sein.
13.4.4. FPL-programmierbare Geräte (Fixed Programme Language), IEC 61511-1, 11.5.4
Wenn mit FPL programmierbare Komponenten und Subsysteme (z. B. Feldgeräte) verwendetwerden sollen, müssen für SIL1- und SIL2-Anwendungen die allgemeinen Anforderungen[13.4.2], die Anforderungen vor dem Einsatz [13.4.3] und die folgenden Anforderungen erfülltsein.
Darüber hinaus muss die FDS für jede ausgewählte Komponente die Auswahl von FPL-Komponenten rechtfertigen, indem angegeben wird, dass die Komponente die festgelegtenAnforderungen hinsichtlich der Funktionalität erfüllt:
a) Merkmale der Eingangs- und Ausgangssignale b) Verwendungsmodi c) Verwendete Funktionen und Konfigurationen d) Nicht verwendete Leistungsmerkmale wirken sich aller Wahrscheinlichkeit nach
nicht auf die Sicherheitsfunktionen aus
Für SIL3-Anwendungen muss eine formale Beurteilung ausgeführt werden.
Ein alternatives Konzept, das von einigen Systemintegratoren übernommen wurde, ist dieBeschaffung eines SIL3-geeigneten FPL-Geräts. Diese Geräte sollten bereits einer formalenBeurteilung durch eine entsprechende Organisation unterzogen worden sein und über eineSIL3-Zertifizierung sowie über einen dokumentierten, unterstützenden Nachweis verfügen.
Der Nachweis muss verdeutlichen, dass das Gerät die erforderliche Funktion ausführen kannund dass eine ausreichend geringe Wahrscheinlichkeit eines gefährlichen Ausfalls im Zuge
138
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
zufälliger Hardwareausfälle oder systematischer Hardware- bzw. Softwareausfälle besteht.Für die Geräte muss ein Sicherheitshandbuch bereitgestellt werden, in dem die Betriebs- undWartungseinschränkungen angegeben sind.
13.4.5. LVL-programmierbare Geräte (Limited Variability Language), IEC 61511-1, 11.5.5
Wenn mit LVL programmierbare Komponenten und Subsysteme (z. B. Logik-Solver)verwendet werden sollen, müssen für SIL1- und SIL2-Anwendungen die allgemeinenAnforderungen [13.4.2], die Anforderungen vor dem Einsatz [13.4.3], die Anforderungenfür FPL-programmierbare Geräte [13.4.4] und die folgenden Anforderungen für LVL-programmierbare Komponenten und Subsysteme erfüllt sein.
Die Dokumentation muss eine Rechtfertigung dafür enthalten, wo ein Unterschied zwischendem Betriebsprofil und der physischen Umgebung wie zuvor dargestellt und dem Betriebs -profil und der physischen Umgebung bei Verwendung in der Sicherheitsfunktion besteht. Indiesem Fall muss die FDS diese Unterschiede benennen und nachweisen, dass die PFD nichtbeeinträchtigt wird.
Für SIL1- oder SIL2-Anwendungen kann ein für Sicherheit konfigurierter PE-Logik-Solver(programmierbar elektronisch), also ein allgemeiner industrieller PE-Logik-Solver, der speziellfür die Verwendung in Sicherheitsanwendungen konfiguriert wurde), verwendet werden,sofern dies in der Dokumentation gerechtfertigt wird.
Die vom Hersteller verfügbare Spezifikationsdokumentation muss aufweisen, dassentsprechende Informationen zu Hardware und Software zur Verfügung stehen, umsicherzustellen, dass das Ausfallverhalten klar definiert ist. Dies muss in der FDS bestätigtwerden, indem alle gefährlichen Ausfallmodi und, sofern zutreffend, alle Diagnose- undSchutzmaßnahmen aufgelistet werden. In der FDS müssen auch die Maßnahmen zumSchutz vor unautorisierten oder unbeabsichtigten Änderungen aufgeführt sein.
Für SIL2-Logik-Solver-Anwendungen muss die FDS die Schutztechnik bestätigen, dieFolgendes während der Programmausführung gewährleistet:
a) Überwachung der Programmabfolgeb) Schutz des Codes vor Änderungen oder Ausfallerkennung durch Online-
Überwachungc) Ausfallerklärung oder unterschiedliche Programmierungd) Bereichsüberprüfung von Variablen oder Plausibilitätsprüfung von Wertene) Modulares Konzeptf) Für die integrierte Software wurden angemessene Codierungsnormen
verwendet
PROZESS-SAFEBOOK 1
SIL-Verifizierung
139
Außerdem muss Folgendes nachgewiesen werden:
g) Es wurden Tests in typischen Konfigurationen durchgeführt, wobei die Testfällehinsichtlich der beabsichtigten Betriebsprofile repräsentativ sein müssen
h) Es wurden bewährte und verifizierte Softwaremodule und Komponentenverwendet
i) Das System wurde einer dynamischen Analyse und Tests unterzogenj) Das System verwendet weder künstliche Intelligenz noch eine dynamische
Neukonfigurationk) Es wurden dokumentierte Tests mit eingefügten Fehlern ausgeführt
Für SIL2-Anwendungen muss die FDS die Einschränkungen für Betrieb, Instandhaltung undFehlererkennung definieren und dabei die Konfigurationen des PE-Logik-Solvers und diebeabsichtigten Betriebsprofile abdecken.
Für SIL3-Anwendungen muss die Dokumentation die SIL-Zertifizierung für alle LVL-Logik-Solver angeben.
13.4.6. FVL-programmierbare Geräte (Full Variability Language), IEC 61511-1, 11.5.6
Die Dokumentation muss die SIL-Zertifizierung für alle FVL-Logik-Solver anführen.
13.5. Feldgeräte, IEC 61511-1, 11.6
Für die Auswahl von Feldgeräten müssen die allgemeinen Anforderungen [13.4.2], dieAnforderungen vor dem Einsatz [13.4.3] und die folgenden Anforderungen für Feldgeräteerfüllt sein. Sofern zutreffend, müssen auch die Anforderungen für FPL-programmierbareGeräte erfüllt sein.
Feldgeräte müssen ausgewählt und installiert werden, um Ausfälle zu minimieren, dieaufgrund von Bedingungen, die aus den Prozess- und Umgebungsbedingungen entstehen,zu ungenauen Informationen führen. Zu den Bedingungen, die berücksichtigt werdenmüssen, gehören Korrosion, das Gefrieren von Materialien in Rohrleitungen, schwebendeFeststoffe, Polymerisation, Kochen, Temperatur- und Druckextreme, Kondensation introckenen Impulsleitungen und unzureichende Kondensation in feuchten Impulsleitungen.
Für Feldgeräte muss das Spezifikationsdokument aufweisen, dass die Komponente dieangegebenen Anforderungen hinsichtlich der Funktionalität aller Prozess- und Umgebungs -bedingungen erfüllt, und die FDS muss bestätigen, dass dies der Fall ist. Die FDS mussebenfalls bestätigen, dass alle diskreten Eingangs-/Ausgangsschaltkreise, die für die Aus -lösung aktiviert werden, eine Methode anwenden, mit der die Integrität des Schaltkreisesund der Spannungsversorgung gewährleistet ist, z. B. die Leitungsüberwachung.
140
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Intelligente Sensoren müssen schreibgeschützt sein, um eine versehentliche Änderung voneinem dezentralen Standort aus zu verhindern, sofern nicht eine entsprechende Sicherheits -überprüfung die Verwendung von Lese-/Schreibvorgängen zulässt.
13.6. Bediener-, Wartungs- und Kommunikationsschnittstellen, IEC 61511-1, 11.7
Für alle Kommunikationsschnittstellen müssen die folgenden Anforderungen erfüllt werden.
Der Aufbau der SIS-Kommunikationsschnittstelle muss sicherstellen, dass ein Ausfall derKommunikationsschnittstelle die Fähigkeit des SIS, den Prozess in einen sicheren Zustandzu bringen, nicht beeinträchtigt. Dies muss in der Konstruktionsdokumentation bestätigtwerden.
In der Dokumentation muss zudem Folgendes bestätigt werden:
a) Die vorhergesagte Fehlerrate des Kommunikationsnetzwerksb) Die Kommunikation mit dem BPCS und den Peripheriegeräten hat keinerlei
Auswirkungen auf die SIFc) Die Kommunikationsschnittstelle ist ausreichend stabil, um elektromagnetischen
Störungen wie Stromstößen standzuhalten, ohne einen gefährlichen Ausfall desSIF zu verursachen
d) Die Kommunikationsschnittstelle eignet sich für die Kommunikation zwischenGeräten, die auf verschiedene elektrische Erdungspotenziale verweisen HINWEIS:Eventuell ist ein alternatives Medium (z. B. Lichtwellenleiter) erforderlich.
13.7. Anforderungen an den Instandhaltungs- oder Testaufbau, IEC 61511-1, 11.8
Der Aufbau des SIS muss so beschaffen sein, dass diese Tests entweder von Anfang bis Endeoder in Teilen ausgeführt werden können. Dabei wird Folgendes berücksichtigt:
• Online-Wiederholungsprüfung – der Testaufbau muss sicherstellen, dassunerkannte Ausfälle ausreichend entdeckt werden können
• Test- und Überbrückungseinrichtungen – ein Bediener muss gewarnt werden,wenn ein Teil des SIS zu Wartungs- oder Testzwecken überbrückt wird
• Das Forcen von Eingängen und Ausgängen ohne das SIS offline zu schalten, darfnur dann zulässig sein, wenn entsprechende Maßnahmen und Schutzvorrichtun -gen implementiert wurden. Bei der Überbrückungsfunktion muss der Bedienergewarnt werden, wenn Eingänge/Ausgänge geforct werden.
13.8. SIF-Ausfallwahrscheinlichkeit, IEC 61511-1, 11.9
Siehe Abschnitt [14].
PROZESS-SAFEBOOK 1
SIL-Verifizierung
141
13.9. Anforderungen für die Anwendungssoftware, IEC 61511-1, 12
In IEC 61511-1, 12 sind die Anforderungen aufgeführt, die für Software gelten, die Teil einesSIS ist oder zum Entwickeln eines SIS verwendet wird. Die Norm definiert die Anforderungenfür den Sicherheitslebenszyklus der Anwendungssoftware, um Folgendes zu gewährleisten:
• Alle erforderlichen Aktivitäten zum Entwickeln der Anwendungssoftware wurdendefiniert
• Die Software-Tools, die zum Entwickeln und Verifizieren der Anwendungssoftwareverwendet werden, z. B. Dienstprogramme, wurden vollständig definiert
• Es wurde ein Plan zum Erreichen der Ziele für die funktionale Sicherheitimplementiert
Die allgemeine Anforderung besteht darin, die anwendbaren Phasen des Sicherheitslebens -zyklus der Software zu berücksichtigen und alle relevanten Informationen zu dokumentieren.Hierzu gehören:
• Spezifikation der sicherheitstechnischen Anforderungen für die Software – ähnlichwie bei den Hardwareanforderungen muss eine Spezifikation definiert werden, inder alle sicherheitstechnischen Anforderungen für die Software eindeutig undstrukturiert aufgeführt sind, wodurch das Konstruktionsteam die Anwendungs -software entsprechend entwickeln kann.
• Planung der Sicherheitsvalidierung für die Software – diese muss im Rahmen einerallgemeinen Planung der SIS-Validierung ausgeführt werden.
• Planung und Entwicklung – die Anwendungssoftware muss so entwickelt werden,dass sie die Anforderungen der Systemkonstruktion hinsichtlich Sicherheitsfunk -tio nen und Sicherheits-Integritätslevel erfüllt, die in der Software-SRS beschriebensind. Es müssen geeignete Sprachen, Programmier- und Support-Tools verwendetwerden, die die Verifizierung, Validierung, Beurteilung und Änderung unterstützen.Die Konstruktion muss modular und strukturiert sein, sodass die Prüffreundlichkeitgegeben ist und sichere Änderungen zulässig sind. Es müssen geeignete Tests derSoftwaremodule ausgeführt werden, um die ordnungsgemäße Funktionalität zugewährleisten. Beachten Sie, dass die Verifizierung für jede Phase des Sicherheits -lebenszyklus der Software ausgeführt werden muss.
• Integration – Sobald die Software getestet und verifiziert wurde, muss sie in dasSIS-Subsystem integriert und erneut getestet werden, um nachzuweisen, dass siedie Anforderungen in der SRS erfüllt, wenn sie auf der Hardware ausgeführt wird.
• Validierung der Softwaresicherheit – diese muss im Rahmen der allgemeinen SIS-Validierung erfolgen (Phase 5).
• Änderung – alle Änderungen der validierten Software müssen auf kontrollierteWeise ausgeführt werden, damit die Softwareintegrität erhalten bleibt.
142
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
14. SIF-Ausfallwahrscheinlichkeit
14.1. Konformität mit der Norm
Bisher wurde festgelegt, dass Maßnahmen für die Zielzuverlässigkeit definiert werdenmüssen, um sicherzustellen, dass das Gesamtrisiko nicht das maximal tolerierbare Risikoüberschreitet.
Außerdem wurde gezeigt, dass die Maßnahme für die Zielzuverlässigkeit in SILs ausgedrücktwerden kann. Um die Konformität mit der Norm zu gewährleisten, wurde nicht nur nachge -wiesen, dass die Sicherheitsfunktion quantitative Ziele erfüllt, sondern auch, dassentsprechende Kontrollen angewandt werden.
Für die Konformität mit der Norm müssen diese Maßnahmen für die Zielzuverlässigkeitabhängig vom anzuwendenden SIL-Level erreicht werden.
14.2. Anforderungen der SIL-Zuverlässigkeit
Die PFD für jeden SIL-Level hängt von der Betriebsart ab, in der ein SIS verwendet werdensoll, und bezieht sich auf seine Anforderungshäufigkeit. Diese Betriebsarten sind in Abschnitt[6.9] definiert und umfassen unter anderem folgende Modi:
Anforderungsbetriebsart – hier wird eine angegebene Aktion als Reaktion aufProzessbedingungen oder andere Anforderungen ausgeführt. Im Falle eines gefährlichenAusfalls des SIF tritt eine mögliche Gefahr nur bei einem Ausfall des Prozesses des BPCS ein.
Betriebsart mit kontinuierlicher Anforderung – wenn im Falle eines gefährlichen Ausfalls desSIF eine mögliche Gefahr ohne einen weiteren Ausfall auftritt, sofern nicht eine Maßnahmezur Verhinderung ergriffen wird.
Abhängig von diesen Kriterien können die in Tabelle 17 aufgelisteten Ziele angewandtwerden.
Tabelle 17: Von SIL angegebene PFD und Ausfallraten
SIL-Level Wahrscheinlichkeit einesgefahrbringenden Ausfallsbei Anforderung
Betriebsart mit kontinuier -licher AnforderungAusfallrate pro Stunde
SIL4 ≥10-5 bis <10-4 ≥10-9 bis <10-8
SIL3 ≥10-4 bis <10-3 ≥10-8 bis <10-7
SIL2 ≥10-3 bis <10-2 ≥10-7 bis <10-6
SIL1 ≥10-2 bis <10-1 ≥10-6 bis <10-5
PROZESS-SAFEBOOK 1
SIF-Ausfallwahrscheinlichkeit
143
14.3. Berechnung der PFD für eine Sicherheitsfunktion in der Anforderungsbetriebsart
Beim Ausführen von Zuverlässigkeitsberechnungen wird davon ausgegangen, dass Ausfällemit der Zeit zufällig und mit einer konstanten Rate auftreten. Wenn es zu einem Ausfallkommt, ist das ausgefallene Element erst wieder verfügbar, wenn der Ausfall erkannt und dasElement repariert wurde.
Beim Berechnen der PFD wird in erster Linie die Wahrscheinlichkeit berechnet, mit der dasSIS nicht verfügbar ist, wenn es angefordert wird. Unter der Voraussetzung, dass ein Kanalausgefallen ist, entspricht bei einem redundanten 1oo2-System die PFD der Wahrscheinlich -keit, dass der zweite Kanal danach ausfällt, während der erste Kanal noch nicht betriebsbereitist.
Beim Berechnen der PFD können die folgenden allgemeinen Beziehungen verwendetwerden. Die verwendeten Gleichungen sind Vereinfachungen der Standardgleichungenund werden in [19.6] abgeleitet.
Für erkannte Ausfälle:
PFD1oo1 = λDD.MDT Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC 61508-6, B.3.2.2.2
Für unerkannte Ausfälle:
PFD1oo1 = λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDU2.Tp2/3 + β.λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.2
Dabei ist λDD die Rate der gefährlichen erkannten Ausfälle, λDU ist die Rate der gefährlichenunerkannten Ausfälle und β ist der Beitrag der Ausfälle infolge gemeinsamer Ursachen, derim Abschnitt [12.17] beschrieben ist. TP ist das Intervall für die Wiederholungsprüfung undMDT die mittlere Ausfalldauer.
Die generischen Formen dieser Gleichungen für verschiedene Konfigurationen werden fürSysteme in der Betriebsart mit kontinuierlicher Anforderung und in der Anforderungsbe -triebs art im Abschnitt [12.9] näher untersucht.
14.4. Ausfallraten
Bei der Berechnung von PFD und SFF verwendet die Analyse die zugrunde liegendeHypothese von IEC 61508-6, Anhang B.3, dass die Ausfallraten der Komponenten über dieLebensdauer des Systems konstant sind.
Die in Berechnungen verwendeten Ausfallraten können durch die FMECA-Analyse ermittelt,durch Felddaten oder durch Verweise auf veröffentlichte Daten aus Industriequellen
144
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
quantifiziert werden. Die verwendeten Ausfallraten müssen mit verfügbaren Daten fürähnliche Module mit derselben Komplexität und Technologie verglichen werden. DiesesKonzept gewährleistet einen konservativen Ansatz hinsichtlich der Zuverlässigkeitsmodel -lierung und sorgt für Vertrauen, dass die berechnete Zuverlässigkeitsleistung während desBetriebs erreicht werden kann.
Ausfallraten und ihre Quellen werden in 14.8 näher erläutert.
14.5. Zuverlässigkeitsmodellierung
In diesem Beispiel aus Abschnitt [6.5] sind der Prozess und die SIF hervorgehoben(Abbildung 54).
Die Berechnung der PFD erfolgt am einfachsten mithilfe der RBD-Technik (Reliability BlockDiagram – Zuverlässigkeitsblockdiagramm). In den RBDs werden die Elemente oderKomponenten aufgezeigt, die für ein zuverlässiges System erforderlich sind. Sie stellenjedoch nicht unbedingt ein physisches Layout oder Verbindungen dar. Die RBD-Model -lierung ist in IEC 61508-6, Anhang B, 4.2, beschrieben.
Druck- sender
Druck-regler
Prozess & BPCS
Sicherheitstechnische Funktion
ESD-Logik
Magnet-ventil
Hydraulik-versorgung
Hydraulik-entlüftung
Gasleitungs-einlass
Gasleitungs-ausleitung
Abschalt-ventil
Druckregler-ventil
Ausgelegt für 139 bar Ausgelegt für 48 bar
PC
SPT
Abbildung 54: Sicherheitstechnische Funktion in der Anforderungsbetriebsart
PROZESS-SAFEBOOK 1
SIF-Ausfallwahrscheinlichkeit
145
Das RBD für das SIS ist in Abbildung 55 dargestellt.
Das RBD zeigt die Berechnung der PFD. Unter jedem Element befinden sich Werte für dieRate erkannter gefährlicher Ausfälle λDD, die Rate unerkannter gefährlicher Ausfälle λDU, diemittlere Ausfalldauer (MDT) und den Zeitraum der Wiederholungsprüfung.
14.6. Beispiel für die Beurteilung des Sicherheits-Integritätslevels für die Änderungeiner Präpolymer-Schleife in der Anforderungsbetriebsart
Im Folgenden ist ein Beispiel für die SIL-Beurteilung der PFD und die strukturellenEigenschaften einer SIF beschrieben.
Aufgabenbereich
Die ESD-Funktion S-005 verhindert eine unkontrollierte Reaktion in 39-R-050 und schütztdadurch vor dem Auslaufen des Reaktors, was Verletzungen der Bediener und Umweltschä -den nach sich ziehen könnte. Im Moment wird die Sicherheitsfunktion S-005 durch dasErkennen hoher Temperaturen oder hoher Drücke im Reaktor ausgelöst und das AblassventilROV0503 wird geöffnet, damit der hohe Druck gesenkt werden kann.
Es ist klar, dass Bedenken bestanden, dass ROV0503 eventuell nicht genügend Kapazität zumAblassen des Drucks bietet, weshalb die ESD-Aktion von S-005 so geändert wurde, dass auchdie Aktivierung eines zusätzlichen Ablassventils ROV0501 berücksichtigt wird.
Darüber hinaus wurden während des Upgrade-Programms zwei Handschalter (ZustimmungHS0900 und Überbrückung HS2004) zu Wartungszwecken integriert.
λDDMTD
Konfigurations-PFD
λDUZeitraum für die Beständigkeitsprüfung
Konfigurations-PFD
PFD (erkannt)PFD (unerkannt)
PFDZulässiger SIL (PFD)
2,64E-0748
1,27E-05
4,00E-088760
1,75E-04
1,77E-042,38E-022,40E-02
SIL1
0,00E+0048
0,00E+00
6,00E-078760
2,63E-03
3,42E-0648
1,64E-04
1,63E-078760
7,14E-04
0,00E+0048
0,00E+00
4,64E-068760
2,03E-02
Druck- sender
ESD-Logik
Magnet-ventil
Abschalt-ventil
Abbildung 55: Sicherheitsfunktionen in der Anforderungsbetriebsart
146
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Ziele
Der Kunde verwaltet zahlreiche Sensoren, die Bestandteil des SIS sind, und möchte diesenKostenfaktor natürlich minimieren. Daher hat diese Analyse folgende Ziele:
1. Bestimmen, welche Elemente in einer Analyse der geänderten ESD-Sicherheitsfunktion S-005 berücksichtigt werden sollen
2. Erstellen eines RBD, um die PFD und Architektur von S-005 zu bestimmen3. Vorschlagen einer Philosophie für eine Wiederholungsprüfung (Prüfintervalle für
Sensoren, Handschalter, Logik und Ablassventile), mit der die Ziele (Tabelle 18)erreicht werden können, während die Häufigkeit der Sensorprüfungen minimiertwird
Hinweis: Der Kunde wünscht, dass die Intervalle für die Wiederholungsprüfung für jedesElement maximal 36 Monate betragen sollen. Aus der Engineering-Perspektive ist der Kundemit Teilen des SIS nicht zufrieden, die längere Zeit nicht verwendet wurden.
Zustimmung und Überbrückung
Die beiden Handschalter HS2004 und HS0900 sind der ESD S-005 zugeordnet.
Es ist klar, dass HS0900 zur Steuerung des Katalysators für den Reaktor verwendet wird unddaher, sofern sich der Schalter in der falschen Position befindet oder im falschen Zustandversagt, die Gefahr nicht auftreten kann. HS2004 wird als Auslösungsüberbrückung bei der S-005 verwendet. Wenn HS2004 nach Instandhaltungsarbeiten versehentlich in derÜberbrückungsposition gelassen wird oder im Überbrückungszustand versagt, wird dieSicherheitsfunktion S-005 deaktiviert.
Hardware-Konfiguration
Der Logik-Solver basiert auf einer TMR-Konfiguration (Triple Modular Redundant – Dreifachmodular, redundant) und stimmt für 2 aus 3 (2oo3). Abbildung 56 zeigt ein Schema derHardwarekonfiguration.
PROZESS-SAFEBOOK 1
SIF-Ausfallwahrscheinlichkeit
147
Analysierte Sicherheitsfunktionen
In Tabelle 18 sind die definierten SIL- und PFD-Ziele aufgeführt.
Tabelle 18: Sicherheitsfunktionen für die Analyse
Diagnosedeckungsgrad
Es wird angenommen, dass alle unerkannten Ausfallmodi durch die Wiederholungsprüfung,also durch eine vollständige Ausführung der SIS-Funktion, aufgedeckt werden können.
Mittlere Ausfalldauer
In dieser Analyse muss eine MDT von 72 Stunden zugrunde gelegt werden.
Schleife Initiator ESD-Aktion
Erforderliche Bedingun -gen zur Minderung derGefahr
PFD-Ziel SIL-Bewer -tung
1 Hoher Druck[PT0500H] oderhohe Temperatur[TT0504HH]
Aktiviert S-005
ROV0503 und ROV0501geöffnet
5,56E-03 SIL2
Logik (2oo3)
AI(1oo2)
IS-Sperr-schicht
AI(1oo2)
AI(1oo2)
DI DI DI CPU CPU CPU DO DO DO
ROV0501
ROV0503
S-005Druck- senderPT0500H
Temp.-transmitterPT0500H
Hand-schalter
Hand-schalter
Abbildung 56: Hardwareschema
148
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Zeitraum für die Wiederholungsprüfung
Die Intervalle für die Wiederholungsprüfung sind so auszuwählen, dass die Ziele erreichtwerden, während das Sensorprüfintervall maximiert wird.
Berücksichtigung von Ausfällen infolge gemeinsamer Ursachen
CCFs sind Ausfälle, die eventuell nur eine Ursache haben, jedoch gleichzeitig mehrere Kanälebetreffen können. Ihre Ursache kann beispielsweise ein systematischer Fehler, ein Fehler inder Konstruktionsspezifikation oder eine externe Belastung wie übermäßige Temperaturensein, der zum Ausfall von Komponenten in beiden redundanten Kanälen führt.
Der Beitrag von CCFs in parallelen redundanten Pfaden wird durch die Einbeziehung eines β-Faktors berücksichtigt. Die CCF-Ausfallrate, die in die Berechnung einbezogen wird,entspricht β x gesamte Ausfallrate einer der redundanten Pfade. Die in der Analyse zuverwendenden β-Faktoren sind in Tabelle 19 zusammengefasst.
Tabelle 19: β-Faktoren
Komponenten vom Typ A
Die folgenden Elemente können als Typ A eingestuft werden:
• IS-Sperrschicht (Isolator des Gebernetzteils, PB0500)• Temperaturtransmitter (TT0504)• Handschalter (HS0900, HS2004)• Ablassventil für die Präpolymerisation
RedundanteKonfiguration
β-Faktor Rechtfertigung
Sensor PT0500,TT0504
3 % Da die Sensoren eine andere Technologie aufweisen, dieandere Regelgrößen messen, ist die Wahrscheinlichkeit fürAusfälle infolge gemeinsamer Ursachen auf den Prozessselbst, den Mechanismus zum Befestigen der Sensoren sowiedie Kabelführung und Trennung der Sensoranschlüssebeschränkt. Der Wert von 3 % muss daher als entsprechendkonservativ beurteilt werden.
SPS-TMR-Logik 5 % Ausfälle infolge gemeinsamer Ursache sind in einerredundanten TMR-Konfiguration jedoch selten, weshalb einWert von 5 % verwendet wurde, um einen konservativenAnsatz aufrechtzuerhalten.
PROZESS-SAFEBOOK 1
SIF-Ausfallwahrscheinlichkeit
149
Komponenten vom Typ B
Die folgenden Elemente können als Typ B eingestuft werden:
• SPS-Logikmodule• Druckgeber (PT0500).
Ausfallraten der Komponenten
Bei der Analyse muss von konstanten Ausfallraten ausgegangen werden, da erwartet wird,dass die Auswirkungen früherer Ausfälle durch entsprechende Prozesse eliminiert werden.Diese Prozesse umfassen die Verwendung ausgereifter Produkte von bewährten Quellen,unternehmensinterne Tests vor der Auslieferung und erweiterte Betriebs- und Funktionsprü -fun gen im Rahmen der Installation und Inbetriebnahme. Feldrückgabedaten zu ähnlichenProjekten sagen aus, dass Ausfälle in der frühen Lebensphase nicht zu einer signifikantenAnzahl von Rückgaben führen, weshalb die implementierten Techniken als ausreichenderachtet werden können.
Außerdem wird davon ausgegangen, dass Komponenten nicht über ihre betriebsgewöhn -liche Nutzungsdauer hinaus eingesetzt werden, um sicherzustellen, dass Ausfälle nichtaufgrund von Verschleißmechanismen auftreten. Die Ausfallraten (in Ausfällen/Stunde),die bei der Berechnung der PFD im Modell verwendet werden können, λDD und λDU, sindin Tabelle 20 zusammengefasst. Die Ausfallraten stammen dabei aus unterschiedlichenQuellen.
150
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Tabelle 20: Ausfallraten (/Stunde) und Berechnung des SFF
Element-Ref/Tag
Beschreibung λ λD λDU λDD λS SFF
Eingangsgeräte
PT 0500 Druckgeber (IS) 1,5E-06 1,4E-06 6,0E-07 7,5E-07 1,5E-07 0,60
PT 0501 Druckgeber (IS) 1,5E-06 1,4E-06 6,0E-07 7,5E-07 1,5E-07 0,60
PB 0500 Sperrschicht – für PT oben(Nicht-IS)
2,1E-07 6,3E-08 6,3E-08 0,0E+00 1,5E-07 0,70
PB 0501 Sperrschicht – für PT oben(Nicht-IS)
2,1E-07 6,3E-08 6,3E-08 0,0E+00 1,5E-07 0,70
FT 0041 Coriolis-Durchfluss-Messgerät
2,6E-06 2,2E-06 9,0E-07 1,3E-06 4,0E-07 0,65
TT 0504 3-adriger Widerstands -tempera turfühler mit amKopf montiertem Geber
2,0E-06 1,4E-06 4,0E-07 1,0E-06 6,0E-07 0,80
HS 2004 Überbrückungsschalter 2,00E-06 8,00E-07 8,00E-07 0,00E+00 1,20E-06 0,60
HS0900 Zustimmschalter 2,00E-06 8,00E-07 8,00E-07 0,00E+00 1,20E-06 0,60
Logikgeräte
CPU CPU 1,51E-06 5,16E-07 6,42E-09 5,09E-07 9,91E-07 1,00
32-Punkt-DI-Modul
32-Punkt-Digitaleingangsmodul
2,19E-08 1,09E-08 9,91E-11 1,08E-08 1,09E-08 0,99
32-Punkt-AI-Modul
32-Punkt-Analogeingangsmodul
1,40E-08 7,00E-09 9,86E-11 6,90E-09 7,00E-09 0,99
16-Punkt-DO-Modul
16-Punkt-Digitalausgangsmodul
2,95E-08 1,47E-08 9,93E-11 1,46E-08 1,47E-08 0,99
Ausgangsgeräte
39-PM-050 Pumpenbetriebsstatusvon Schütz- und Relais-Schließerkontakt
3,0E-07 2,0E-07 1,95E-07 0,00E+00 1,05E-07 0,35
ROV 0501 AOV- (FO-) Ausgabewerteinschließlich SOV
5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
ROV 0503 AOV- (FO-) Ausgabewerteinschließlich SOV
5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
ROV 0404 AOV (FC) einschließlichSOV
9,72E-06 3,03E-06 3,03E-06 0,00E+00 6,69E-06 0,688
ROV 0405 AOV- (FO-) Ausgabewerteinschließlich SOV
5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
ROV 0406 AOV- (FO-) Ausgabewerteinschließlich SOV
5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
PROZESS-SAFEBOOK 1
SIF-Ausfallwahrscheinlichkeit
151
Eine mögliche Lösung
Ziel dieser Analyse:
1. Bestimmen, welche Elemente in einer Analyse der geänderten ESD-Sicherheitsfunktion S-005 berücksichtigt werden sollen
2. Erstellen eines RBD, um die PFD und Architektur von S-005 zu bestimmen3. Vorschlagen einer Philosophie für eine Wiederholungsprüfung (Prüfintervalle für
Sensoren, Handschalter, Logik und Ablassventile), mit der die Ziele (Tabelle 18)erreicht werden können, während die Häufigkeit der Sensorprüfungen minimiertwird
Das in Abbildung 57 dargestellte RBD zeigt die Elemente, die im Rahmen der Sicherheits -funktion erforderlich sind. Es ist nicht erforderlich, HS0900 bei der Beurteilung der Sicher -heitsfunktion zu berücksichtigen, da der Ausfall dieses Handschalters den ordnungsgemä -ßen Betrieb der Sicherheitsfunktion nicht verhindern kann. Wenn HS0900 ausfällt oder in derfalschen Position gelassen wird, kann die Gefahr nicht auftreten.
HS2004 muss berücksichtigt werden, weil die Sicherheitsfunktion S-005 deaktiviert wird,wenn er nach Instandhaltungsarbeiten versehentlich in der Überbrückungsposition gelassenwird oder im Überbrückungszustand ausfällt.
Für die Berechnung der PFD muss die Einstellung der Intervalle für die Wiederholungsprü -fung (Tp) beurteilt werden. Die Anforderung war, das Intervall auf bis zu 3 Jahre zu maxi -mieren, während die Ziel-PFD erreicht wird. Es gibt viele potenzielle Lösungen, die in derPraxis mit dem Kunden erörtert werden müssten. Eine mögliche Philosophie für dieWiederholungsprüfung ist in Tabelle 21 aufgeführt.
Tabelle 21: Mögliche Intervalle für die Wiederholungsprüfung
Diese Intervalle für die Wiederholungsprüfung bieten eine berechnete PFD von 4,91E-03,wobei das Ziel bei 5,56E-03 liegt, und die PFD sowie die strukturellen Eigenschaften erfüllenjeweils die Bewertung von SIL2.
Zeitraum für Wiederholungsprüfung (Sensoren) 24 Monate 17 520 Stunden
Zeitraum für Wiederholungsprüfung (Handschalter) 6 Monate 4380 Stunden
Zeitraum für Wiederholungsprüfung (Logik) 36 Monate 26 280 Stunden
Zeitraum für Wiederholungsprüfung (Ventile) 3 Monate 2190 Stunden
152
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
6-Pu
nkt-
DO
-M
odul
32-P
unkt
-DI-
Mod
ul
32-P
unkt
-DI-
Mod
ulCC
FH
S 20
04
6-Pu
nkt-
DO
-M
odul
CCF
CPU
CPU
CPU
32-P
unkt
-DI-
Mod
ul16
-Pun
kt-D
O-
Mod
ul32
-Pun
kt-A
I-M
odul
32-P
unkt
-AI-
Mod
ul
32-P
unkt
-AI-
Mod
ulTT
050
4
PT 0
500
Verz
wei
gung
A
Verz
wei
gung
B
PB 0
500
CCF-
Beitr
ag3
%5
%M
enge
11
11
11
11
Konfi
gura
tion
1oo2
2oo3
λDD
[Ver
zwei
gung
A]
7,50
E-07
0,00
E+00
2,25
E-08
0,00
E+00
6,90
E-09
5,09
E-07
1,08
E-08
1,46
E-08
2,71
E-08
λDD
[Ver
zwei
gung
B]
1,00
E-06
0,00
E+00
λDD
für V
erzw
eigu
ng2,
25E-
080,
00E+
005,
42E-
072,
71E-
08M
DT
7272
7272
72Ko
nfigu
ratio
n P
FD3,
89E-
091,
62E-
060,
00E+
004,
56E-
091,
95E-
06
λDU
[Ver
zwei
gung
A]
6,00
E-07
6,30
E-08
1,99
E-08
8,00
E-07
9,86
E-11
6,42
E-09
9,91
E-11
9,93
E-11
3,36
E-10
λDU
[Ver
zwei
gung
B]
4,00
E-07
0,00
E+00
λDU
für V
erzw
eigu
ng1,
99E-
088,
00E-
076,
72E-
093,
36E-
10Ze
itrau
m fü
r Bes
tänd
igke
itspr
üfun
g, T
17 5
2017
520
4380
26 2
8026
280
Konfi
gura
tion
PFD
2,71
E-05
1,74
E-04
1,75
E-03
3,11
E-08
4,41
E-06
PFD
(erk
annt
)3,
58E-
06PF
D (u
nerk
annt
)4,
91E-
03
PFD
4,92
E-03
Zulä
ssig
er S
IL (P
FD)
2
Typ
BA
AB
BB
SFF
0,60
0,70
0,60
>99
>99
>99
Redu
ndan
z1
00
11
1A
rchi
tekt
ur-S
IL2
22
33
3Zu
läss
iger
SIL
(Arc
h)2
Abbildung 57: Lösungs-RBD
PROZESS-SAFEBOOK 1
SIF-Ausfallwahrscheinlichkeit
153
14.7. Nachverfolgbarkeit von Daten zur Ausfallrate
Beim Ausführen von PFD-Berechnungen müssen alle Berechnungen transparent undalle verwendeten Daten bis zur Quelle nachverfolgbar sein. Microsoft Excel ist dabei einnützliches Tool, da es beide Anforderungen erfüllen kann und zudem die Entwicklung einergrafischen Darstellung des Zuverlässigkeitsmodells ermöglicht (siehe Abbildung 57).
Die Kalkulationstabelle ermöglicht den Verweis jeder Datenzelle auf eine Datentafel, in deralle zusammengestellten Daten zu Ausfallraten und die entsprechenden Datenquellendargestellt werden können. Eine Beispieldatentabelle ist in Tabelle 22 dargestellt. Es istwichtig, dass der Verweis auf die Datenquelle ausführlich genug angegeben wird, damitjeder die verwendeten Werte überprüfen und bestätigen kann.
Wenn ein Excel-Format verwendet wird, können auch der Komponententyp und dieangenommene MDT sowie der in der Berechnung verwendete Zeitraum der Wiederholungs -prüfung komfortabel angegeben werden. Dies ermöglicht die einfache Änderung desIntervalls für die Wiederholungsprüfung und die automatische Berechnung der Auswirkungauf die PFD.
Tabelle 22: Typische Datentafel
Artikel/Teilenum -mer
λ λD λDD λDU λS Typ SFF MDT Tp Daten -quelle
PT0500 1,35E-06
8,18E-07
7,50E-07
6,80E-08
5,27E-07
B 0,95 4380 4380 exida[14.8.2]
SIL3-Logik-Solver
5,57E-06
2,23E-06
2,21E-06
2,20E-08
3,34E-06
B 1,00 168 4380 Sintef[14.8.8]
Analogein -gangsmodul
1,07E-06
5,34E-07
5,08E-07
2,60E-08
5,34E-07
B 0,98 168 4380 Sintef[14.8.8]
DiskretesAusgangs -modul
5,26E-07
2,63E-07
2,50E-07
1,30E-08
2,63E-07
B 0,98 168 4380 Sintef[14.8.8]
12-Zoll-HIPPS-Ventil
5,29E-06
2,12E-06
0,00E+00
2,12E-06
3,17E-06
A 0,60 730 4380 Oreda2002[14.8.6]
154
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
14.8. Quellen der Daten zur Ausfallrate
14.8.1. Konzept
Daten zur Ausfallrate dürfen nur aus geeigneten Quellen abgerufen werden und dies hängtvon der Anwendung ab. Im Folgenden sind Datenquellen aufgeführt, die verwendet wurdenund für den Prozesssektor geeignet sind.
14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3rd Edition Volume 1 –Sensors, ISBN 978-0-9727234-3-5/Volume 2 – Logic Solvers and Interface Modules, ISBN 978-0-9727234-4-2/Volume 3 – Final Elements, ISBN 978-0-9727234-5-9
14.8.3. Handbook of Reliability Data for Electronic Components used in TelecommunicationsSystems, HRD-5.
14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 May 1992
14.8.5. IEEE-Norm 500-1984. Guide to the Collection and Presentation of Electrical, Electronic,Sensing Component, and Mechanical Equipment Reliability Data.
14.8.6. OREDA, The Offshore Reliability Data Handbook 4th Edition 2002 ISBN 82-14-02705-5
14.8.7. Parloc 2001: 5th Edition, The Institute of Petroleum, published by the Energy InstituteISBN 0 85293 404 1.
14.8.8. Reliability Data for Control and Safety Systems, 2006 Edition, PDS Data Handbook,SINTEF, ISBN 82-14-03898-7.
14.8.9. Reliability Technology, AE Green and AJ Bourne, Wiley, ISBN 0-471-32480-9.
PROZESS-SAFEBOOK 1
Montage, Inbetriebnahme und Validierung
155
15. Montage, Inbetriebnahme und Validierung
15.1. Phasen des Lebenszyklus
In Abbildung 58 ist die anzuwendende Phase des Lebenszyklus dargestellt.
Ziele der in IEC 61511-1, 14 und 15, definierten Phasen:
• Installation des SIS gemäß den Spezifikationen und der Dokumentation [15.2]• Inbetriebnahme des SIS, sodass es für die endgültige Systemvalidierung bereit ist
[15.3];• Überprüfung, ob das installierte und in Betrieb genommene SIS die in der SRS
definierten Anforderungen erfüllt [15.4]
Man
agem
ent u
nd B
eurt
eilu
ng d
er fu
nktio
nale
nSi
cher
heit
und
Aud
its
10
Auf
bau
und
Plan
ung
des
Sich
erhe
itsle
bens
zykl
us
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung andererMaßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahme und Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 58: Lebenszyklusphase 5
156
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
15.2. SIF-Installation
Die Anforderungen für die Installation müssen im Installations- und Inbetriebnahmeplandefiniert oder in den allgemeinen Projektplan integriert werden. In den Installationsverfah -ren sollten die auszuführenden Aktivitäten, die zu verwendenden Techniken und Maßnah -men, die verantwortlichen Personen, Abteilungen oder Organisationen und das Timing derInstallationsaktivitäten definiert sein.
15.3. Inbetriebnahme der SIF
Das SIS muss in Übereinstimmung mit der Planung und den Verfahrensvorschriften inBetrieb genommen werden. Es müssen Datensätze erstellt werden, in denen neben denTestergebnissen auch angegeben ist, ob die während der Konstruktionsphase definiertenAkzeptanzkriterien erfüllt wurden. Ausfälle müssen überprüft und protokolliert werden.Sofern festgelegt ist, dass die tatsächliche Installation nicht mit den Konstruktionsdatenübereinstimmt, müssen die Abweichungen überprüft und die Auswirkungen auf dieSicherheit bestimmt werden.
15.4. SIF-Validierung
Die Validierungsverfahren müssen alle Betriebsarten des Prozesses und die zugeordnetenEinrichtungen umfassen sowie Folgendes berücksichtigen:
• Inbetriebnahme, normaler Betrieb, Abschaltung• Manueller oder automatischer Betrieb• Instandhaltungsmodi, Überbrückungsanforderungen• Timing• Rollen und Verantwortlichkeiten• Kalibrierungsverfahren
Außerdem muss die Validierung der Anwendungssoftware Folgendes umfassen:
• Identifikation der Software für jede Betriebsart• Zu verwendendes Validierungsverfahren• Zu verwendende Tools und Einrichtungen• Akzeptanzkriterien
Bei der Validierung muss sichergestellt werden, dass das SIS in allen Betriebsartenordnungsgemäß funktioniert und nicht durch die Interaktion des BPCS und andererangeschlossener Systeme beeinträchtigt wird. Mit der Leistungsvalidierung musssichergestellt werden, dass alle redundanten Kanäle, Überbrückungsfunktionen,Inbetriebnahmeüberbrückungen und manuellen Abschaltsysteme ordnungsgemäßarbeiten.
PROZESS-SAFEBOOK 1
Montage, Inbetriebnahme und Validierung
157
Der definierte (oder sichere) Zustand muss im Falle eines Energieausfalls (z. B. Spannungs -ausfall, Ausfall der Hydraulikleistung oder Betriebsluft) erreicht werden. Die in der SRSdefinierten Funktionen der Diagnosealarme müssen ordnungsgemäß ausgeführt werdenund wie für ungültige Regelgrößen definiert arbeiten, z. B. bei Eingaben, die außerhalb desgültigen Bereichs liegen. Nach der Validierung müssen die entsprechenden Datensätzeerstellt und das zu prüfende Element, die Prüfeinrichtung, die Testdokumente undTestergebnisse einschließlich aller Abweichungen identifiziert werden. Darüber hinausmüssen Analysen oder Änderungsanforderungen folgen.
158
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
16. Betrieb und Instandhaltung
16.1. Phasen des Lebenszyklus
In Abbildung 59 ist die anzuwendende Phase des Lebenszyklus dargestellt.
Ziele dieser Phase, die in IEC 61511-1, 16.1 definiert sind:
• Sicherstellen, dass der erforderliche SIL-Level jeder SIF während des Betriebs undder Instandhaltung aufrechterhalten wird [16.2]
• Bedienen und Warten des SIS, sodass die vorgesehene funktionale Sicherheitaufrechterhalten wird [16.3]
16.2. SIF-Betrieb und -Instandhaltung (O&M)
Die Anforderungen für O&M (Operation and Maintenance – Betrieb und Instandhaltung)müssen im O&M-Plan definiert sein oder in den allgemeinen Projektplan integriert werden.
Man
agem
ent u
nd B
eurt
eilu
ng d
er fu
nktio
nale
nSi
cher
heit
und
Aud
its
10
Auf
bau
und
Plan
ung
des
Sich
erhe
itsle
bens
zykl
us
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung andererMaßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahme und Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 59: Lebenszyklusphase 6
PROZESS-SAFEBOOK 1
Betrieb und Instandhaltung
159
O&M-Verfahren müssen den Routinebetrieb definieren, der ausgeführt werden muss, um diefunktionale Sicherheit des SIS aufrechtzuerhalten. Dieser Betrieb muss Anforderungen fürFolgendes umfassen:
• Wiederholungsprüfung• Überbrückung einer SIF zu Test- oder Reparaturzwecken• Routinemäßige Zusammenstellung von Daten: z. B. Ergebnisse der Prüfungen und
Tests des SIS, Aufzeichnungen der SIF-Anforderungen, Ausfälle sowie Ausfallzeitenaufgrund von Reparaturarbeiten oder Wiederholungsprüfungen.
Verfahren für Wiederholungsprüfungen müssen entwickelt werden, damit jede SIF sogetestet wird, dass gefahrbringende Ausfälle, die durch Diagnosen unentdeckt bleiben,aufgedeckt werden [16.4].
Die Instandhaltungsverfahren sind erforderlich für Fehlerdiagnosen, Reparaturen, dieerneute Validierung von Systemen nach Reparaturarbeiten, Aktionen, die nach Abweichun -gen des tatsächlichen Verhaltens vom erwarteten Verhalten ausgeführt werden, für dieKalibrierung und Instandhaltung von Prüfeinrichtungen und für die Erstellung vonInstandhaltungsberichten.
Berichterstellungsverfahren sind erforderlich, wenn die Berichtsfunktion ausfällt, wennsystematische Ausfälle und Ausfälle infolge gemeinsamer Ursachen analysiert werdenmüssen, und wenn die Instandhaltungsleistung verfolgt werden muss.
16.3. O&M-Schulung
Die Schulung der O&M-Mitarbeiter muss geplant und in guten Zeiten ausgeführt werden,damit das SIS in Übereinstimmung mit der SRS betrieben und instand gehalten werden kann.Die Schulung sollte Folgendes umfassen:
• Gefahren• Auslösungspunkte• Auszuführende Aktionen• Betrieb aller Überbrückungen und alle Einschränkungen hinsichtlich deren
Verwendung• Manuelle Bedienung, z. B. Inbetriebnahme, Abschaltung und alle Einschränkungen
hinsichtlich deren Verwendung• Betrieb der verfügbaren Alarme und Diagnosen
16.4. Wiederholungsprüfung
Die Verfahren für die Wiederholungsprüfung sollten die Überprüfung der gesamten SIFumfassen – vom Sensorelement bis zum endgültig aktivierten Gerät. Es muss dasselbe
160
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Prüfintervall wie bei der Quantifizierung der PFD [14] verwendet werden.
Unter folgenden Bedingungen ist es zulässig, verschiedene Elemente der SIF inunterschiedlichen Intervallen zu testen:
• Die berechnete PFD ist noch immer akzeptabel• Es gibt Überlappungen im Test, sodass kein Teil der SIF ungetestet bleibt.
PROZESS-SAFEBOOK 1
Änderung und Außerbetriebnahme
161
17. Änderung und Außerbetriebnahme
17.1. Phasen des Lebenszyklus
In Abbildung 60 sind die Phasen des anzuwendenden Lebenszyklus dargestellt.
Die Ziele dieser Phase, wie in IEC 61511-1, 17.1 und 18.1, definiert, sollen Folgendessicherstellen:
• Alle Änderungen an den SIFs wurden vor der Ausführung sorgfältig geplant,überprüft und genehmigt [17.2]
• Die erforderliche Sicherheitsintegrität bleibt nach allen eventuell durchgeführtenÄnderungen erhalten [17.3]
• Vor der Außerbetriebnahme findet eine ordnungsgemäße Überprüfung statt undes wird eine Genehmigung eingeholt, um sicherzustellen, dass die Sicherheitsinte -gri tät während der Außerbetriebnahme aufrechterhalten bleibt [17.4]
Man
agem
ent u
nd B
eurt
eilu
ng d
er fu
nktio
nale
nSi
cher
heit
und
Aud
its
10
Auf
bau
und
Plan
ung
des
Sich
erhe
itsle
bens
zykl
us
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung andererMaßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahme und Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 60: Lebenszyklusphase 7 & 8
162
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
17.2. SIF-Änderung
Vor dem Ausführen von Änderungen müssen Verfahren zur Genehmigung und Kontrolleder Änderungen definiert werden. Typischerweise erfolgt dies über einen Hinweis zurÄnderungsanforderung (CRN – Change Request Note), der in der Regel Teil eines QMS ist.
Alle Änderungsanforderungen sollten die erforderliche Änderung beschreiben und dieGründe für die Anforderung anführen. Sie können von den O&M-Mitarbeitern aufgrund vonVorfällen während des Betriebs oder der Instandhaltung eingereicht werden. Der üblicheGenehmigungsprozess für Änderungsanforderungen sollte verschiedene Abteilungeninnerhalb einer Organisation durchlaufen, um die Auswirkungen der Änderung auf dieKonstruktion, die installierte Basis und die erforderliche Implementierung zu bestimmen.
Sobald in einer Organisation funktionale Sicherheit erforderlich ist, müssen alle Ände -rungsanforderungen zusätzlich von einer kompetenten Person (z. B. der Sicherheitsinstanz)überprüft werden, um zu bestimmen, ob die Änderung die Sicherheit betreffen könnte. Fallsdies der Fall ist, muss eine entsprechende Einflussanalyse ausgeführt werden.
17.3. Einflussanalyse
Die Ergebnisse der Analyse erfordern eventuell die erneute Überprüfung der frühen Phasendes Lebenszyklus. Beispielsweise kann es erforderlich sein, erkannte Gefahren und Risiko -beurteilungen zu überprüfen. Die Änderungsaktivitäten können erst beginnen, wenn dieserProzess abgeschlossen und die Sicherheitsinstanz die Änderung genehmigt hat.
Die Auswirkung der Änderungen auf die SIF können in der Folge weitere Auswirkungen aufdie O&M-Mitarbeiter haben, sodass eventuell zusätzliche Schulungen erforderlich sind.
17.4. Außerbetriebnahme der SIF
Die Außerbetriebnahme sollte eine geplante Aktivität im Rahmen der Lebenszyklusphase 11sein und kann als Änderung am Ende des Projektlebenszyklus implementiert werden.
Zu Beginn der Außerbetriebnahmephase muss eine Einflussanalyse eingeleitet werden, umdie Auswirkungen der Außerbetriebnahme auf die funktionale Sicherheit zu bestimmen. DieAnalyse muss die Überprüfung der Gefahrenidentifikation und der Risikobeurteilung umfas -sen, wobei vor allem die Gefahren überprüft werden müssen, die in Folge der Außerbetrieb -nahmeaktivitäten auftreten können.
PROZESS-SAFEBOOK 1
Management, Beurteilung und Prüfung
163
18. Management der funktionalen Sicherheit und Beurteilung sowieÜberprüfung der funktionalen Sicherheit
18.1. Phasen des Lebenszyklus
In Abbildung 61 ist die anzuwendende Phase des Lebenszyklus dargestellt.
Das Ziel dieser Phase, wie in IEC 61511-1, 5 definiert, ist die Bestimmung der Verwaltungs -aktivitäten und der Dokumentation, die erforderlich ist, damit die jeweiligen Verantwort -lichen sich angemessen um die entsprechenden Lebenszyklusphasen kümmern können.
In der Norm sind allgemeine Anforderungen für die Verwaltung und Dokumentationaufgeführt, damit sich die jeweiligen Verantwortlichen angemessen um die entsprechendenLebenszyklusphasen kümmern können.
Man
agem
ent u
nd B
eurt
eilu
ng d
er fu
nktio
nale
nSi
cher
heit
und
Aud
its
10
Auf
bau
und
Plan
ung
des
Sich
erhe
itsle
bens
zykl
us
11
Verifi
katio
n
9Gefährdungs- undRisikobeurteilung
1
Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen
Entwurf undPlanung andererMaßnahmen zurRisikominderung
2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung des SIS4
Montage, Inbetriebnahme und Validierung5
Betrieb und Instandhaltung6
Modifikation7
Außerbetriebnahme8
Abbildung 61: Lebenszyklusphase 10 & 11
164
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Dies bedeutet, dass die Projektdokumentation ausreichend Informationen für jede abge -schlossene Phase des Lebenszyklus und für die effiziente Ausführung der Verifizierungs -aktivitäten enthalten muss.
Um Konformität mit der Norm zu erreichen, muss Folgendes festgelegt werden:
• Verantwortlichkeiten beim Management der funktionalen Sicherheit• Durch die Verantwortlichen auszuführende Aktivitäten
Die Konformität mit den Anforderungen kann erreicht werden, indem Verfahren für dieeinzelnen Anforderungen definiert und diese Verfahren implementiert werden. Außerdemist sicherzustellen, dass genügend Informationen verfügbar sind, um das effizienteManagement der funktionalen Sicherheit zu gewährleisten.
18.2. Management der funktionalen Sicherheit
Die Anforderungen hinsichtlich des Managements der funktionalen Sicherheit sind inTabelle 23 zusammengefasst.
Die meisten Anforderungen werden eventuell bereits durch das Qualitäts-Management-System (QMS) einer Organisation abgedeckt. In den folgenden Abschnitten sind einigeBereiche beschrieben, die in der Regel beachtet werden müssen.
Anforderung an das Management derfunktionalen Sicherheit
Beschreibung
Allgemeine Anforderungen, IEC 61511-1,5.2.1Zusammen mit den Kommunikationsmöglich -keiten innerhalb der Organisation müssen eineRichtlinie und eine Strategie angegebenwerden.
Richtlinie und KommunikationEs muss eine Richtlinie für funktionale Sicherheit definiertsein, die innerhalb der Organisation kommuniziert werdenmuss. Der Inhalt der Richtlinie sollte nach Möglichkeit bestimmteZiele der funktionalen Sicherheit zusammen mit den Mög -lichkeiten der Evaluierung umfassen, ob diese Ziele erreichtwurden. Zudem sollte die Kommunikationsmethodeinnerhalb der Organisation definiert sein.
Ein Managementsystem für die funktionaleSicherheit muss vorhanden sein, um sicherzu -stellen, dass das SIS in der Lage ist, den Prozessin einen sicheren Zustand zu bringen und zuverwalten.
Ein Dokument zum Management der funktionalen Sicherheitauf hoher Ebene muss verfügbar sein, in dem alle Lebens -zyklusphasen im Aufgabenbereich identifiziert werden. DasManagementdokument muss auf die erforderlichen Ver -fahren verweisen, die für alle sicherheitsrelevantenAktivitäten erforderlich sind.Es müssen Verfahren festgelegt sein, die alle Verwaltungs-und technischen Aktivitäten angeben, die für das Projektausgeführt werden sollen. Die Verfahren müssen die zuerstellenden Dokumente definieren. Projekte müssen mithilfe eines Qualitäts- und Sicherheits -plans kontrolliert werden, in dem die auszuführendenAktivitäten, die Kontrollmaßnahmen und die Bedingungenzur Freigabe nach Abschluss festgelegt sind.
PROZESS-SAFEBOOK 1
Management, Beurteilung und Prüfung
165
Anforderung an das Management derfunktionalen Sicherheit
Beschreibung
Organisation und Ressourcen, IEC 61511-1,5.2.2Personen, Abteilungen, Organisationen oderandere Einheiten, die für die Ausführung undÜberprüfung der einzelnen Sicherheitslebens -zyklen verantwortlich sind, müssen festgelegtund über die Verantwortlichkeiten informiertwerden, die ihnen zugewiesen wurden (hierzuzählen, sofern relevant, Lizenzierungsstellenoder Sicherheitskontrollorgane).
Rollen und VerantwortlichkeitenAlle Personen, Abteilungen und Organisationen, die für dieAusführung und Überprüfung sicherheitsrelevanter Aktivi -täten verantwortlich sind, müssen festgelegt und ihreVerantwortlichkeiten klar definiert werden.Typischerweise könnte dies innerhalb einer Organisationdurch veröffentliche Organisationsdiagramme erreichtwerden, in denen Personen und ihre Rollen aufgeführt sind.In Aufgabenbeschreibungen würden dann die Verantwort -lichkeiten für die einzelnen Rollen festgelegt.
Personen, Abteilungen oder Organisationen,die in Aktivitäten des Sicherheitslebenszyklusinvolviert sind, müssen eine ausreichendeKompetenz für die Ausführung der Aktivitätenaufweisen, für die sie verantwortlich sind.
KompetenzDie Kompetenz aller oben aufgeführten verantwortlichenPersonen muss dokumentiert sein.Es müssen Verfahren festgelegt sein, um sicherzustellen, dassdie verantwortlichen Personen über die entsprechende Kom -petenz für die ihnen zugewiesenen Aktivitäten verfügen. DasVerfahren muss eine Überprüfung und Beurteilung derKompetenz- und Schulungsanforderungen umfassen. Bei der Dokumentation der Kompetenz muss Folgendesberücksichtigt werden: a) Engineering-Know-how (dies gilt für den Prozess, die
Technologie, die Neuheit und Komplexität der Anwen -dung, der Sensoren und der endgültigen Elemente)
b) Ausreichende Management- und Führungsqualitäten fürdie Rolle im Sicherheitslebenszyklus
c) Grundlegendes Verständnis der möglichen Konsequenzeines Ereignisses, der Sicherheitsintegrität der SIFs, desSicherheits-Engineerings und der rechtlichen Anforde -rungen sowie der Anforderungen hinsichtlich derSicherheitsvorschriften.
Risikobeurteilung und RisikoverwaltungIEC 61511-1, 5.2.3Die Gefahren müssen erkannt, Risiken beurteiltund die erforderliche Risikominderungbestimmt sein.
SIL-BestimmungSiehe Abschnitt [6].
Planung, IEC 61511-1, 5.2.4Die Sicherheitsplanung dient der Definition dererforderlichen Aktivitäten, die zusammen mitden Personen, der Abteilung, Organisation oderanderen Einheiten ausgeführt werden müssen,die für diese Aktivitäten verantwortlich sind.Diese Planung muss bei Bedarf während desgesamten Sicherheitslebenszyklus aktualisiertwerden.
PlanungDie Planung muss sicherstellen, dass die Aktivitäten zumManagement von FS, zur Verifizierung und zur FS-Beurtei -lung geplant und auf die relevanten Lebenszyklusphasenangewandt werden.Die Planung kann in den Projektqualitätsplan integriertwerden und muss alle sicherheitsrelevanten Aktivitäten, dasTiming und die verantwortlichen Personen oder Organisatio -nen genau festlegen.Jede sicherheitsrelevante Aktivität kann Verweise aufVerfahren oder Arbeitspraktiken, Entwicklungs- oderProduktionstools umfassen.
166
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Anforderung an das Management derfunktionalen Sicherheit
Beschreibung
Implementierung und Überwachung,IEC 61511-1, 5.2.5Die Verfahren müssen implementiert werden,um ein schnelles Nachfassen und eine zufrie -den stellende Lösung für die Empfehlungen zugewährleisten, die sich aus Folgendem ergeben: a) Gefahrenanalyse und Risikobeurteilungb) Beurteilung und Prüfungen c) Verifizierung und Validierung d) Aktivitäten nach einem Zwischenfall
Implementierung und ÜberwachungDie Verfahren sollten die Erstellung von Empfehlungenermöglichen, die sich aus Analyse- und Prüfaktivitätenergeben. Außerdem sollte eine Methode für die Überprüfungund Verfolgung von Empfehlungen bis zu ihrer Ausführungimplementiert werden.Es muss ein Verfahren vorhanden sein, das sicherzustellt,dass alle Empfehlungen, die sich aus Zwischenfällen oderGefahren ergeben, umgesetzt werden können.
Es müssen Verfahren zur Bewertung der Leis -tung des SIS hinsichtlich der sicherheitstech -nischen Anforderungen implementiert werden:a) Zusammenstellung und Analyse von
Feldausfalldaten während des Betriebsb) Aufzeichnung der Anforderungen an die SIF,
um sicherzustellen, dass die Annahmen, vondenen während der SIL-Bestimmung ausge -gangen wurde, weiterhin gültig bleiben.
Wenn die Organisation für die Betriebs- und Wartungs -phasen verantwortlich ist, müssen Verfahren definiertwerden, mit denen die Betriebs- und Instandhaltungs -leistung erkannt werden kann. Hierzu gehören:• Systematische Fehler• Wiederkehrende Fehler• Beurteilung von Anforderungsraten und Ausfallraten in
Übereinstimmung mit den Annahmen während derKonstruktion oder FS-Beurteilung
Beispiele für die Anforderungen an FS-Prüfungen: Häufigkeit,Unabhängigkeit, erforderliche Dokumentation undNachverfolgung.
Jeder Lieferant, der einer Organisation Produkteoder Dienstleistungen anbietet und die Ver ant -wortung für mindestens eine Phase des Sicher -heitslebenszyklus hat, muss Produkte oderDienstleistungen wie von dieser Organisationangegeben liefern und über ein entsprechendesQualitäts-Management-System verfügen.Es müssen Verfahren definiert werden, um dieEignung des Qualitäts-Management-Systemsfestzulegen.
LieferantenverwaltungLieferanten müssen Produkte wie angegeben liefern undüber ein entsprechendes QMS verfügen. Typischerweiseerfolgt die Beschaffung über eine Liste genehmigterLieferanten und wird durch eine Beschaffungsspezifikationkontrolliert.Es müssen Verfahren definiert sein, mit denen dieGenehmigung der Lieferanten geprüft werden kann.
Beurteilung, Prüfung und Überarbeitung,IEC 61511-1, 5.2.6 Es muss ein Verfahren für die Beurteilung derfunktionalen Sicherheit definiert und ausgeführtwerden, damit die funktionale Sicherheit unddie Sicherheitsintegrität durch das sicherheits -technische System erzielt werden können. Für das Verfahren wird ein Beurteilungsteambestimmt, dessen Mitglieder über das tech -nische, anwendungs- und betriebsbezogeneKnow-how verfügen, das für die jeweiligeAnwendung erforderlich ist.Unter den Mitgliedern des Beurteilungsteamsmuss sich mindestens eine leitende, kompeten -te Person befinden, die nicht Teil des Projektkon -struk tionsteams ist. Die Phasen im Sicherheitslebenszyklus, für diedie Aktivitäten zur Beurteilung der funktionalenSicherheit ausgeführt werden müssen, werdenwährend der Sicherheitsplanung festgelegt.
Beurteilung der funktionalen SicherheitAktivitäten für die FS-Beurteilung – siehe Abschnitt [13].Es muss ein Verfahren zur Aktivierung der auszuführendenFS-Beurteilung implementiert sein. Die Anforderungen fürden Nachweis der Konformität mit den SIL- und PFD- (oderPFH-) Zielen, die während der SIL-Bestimmung [6] festgelegtwurden, sind in Abschnitt [11.1] ausführlicher beschrieben.Es kann ein Team innerhalb der Organisation bestimmtwerden, sofern die Anforderungen hinsichtlich Kompetenzund Unabhängigkeit erfüllt sind. Wenn eine externeOrganisation eingesetzt wird, müssen die Anforderungenhinsichtlich der Kompetenz Teil des Lieferantenverwaltungs -verfahrens sein.In der Aufgabenbeschreibung sollten auch dieAnforderungen hinsichtlich des MTR enthalten sein [8.6.6].
PROZESS-SAFEBOOK 1
Management, Beurteilung und Prüfung
167
Tabelle 23: Anforderungen für das Management der funktionalen Sicherheit
Anforderung an das Management derfunktionalen Sicherheit
Beschreibung
Es muss mindestens eine Beurteilung derfunktionalen Sicherheit ausgeführt werden,bevor die erkannten Gefahren auftreten.Außerdem muss Folgendes bestätigt werden:• Die Gefährdungs- und Risikobeurteilung
wurde ausgeführt• Empfehlungen, die sich aus der Gefahren-
und Risikobeurteilung ergeben, wurdenbefolgt
• Das SIS wurde in Übereinstimmung mit derSRS geplant, konstruiert und installiert
• Die Sicherheits-, Betriebs- undInstandhaltungsverfahren wurden definiert
• Validierungsaktivitäten wurden ausgeführt• O&M-Schulung wurde ausgeführt und es
wurden entsprechende Informationen zumSIS bereitgestellt
• Es wurden Strategien für weitereBeurteilungen implementiert
Die FS-Beurteilung muss gemäß einem Plan ausgeführtwerden, um Konformität zu gewährleisten. Die Punkte imProjektplan oder im Sicherheitslebenszyklus, sofern erstattfindet, sollten im Projektqualitäts- und Sicherheitsplanangegeben werden.Es ist wichtig, dass mindestens eine FS-Beurteilungausgeführt wird, bevor die erkannten Gefahren an derAnlage oder im Prozess auftreten.
Es müssen unter anderem folgende Verfahrenzur Überprüfung der Konformität mit denAnforderungen definiert und ausgeführtwerden: a) Häufigkeit der Prüfaktivitäten b) Grad der Unabhängigkeit zwischen den
Personen, Abteilungen, Organisationen odersonstigen Einheiten, die die Arbeit ausführen,und denen, die die Prüfaktivitäten ausführen
c) Aufzeichnungs- und Nachverfolgungs -aktivitäten
Die funktionale Sicherheit muss überprüft werden, umsicher zustellen, dass die entsprechenden Verfahrensvor -schrif ten im Projekt definiert sind und implementiertwurden.Typischerweise muss eine Überprüfung der funktionalenSicherheit sehr früh im Projektlebenszyklus stattfinden, umsicherzustellen, dass die implementierten Verfahren allesicherheitsrelevanten Aktivitäten abdecken. NachfolgendePrüfungen sollten während des Projekts in bestimmtenIntervallen ausgeführt werden, um sicherzustellen, dass dieVerfahrensvorschriften eingehalten werden und dass alleEmpfehlungen oder Nachverfolgungsaktivitäten ausgeführtwurden.
Verwaltung der SIS-Konfiguration,IEC 61511-1, 5.2.7 Es sollten Verfahren für die Konfigurations -verwaltung des SIS während des Lebenszyklusverfügbar sein. Es ist Folgendes anzugeben:a) Phase, in der die formale
Konfigurationskontrolle implementiert wirdb) Methode zur Identifikation von Teilen
(Hardware und Software)c) Verfahren, mit denen verhindert wird, dass
nicht genehmigte Teile im Serviceimplementiert werden
Konfigurationsverwaltung In einem typischen QMS können bereits Verfahren für dieKonfigurationsverwaltung, die Einleitung von Änderungenund Methoden implementiert sein, mit denen die Nach -verfolgung von Änderungsanforderungen gewährleistetwerden kann. Wenn allerdings Änderungen an einer Sicherheitsfunktion inBetracht gezogen werden, ist eine Form der Einflussanalysezu definieren, um bestimmen zu können, ob die Sicherheitbeeinträchtigt würde und bis zu welchem Punkt im Lebens -zyklus zurückgegangen werden muss, um mit der erneutenBeurteilung zu beginnen. Eventuell ist ein Verfahren zum Ausführen der Einflussanalyseund zum Verwalten der erneuten Beurteilung erforderlich.
168
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
18.3. Allgemeine Anforderungen
Es muss eine Richtlinie und Strategie vorhanden sein, um funktionale Sicherheit innerhalbeiner Organisation zu erreichen. Außerdem müssen Möglichkeiten definiert werden, mitderen Hilfe diese Richtlinie und die Strategie in der ganzen Organisation kommuniziert wird.
Es ist wichtig, dass die Organisation ihre eigene funktionale Sicherheitsrichtlinie entwickelt,da hierfür Interessenvertreter innerhalb der Organisation erforderlich sind, die sorgfältigerwägen, was genau funktionale Sicherheit für die Organisation bedeutet, wie dies kom -muniziert werden kann, um eine Kultur der funktionalen Sicherheit aufzubauen, die dieganze Organisation mit all ihren Aktivitäten erreicht.
18.4. Organisation und Ressourcen
Alle Mitarbeiter des Projekts müssen basierend auf ihrer Kompetenz und den definiertenVerantwortlichkeiten ermittelt werden. Die Kompetenz der Belegschaft muss in einemKompetenzregister erfasst werden und es ist ein Verfahren festzulegen, mit dem dieKompetenz überprüft, das Register abhängig von den gewonnenen Erfahrungen aktualisiertund die Schulungsanforderungen überarbeitet werden. Die Kompetenzanforderungenmüssen für jede Projektrolle definiert werden.
Für die meisten Organisationen, für die funktionale Sicherheit noch neu ist, erscheint eseventuell von Vorteil, eine Sicherheitsinstanz (SA – Safety Authority) einzusetzen, die für diefunktionale Sicherheit und die Kommunikation, die Lebenszyklusphasen und die Planungvon Aktivitäten verantwortlich ist. Die SA muss unabhängig von den Projekten sein.
Höchstwahrscheinlich werden sie auch ein Kompetenzregister einrichten und verwaltenoder ein bestehendes System weiterentwickeln, um Aktivitäten und Verantwortlichkeitenhinsichtlich der funktionalen Sicherheit zu integrieren.
18.5. Projektimplementierung und -überwachung
Wenn einige Aktivitäten für den Aufgabenbereich neu sind, z. B. HAZOP-Studien, muss einVerfahren für deren Ausführung definiert werden. Wenn beispielsweise eine Entwicklungbedeutet, dass sicherheitsrelevante Anwendungssoftware integriert wird, muss ein Verfahrenfestgelegt sein, das sicherstellt, dass die Software in Übereinstimmung mit Lebenszyklus -phase 4 [11] entwickelt wird.
18.6. Konfigurationsverwaltung und -änderung
In der Regel sind in einem typischen QMS bereits Verfahren für die Konfigurations verwal -tung, die Einleitung von Änderungen, Genehmigungsverfahren und Verfahren zum Sicher -stellen der Nachverfolgung von Änderungsanforderungen enthalten.
PROZESS-SAFEBOOK 1
Management, Beurteilung und Prüfung
169
Wenn allerdings Änderungen an einer Sicherheitsfunktion in Betracht gezogen werden, isteine Form der Einflussanalyse zu definieren, um bestimmen zu können, ob die Sicherheitbeeinträchtigt würde und bis zu welchem Punkt im Lebenszyklus zurückgegangen werdenmuss, um mit der erneuten Beurteilung zu beginnen. Eventuell ist ein Verfahren zumAusführen der Einflussanalyse und zum Verwalten der erneuten Beurteilung erforderlich.
18.7. O&M-Leistung
Abhängig von den Phasen des Lebenszyklus im Aufgabenbereich müssen eventuellVerfahrensvorschriften implementiert sowie Informationen zusammengestellt und verwaltetwerden, die sich aus Folgendem ergeben: Gefahren, Zwischenfälle und Änderungen. DieseVerfahrensvorschriften können außerdem Folgendes beschreiben:
• Handhabung gefährlicher Zwischenfälle• Analyse erkannter Gefahren• Verifizierung von Aktivitäten
Die Zusammenstellung von Daten und die Verwaltung von Datensätzen kann erforderlichsein, weil eventuell während der Sicherheitsbeurteilung angenommen wurde, dass dieSicherheitsfunktion beispielsweise für ein System in der Anforderungsbetriebsart konzipiertwurde. Die Überwachung der Anforderungsrate für die Sicherheitsfunktion gewährleistetdaher, dass die entsprechenden Ziele und Leistungsmessgrößen festgelegt wurden undgültig bleiben.
170
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
19. Referenzen
19.1. IEC 61508:2010, Funktionale Sicherheit sicherheitsbezogenerelektrischer/elektronischer/programmierbarer elektronischer Systeme.
19.2. IEC 61511:2004: Funktionale Sicherheit: Sicherheitstechnische Systeme für dieProzessindustrie.
19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.
19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),2001
19.5. IEC 61784-3:2010 Industrielle Kommunikationsnetze. Profile – Teil 3: Funktionalsichere Übertragung bei Feldbussen – Allgemeine Regeln und Profilfestlegungen.
19.6. Derivation of the Simplified PFDavg Equations, D Chauhan, Rockwell Automation(FSC).
19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy,Rockwell Automation (FSC).
19.8. Funktionale Sicherheit: Sicherheitstechnische Systeme für die Prozessindustrie.ANSI/ISA-84.00.01-2004 Teil 1 (Mod. von IEC 61511-1).
PROZESS-SAFEBOOK 1
Definitionen
171
20. Definitionen2oo3 Zwei von drei Logikschaltkreisen (2/3-Logikschaltkreis). Ein Logikschaltkreis mit drei
unabhängigen Eingängen. Der Ausgang des Logikschaltkreises weist denselbenZustand auf wie zwei beliebige übereinstimmende Eingangszustände. Beispielsweisewenn ein Sicherheitsschaltkreis, in dem drei Sensoren vorhanden sind, ein Signal vonzwei beliebigen dieser Sensoren eine Abschaltung anfordern muss. Dieses 2oo3-Systemgilt als einzelfehlertolerant (HFT = 1), da einer der Sensoren einen gefährlichen Ausfallaufweisen und das System trotzdem sicher heruntergefahren werden kann. WeitereAbstimmsysteme sind 1oo1, 1oo2, 2oo2, 1oo3 und 2oo4.
ALARP As Low As Reasonably Practicable (so niedrig wie vernünftigerweise möglich). DiePhilosophie zum Umgang mit Risiken, die zwischen einem oberen und einem unterenExtrem liegen. Am oberen Extrem ist das Risiko so groß, dass es vollständig abgelehntwird, während das Risiko am unteren Extrem nicht mehr relevant ist oder entsprechendgeändert wurde. Bei dieser Philosophie wird davon ausgegangen, dass die Kosten undVorteile der Risikominderung das Risiko „so niedrig wie vernünftigerweise möglich“machen.
Analyse desEreignisbaums
Eine Methode zur Modellierung der Fehlerverbreitung. Bei der Analyse wird einbaumähnliches Bild der Ereignisverkettung erstellt und führt von einem anfänglichenEreignis zu verschiedenen möglichen Ergebnissen. Der Baum wird vom anfänglichenEreignis in Verzweigungen mit sich zwischenzeitlich fortpflanzenden Ereignissenerweitert. Jede Verzweigung stellt eine Situation dar, in der ein anderes Ergebnismöglich ist. Nachdem alle entsprechenden Verzweigungen eingefügt wurden, endetder Baum mit verschiedenen möglichen Ergebnissen.
Anteil ungefährlicherAusfälle
Siehe SFF.
Architektur Die Abstimmstruktur verschiedener Elemente in einer sicherheitstechnischen Funktion.Siehe „Strukturelle Einschränkungen“, „Fehlertoleranz“ und „2oo3“.
Ausfall im geöffnetenZustand
Eine Bedingung, bei der sich die zum Schließen des Ventils verwendete Komponente indie geöffnete Stellung bewegt, wenn die Energiequelle für die Ansteuerung ausfällt.
Ausfall imgeschlossenenZustand
Eine Bedingung, bei der sich die zum Schließen des Ventils verwendete Komponente indie geschlossene Stellung bewegt, wenn die Energiequelle für die Ansteuerung ausfällt.
Ausfall infolgegemeinsamerAusfallart
Eine zufällige Belastung, die zum gleichzeitigen Ausfall von mindestens zwei Kompo -nen ten zur selben Zeit und aus demselben Grund führt. Ein solcher Ausfall unterschei -det sich von einem systematischen Ausfall, da er zufällig und wahrscheinlichkeits -theoretisch ist, doch nicht auf feste, vorhersehbare Weise mit Ursache und Wirkungauftritt. Siehe „Systematischer Ausfall“.
Ausfallmodi Die Art und Weise wie ein Gerät ausfällt. Diese Ausfallarten sind in der Regel in einenvon vier Ausfallmodi gruppiert: Ungefährlich erkannt (SD – Safe Detected), Gefährlicherkannt (DD – Dangerous Detected), Ungefährlich unerkannt (SU – Safe Undetected)und Gefährlich unerkannt (DU – Dangerous Undetected) gemäß ISA TR84.0.02.
Ausfallrate Anzahl der Ausfälle pro Einheitenzeit einer Einrichtung. Es wird im Allgemeinen davonausgegangen, dass es sich hierbei um einen konstanten Wert handelt. Dieser kann inverschiedene Kategorien aufgeschlüsselt werden, wie z. B. ungefährlich und gefährlich,erkannt und unerkannt sowie unabhängig/normal und mit gemeinsamer Ursache. Esmuss unbedingt sichergestellt werden, dass Alterung und Verschleiß angemessenberücksichtigt werden, damit die Annahme der konstanten Fehlerrate gültig ist.
172
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Betriebs- undÜberwachungs -einrichtung (BPCS)
System, das auf Eingangssignale vom Prozess und seinen zugehörigen technischenEinrichtungen und/oder von einem Bediener antwortet und Ausgangssignale erzeugt,die den Prozess und seine zugehörigen technischen Einrichtungen in der gewünschtenWeise steuern. Die Betriebs- und Überwachungseinrichtung (BPCS) übernimmt keinesicherheitstechnischen Funktionen, die mit einem Sicherheits-Integritätslevel von 1oder besser klassifiziert wurden, sofern es nicht betriebsbewährte Anforderungenerfüllt. Siehe „betriebsbewährt“.
Betriebsbewährt Grundlage für die Nutzung einer Komponente oder eines Systems im Rahmen einesfür einen bestimmten Sicherheits-Integritätslevel (SIL) klassifizierten sicherheitstech -nischen Systems (SIS), das nicht in Übereinstimmung mit IEC 61508 entwickelt wurde.Dabei wird mithilfe von ausreichenden Betriebsstunden des Produkts, einer Überar -beitungshistorie, von Fehlerberichtssystemen und Felddaten zu Ausfällen bestimmt, obein Produkt systematische Konstruktionsfehler aufweist. IEC 61508 stellt für jeden SILEbenen der Betriebshistorie bereit.
BPCS Siehe „Betriebs- und Überwachungseinrichtung“.
D-Diagnosen Einige sicherheitsrelevante Logik-Solver sind als Solver mit D-Diagnosen definiert. DieseDiagnosen unterscheiden sich von regulären Diagnosen dadurch, dass die Einheit ihreArchitektur neu konfigurieren kann, nachdem bei einer Diagnose ein Ausfall erkanntwurde. Die größte Auswirkung ergibt sich dadurch für 1oo2D-Systeme, die beimErkennen eines sicheren Ausfalls für den 1oo1-Betrieb umkonfiguriert werden können.Daher wird die Rate der Fehlauslösungen für ein solches System wesentlich verringert.
Diagnosedeckungs -grad
Ein Maß für die Fähigkeit eines Systems, Ausfälle zu erkennen. Dies entspricht demVerhältnis zwischen den Raten erkannter Ausfälle zur Rate aller Ausfälle im System.
E/E/PE – Elektrisch/elektronisch/program -mierbar elektronisch
Siehe 61508 und 61511.
Eintrittswahrschein -lichkeit (Likelihood)
Die Wahrscheinlichkeit eines gefährlichen Ereignisses wird oft in Ereignissen pro Jahroder pro Millionen Stunden ausgedrückt. Eine der beiden Komponenten, die zumDefinieren eines Risikos verwendet werden. Der Begriff unterscheidet sich von derDefinition des herkömmlichen Begriffs „Wahrscheinlichkeit“.
Fehlauslösung Siehe „Ungefährlicher Ausfall“
Fehlerbaum -diagramm
Methode zum Kombinieren von Wahrscheinlichkeiten, um komplexe Wahrscheinlich -keiten abschätzen zu können. Da in der Regel die Ausfallansicht eines Systems erforder -lich ist, eignet sich dieses Diagramm zur Modellierung mehrerer Ausfallmodi. BeiVerwendung dieses Diagramms zum Berechnen integrierter Durchschnittswahrschein -lichkeiten muss sorgfältig vorgegangen werden.
Fehlersicher (oderbevorzugtes Aus -schalten für dieAuslösung)
Ein Merkmal eines bestimmten Geräts, das dazu führt, dass das Gerät in einen sicherenZustand wechselt, wenn die Versorgung mit elektrischer oder pneumatischer Energieunterbrochen wird.
Fehlertoleranz Fähigkeit einer funktionalen Einheit, eine erforderliche Funktion auszuführen, wennbeliebige Fehler vorliegen. Beispielsweise kann ein 1oo2-Abstimmsystem einenzufälligen Komponentenausfall tolerieren und dennoch weiterhin seine Funktionausführen. Die Fehlertoleranz ist eine der spezifischen Anforderungen für denSicherheits-Integritätslevel (SIL) und wird in IEC 61508, Teil 2, Tabelle 2 und 3, sowiein IEC 61511 (ISA 84.01 2004) in Abschnitt 11.4 ausführlicher beschrieben.
PROZESS-SAFEBOOK 1
Definitionen
173
FMECA Failure Modes Effects and Criticality Analysis – Hierbei handelt es sich um einedetaillierte Analyse der verschiedenen Ausfallmodi und die Kritikalitätsanalyse für eine Einrichtung.
FunktionaleSicherheit
Das Nichtvorhandensein nicht akzeptabler Risiken während des gesamtenSicherheitslebenszyklus. Siehe IEC 61508, IEC 65111, Sicherheitslebenszyklusund tolerierbares Risiko.
GefahrbringenderAusfall
Ein Ausfall einer Komponente in einer sicherheitstechnischen Funktion, die verhindert,dass diese Funktion in einen sicheren Zustand übergeht, wenn dies erforderlich ist.Siehe Ausfallmodus.
Gefährdung Das Potenzial für das Auftreten eines Schadens.
HAZOP (HAZard and OPerability) Studie zu Gefahren und Bedienbarkeit. Ein Verfahren zurAnalyse von Prozessgefahren, das ursprünglich in den 70er Jahren von ICI entwickeltwurde. Die Methode ist äußerst strukturiert, unterteilt den Prozess in verschiedenebetriebsbasierte Knoten und untersucht das Verhalten der verschiedenen Teile jedesKnotens basierend auf einem Datenfeld mit möglichen Abweichungsbedingungenoder Leitwörtern.
HFT Hardwarefehlertoleranz (siehe Fehlertoleranz)
HSE (UK) (Health and Safety Executive) Gesundheits- und Sicherheitsbeauftragter
IEC (International Electrotechnical Commission) Internationale Elektrotechnik-Kommission.Eine weltweite Organisation für Normung. Ziel der IEC ist die Förderung der internatio -na len Zusammenarbeit hinsichtlich aller Fragen zur Normung auf dem Gebiet derElektrik und Elektronik. Zu diesem Zweck und für weitere Aktivitäten veröffentlicht dieIEC internationale Normen. Siehe 61508 und 61511. Aktivität für die Einflussanalysezum Bestimmen der Auswirkung, die die Änderung einer Funktion oder Komponenteauf andere Funktionen oder Komponenten in diesem System sowie auf andere Systemehat.
IEC 61508 Die IEC-Norm, die die funktionale Sicherheit elektrischer/elektronischer/programmier -barer elektronischer sicherheitsrelevanter Systeme abdeckt. Hauptziel von IEC 61508 istdie Verwendung sicherheitstechnischer Systeme zur Reduzierung des Risikos auf eintolerierbares Maß, indem die Verfahren für den allgemeinen Sicherheitslebenszyklusund die Verfahren für den Sicherheitslebenszyklus von Hardware und Software befolgtwerden und indem die zugehörige Dokumentation gepflegt wird. Die 1998 und 2000veröffentlichte Norm hat sich zu einer gängigen Norm bei Anbietern von Sicherheits -einrichtungen entwickelt, um zu zeigen, dass sich ihre Einrichtung für die Verwendungin gemäß Sicherheits-Integritätslevels klassifizierten Systemen eignet.
IEC 61511 Die IEC-Norm zur Verwendung elektrischer/elektronischer/programmierbarerelektronischer sicherheitsrelevanter Systeme in der Prozessindustrie. Ähnlich wieIEC 61508 konzentriert sich diese Norm auf eine Reihe von Prozessen für Sicherheits -lebenszyklen, mit denen das Prozessrisiko verwaltet werden kann. Sie wurdeursprünglich 2003 durch das IEC veröffentlicht und 2004 von den USA als ISA 84.00.01-2004 übernommen. Im Gegensatz zu IEC 61508 zielt diese Norm auf die Benutzersicherheitstechnischer Systeme in der Prozessindustrie ab.
Intervall für dieWiederholungs -prüfung
Das Zeitintervall zwischen den Wartungsaktivitäten für die Einrichtung.
174
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
IPL (Independent Protection Layer) Unabhängige Schutzebene. Dies bezieht sich aufverschiedene andere Methoden zur Risikominderung, die für einen Prozess möglichsind. Zu den Beispielen gehören Elemente wie Berstscheiben und Ablassventile, dieunabhängig die Wahrscheinlichkeit verringern, dass eine Gefahr zu einem Unfall mitallen gefährlichen Folgen eskaliert. Um effizient zu sein, muss jede Ebene explizitverhindern, dass die entsprechende Gefahr Schäden verursacht. Außerdem muss jedeEbene unabhängig von anderen Ebenen agieren, über eine ausreichende Funktions -wahrscheinlichkeit verfügen und in der Lage sein, überprüft zu werden, sobald dieAnlage relativ zur ursprünglich erwarteten Leistung arbeitet.
Konsequenz Das Ausmaß des Schadens oder das resultierende Ergebnis eines gefährlichenEreignisses. Eine der beiden Komponenten, die zum Definieren eines Risikos verwendetwerden.
Lambda Ausfallrate für ein System. Siehe Ausfallrate.
LOPA (Layer of Protection Analysis) Analyse der Schutzebenen. Eine Methode zur Analyse derEintrittswahrscheinlichkeit (Häufigkeit) eines gefährlichen Folgeereignisses basierendauf einer anfänglichen Ereignishäufigkeit und auf der Wahrscheinlichkeit eines Ausfallsmehrerer unabhängiger Schutzebenen, die vor der gefährlichen Folge schützenkönnen.
Modus (Betriebsartmit kontinuierlicherAnforderung)
Wenn die Anforderungen zur Aktivierung einer Sicherheitsfunktion (SIF) im Vergleichzum Prüfintervall der SIF häufig sind. Beachten Sie, dass andere Sektoren eine separateBetriebsart mit hoher Anforderungsrate definieren, je nachdem, ob die Diagnosen dieUnfallhäufigkeit verringern können. In jedem Fall wird in der Betriebsart mitkontinuierlicher Anforderung die Häufigkeit eines unerwünschten Unfalls im Grundedurch die Häufigkeit eines gefährlichen SIF-Ausfalls bestimmt. Wenn das SIF ausfällt,tritt die Anforderung nach seiner Aktion in einem wesentlich kürzeren Zeitrahmen aufals der Funktionstest. Daher ist es nicht sinnvoll, von seiner Ausfallwahrscheinlichkeit zusprechen. Im Grunde genommen werden alle gefährlichen Fehler eines SIF in derBetriebsart mit kontinuierlicher Anforderung durch eine Prozessanforderung und nichtdurch einen Funktionstest erkannt. Siehe „Betriebsart mit niedriger Anforderungsrate“,„Betriebsart mit hoher Anforderungsrate“ und „SIL“.
Modus (hoheAnforderungsrate)
(auch Betriebsart mit kontinuierlicher Anforderungsrate gemäß IEC 61511) Ähnlich wiedie Betriebsart mit kontinuierlicher Anforderung, nur dass automatischen Diagnosenbesonders berücksichtigt werden. Die Trennung zwischen der Betriebsart mit hoherAnforderungsrate und der Betriebsart mit kontinuierlicher Anforderungsrate gibt an,ob die automatischen Diagnosen wesentlich schneller ausgeführt werden als dieAnforderungsrate der Sicherheitsfunktion. Wenn die Diagnosen langsamer sind alsdiese Rate, werden sie nicht berücksichtigt und es wird die Betriebsart mit kontinuier -licher Anforderungsrate angewandt.
Modus (niedrigeAnforderungsrate)
(auch Anforderungsbetriebsart gemäß IEC 61511) wenn Anforderungen für dieAktivierung der sicherheitstechnischen Funktion (SIF) im Vergleich zum Prüfintervall derSIF selten sind. In der Prozessindustrie ist dieser Modus definiert, wenn die Anforderun -gen zum Aktivieren der SIF seltener als alle zwei Prüfintervalle erfolgen. Die Betriebsartmit niedriger Anforderungsrate ist die gängigste Betriebsart in den Prozessindustrien.Beim Definieren eines Sicherheits-Integritätslevels für die Betriebsart mit niedrigerAnforderungsrate wird die Leistung eines SIF in PFDavg (Probability of Failure onDemand – Versagenswahrscheinlichkeit) gemessen. In dieser Anforderungsbetriebsartbestimmt die Häufigkeit des einleitenden Ereignisses, modifiziert durch die Wahr -schein lichkeit eines gefahrbringenden Ausfalls bei Anforderung der SIF multipliziertmit der Anforderungsrate und eventuell nachfolgender Schutzebenen, die Häufigkeitunerwünschter Unfälle.
PROZESS-SAFEBOOK 1
Definitionen
175
MTTR (Mean Time to Repair) mittlere Dauer bis zur Wiederherstellung – Die durchschnittlicheZeit zwischen dem Auftreten eines Ausfalls und dem Abschluss der Reparatur diesesFehlers. Dies umfasst die Zeit, die erforderlich ist, um den Ausfall zu erkennen, dieReparatur einzuleiten und vollständig zu beenden.
Nutzung Ein Maß für die Wahrscheinlichkeit, dass der Wirkungsbereich eines Unfalls mindestenseinen Mitarbeiterrezeptor der Auswirkung umfasst. Diese Wahrscheinlichkeit mussmithilfe einer anlagenspezifischen Personalbesetzungsphilosophie und Praxisbestimmt werden.
P&ID (Piping and Instrumentation Diagram) Rohrleitungs- und Instrumentierungspläne.Zeigt die Verbindung zwischen der Prozesseinrichtung und der Instrumentierung, diezum Steuern des Prozesses verwendet wird. In der Prozessindustrie wird ein Standard -symbolsatz verwendet, um Zeichnungen der Prozesse vorzubereiten. Die in diesenZeichnungen verwendeten Instrumentensymbole basieren im Allgemeinen auf der ISA-Norm S5. 1. 2. Die primäre Zeichnung, die für die Planung einer Prozesssteuerungs -installation verwendet wird.
PFDavg (Probability of Failure on Demand average) mittlere Wahrscheinlichkeit einesgefahrbringenden Ausfalls bei Anforderung – Dies ist die Wahrscheinlichkeit, dass beieinem System ein gefährlicher Ausfall auftritt und die Sicherheitsfunktion bei Bedarfnicht ausführen kann. Die PFD kann als durchschnittliche Wahrscheinlichkeit odermaximale Wahrscheinlichkeit während eines bestimmten Zeitraums bestimmt werden.IEC 61508/61511 und ISA 84.01 verwenden PFDavg als Systemmetrik, nach der der SILdefiniert wird.
Redundanz Verwendung mehrerer Elemente oder Systeme zum Ausführen derselben Funktion.Redundanz kann durch identische Elemente (identische Redundanz) oder durchunterschiedliche Elemente (unterschiedliche Redundanz) implementiert werden.Redundanz wird vor allem verwendet, um die Zuverlässigkeit oder Verfügbarkeit zuverbessern.
RRF (Risk Reduction Factor) Risikominderungsfaktor – Der Kehrwert von PFDavg
Schutzebene Siehe IPL.
SFF (Safe Failure Fraction) Anteil ungefährlicher Ausfälle – Der Anteil der gesamtenAusfallrate eines Geräts, der entweder zu einem ungefährlichen Fehler oder einemdiagnostizierten (erkannten) gefährlichen Fehler führt. Der Anteil ungefährlicherAusfälle umfasst erkennbare gefährliche Ausfälle, wenn die Ausfälle angekündigtwerden und Verfahren für die Reparatur oder Abschaltung implementiert wurden.
Sicherer Zustand Der Zustand des Prozesses, nachdem die Gefahr beseitigt wurde, die zu keinemschwerwiegenden Schaden führt.
SIF (Safety Instrumented Function) Sicherheitstechnische Funktion – Eine Reihe vonEinrichtungen, mit denen das Risiko aufgrund einer bestimmten Gefahr reduziertwerden soll (Sicherheitsregelkreis). Zweck dieser Funktion ist 1. der automatischeÜbergang eines Industrieprozesses in einen sicheren Zustand, wenn die angegebenenBedingungen verletzt wurden, 2. das Zulassen der Fortsetzung eines Prozesses aufsichere Weise, wenn dies die angegebenen Bedingungen erlauben (Zustimmfunktio -nen) oder 3. das Ausführen einer Aktion zur Minderung der Konsequenzen einerindustriellen Gefahr. Hierzu zählen Elemente, die das unmittelbare Bevorstehen einesUnfalls erkennen, die eine Entscheidung zum Ergreifen entsprechender Maßnahmentreffen und schließlich die erforderliche Aktion ausführen, um den Prozess in einensicheren Zustand zu bringen. Die Fähigkeit dieser Aktion, solche Umstände zuerkennen, die richtige Entscheidung zu treffen und zu handeln, wird durch denSicherheits-Integritätslevel (SIL) der Funktion bestimmt. Siehe „SIL“.
176
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
SIL Safety Integrity Level (Sicherheits-Integritätslevel) – Ein quantitatives Ziel für dasMessen der für eine Sicherheitsfunktion erforderlichen Leistungsstufe, um eintolerierbares Risiko für eine Prozessgefahr zu erreichen. Die Definition eines Ziel-SIL-Levels für den Prozess muss auf der Bewertung der Wahrscheinlichkeit basieren, dassein Unfall auftreten wird, und welche Konsequenzen er haben wird. In der folgendenTabelle ist der SIL für die verschiedenen Betriebsarten beschrieben.
SIL-Verifizierung Der Prozess zum Berechnen der durchschnittlichen Wahrscheinlichkeit eines gefahr -bringenden Ausfalls bei Anforderung (oder der Wahrscheinlichkeit eines gefahrbrin gen -den Ausfalls pro Stunde) und der strukturellen Einschränkungen für die Konstruktion einerSicherheitsfunktion, um festzustellen, ob sie den erforderlichen SIL-Level erfüllt.
SIS (Safety Instrumented System) Sicherheitstechnisches System – Implementierung vonmindestens einer sicherheitstechnischen Funktion. Ein SIS besteht aus einer beliebigenKombination aus Sensoren, Logik-Solvern und finalen Elementen. Ein SIS verfügt in derRegel aus verschiedenen Sicherheitsfunktionen mit unterschiedlichen Sicherheits-Integritätsleveln (SIL), sodass die Beschreibung mit einem einzelnen SIL möglichstvermieden werden sollte. Siehe „SIF“.
StrukturelleEinschränkungen
Die für die ausgewählte Hardware geltenden Einschränkungen für die Implementierungeiner sicherheitstechnischen Funktion, unabhängig von der für ein Subsystem berechne -ten Leistung. Strukturelle Einschränkungen werden (in IEC 61508-2-Tabelle 2 undIEC 61511-Tabelle 5) abhängig vom erforderlichen SIL des Subsystems, des verwendetenKomponententyps und des SFF der Subsystemkomponenten angegeben. Komponentenvom Typ A sind einfache Geräte, die keine Mikroprozessoren umfassen, während Gerätevom Typ B komplexe Geräte sind, die beispielsweise Mikroprozessoren umfassen. SieheFehlertoleranz.
SystematischerAusfall
Ein Ausfall, der auf deterministische (nicht zufällige) und vorhersehbare Weise aufgrundeiner bestimmten Ursache entsteht, die nur durch eine Änderung der Konstruktionoder des Fertigungsprozesses, der Betriebsverfahren, Dokumentation oder andererrelevanter Faktoren eliminiert werden kann. Da diese mathematisch nicht vorhersehbarsind, umfasst der Sicherheitslebenszyklus zahlreiche Verfahren, um sie zu verhindern.Diese Verfahren sind strenger, wenn es sich um Systeme und Komponenten mit einemhöheren Sicherheits-Integritätslevel handelt. Solche Ausfälle können nicht durch eineeinfache Redundanz verhindert werden.
Ungefährlicher Ausfall Ausfall, der nicht das Potenzial hat, ein sicherheitstechnisches System in einen gefähr -lichen Zustand oder in einen Zustand zu bringen, in dem es nicht mehr funktioniert. DieSituation, in der ein sicherheitsrelevantes System oder eine Komponente nicht mehrordnungsgemäß funktioniert, sodass das System heruntergefahren werden muss, oderdie sicherheitstechnische Funktion aktiviert wird, auch wenn keine Gefahr vorhanden ist.
Ursache-Wirkung-Diagramm
Eine häufig eingesetzte Methode, um die Beziehung zwischen den Sensoreingängen zueiner Sicherheitsfunktion und den erforderlichen Ausgängen aufzuzeigen. Wird oft imRahmen einer Spezifikation für sicherheitstechnische Anforderungen verwendet. DieStärken der Methode sind ein geringer Aufwand und eine äußerst transparenteDarstellung, während ihre Schwächen das steife Format (einige Funktionen könnennicht mit Ursache-Wirkung-Diagrammen dargestellt werden) und die Tatsache sind,dass sie die Funktion möglicherweise zu einfach darstellt.
Verfügbarkeit Die Wahrscheinlichkeit, dass ein Gerät an einem bestimmten Zeitpunkt ordnungs gemäßfunktioniert. Dies ist ein Maß für die „Betriebszeit“ und wird in Prozent angegeben. Für diemeisten getesteten und reparierten Sicherheitssystemkomponenten variiert die Verfüg -bar keit im Verlauf der Zeit sägezahnförmig, da sie Wiederholungsprüfungen und Repara -turzyklen unterliegt. Daher wird die integrierte durchschnittliche Verfügbarkeit zumBerechnen der durchschnittlichen Wahrscheinlichkeit eines gefahrbringenden Ausfalls beiAnforderung verwendet. Siehe „PFDavg“.
PROZESS-SAFEBOOK 1
Definitionen
177
Wiederholungs -prüfung
Testen von Sicherheitssystemkomponenten, um Ausfälle zu erkennen, die nicht durchautomatische Onlinediagnosen erkannt werden, z. B. gefährliche Ausfälle, Diagnoseaus -fälle, parametrische Ausfälle, gefolgt von der Reparatur dieser Ausfälle, um einenZustand zu erreichen, der mit einem neuen Zustand gleichwertig ist. Die Wiederho -lungs prüfung ist ein wichtiger Teil des Sicherheitslebenszyklus und kritisch, wenn esdarum geht, dass ein System seinen erforderlichen Sicherheits-Integritätslevel währenddes Sicherheitslebenszyklus erreicht.
Wiederholungs -prüfungsgrad
Der Prozentsatz an Ausfällen, die während der Wartung einer Einrichtung erkannt werden.Im Allgemeinen wird davon ausgegangen, dass beim Ausführen einer Wiederholungs -prüfung eventuell im System vorhandene Fehler erkannt und korrigiert werden (100 %Wiederholungsprüfungs-Deckungsgrad).
Zufälliger Ausfall Ein Ausfall, der zu einer beliebigen Zeit auftritt und auf mindestens einen Abbaumecha -nis mus zurückzuführen ist. Zufällige Ausfälle können effizient mithilfe von Statistikenvorhergesagt werden und sind die Grundlage für die Versagenswahrscheinlichkeit,basierend auf den Berechnungsanforderungen für Sicherheits-Integritätslevel. Siehe„Systematischer Ausfall“.
Zuverlässigkeit 1. Die Wahrscheinlichkeit, dass ein Gerät seine Aufgabe ordnungsgemäß für dieangegebene Zeit und unter den angegeben 2. Die Wahrscheinlichkeit, dass eine Komponente, ein Anlagenteil oder System seinevorgesehene Funktion für einen bestimmten Zeitraum, in der Regel Betriebsstunden,ausführt, ohne dass eine korrigierende Instandhaltung erforderlich ist.enBetriebsbedingungen ausführt.
Zuverlässigkeits -blockdiagramm
Methode zum Kombinieren von Wahrscheinlichkeiten, um komplexe Wahrscheinlich -keiten abschätzen zu können. Da normalerweise ein System aus der Perspektive des„Erfolgs“ betrachtet wird, kann es verwirrend sein, wenn es zur Modellierung mehrererAusfallmodi eingesetzt wird.
Zwischenfall Das Ergebnis eines einleitenden Ereignisses, dessen Verbreitung nicht gestoppt werdenkann. Ein Zwischenfall ist die grundlegendste Beschreibung eines unerwünschtenUnfalls und stellt die wenigsten Daten zur Verfügung. Der Begriff „Zwischenfall“ wirdeinfach verwendet, um mitzuteilen, dass im Prozess eine Chemikalie ausgelaufen istoder eine mögliche Energiequelle nicht mehr zur Verfügung steht. Daher besteht dieGefahr, dass Schäden entstehen können, wobei jedoch das gefährliche Ergebnis nochkeine besondere Form angenommen hat.
178
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
Abkürzungen1oo1 1 out of 1 (Abstimmung von 1 aus 1 – Simplex)1oo2 1 out of 2 (1 aus 2)AI Analogue Input (Analogeingang)ANSI American National Standards Institute (Amerikanisches Institut für Normung)ALARP As Low As Reasonably Practicable (so niedrig wie vernünftigerweise möglich)BMS Brenner-Management-SystemBPCS Basic Process Control System (Betriebs- und Überwachungseinrichtung)C&E Cause and Effect (Ursache und Wirkung)CBA Cost Benefit Analysis (Kosten-Nutzen-Analyse)CCF Common Cause Failure (Ausfälle infolge gemeinsamer Ursache)COMAH Control Of Major Accident Hazards (Kontrolle schwerer Unglücksfälle)DCS Distributed Control System (Prozessleitsystem)DD Dangerous Detected (gefährlich erkannt)DI Digital Input (Digitaleingang)DO Digital Output (Digitalausgang)DU Dangerous Undetected (gefährlich unerkannt)E/A Eingang/AusgangE/E/PES Elektrisches/elektronisches/programmierbares elektronisches SystemESD Emergency Shutdown (Notabschaltung)ESDV Emergency Shutdown Valve (Notabschaltventil)F&G Feuer und Gasf/hr Failures per hour (Ausfälle pro Stunde)FC Fail Closed (Ausfall im geschlossenen Zustand)FDS Functional Design Specification (funktionale Konstruktionsspezifikation)FMECA Failure Modes, Effects and Criticality AnalysisFO Fail Open (Ausfall im geöffneten Zustand)FPL Fixed Programmable Language (feste Programmiersprache)FSC Functional Safety Capability (Fähigkeit für die funktionale Sicherheit)FVL Full Variability Language (Programmiersprache mit nicht eingeschränktem Sprachumfang)Gefahrbringender Ausfall Dies ist ein Ausfallmodus, der das sicherheitsrelevante System möglicherweise in einen
gefahrbringenden oder funktionsunfähigen Zustand bringtHAZAN Hazard Analysis (Gefahrenanalyse)HASAW Health and Safety at Work Act (HSW) (Gesetz zur Gesundheit und Sicherheit am Arbeitsplatz)HAZOP Hazard and Operability Study (Studie zu Gefahren und Bedienbarkeit)HFT HardwarefehlertoleranzHIPPS High Integrity Pressure Protection System (Druckschutzsysteme mit hoher Integrität)HSE Health and Safety Executive (Gesundheits- und Sicherheitsbeauftragter)IEC International Electrotechnical Commission (Internationale Elektrotechnik-Kommission)IPL Independent Protection Layer (Unabhängige Schutzebene)ISA International Society of Automation (Internationale Automatisierungsgesellschaft)LOPA Layer of Protection Analysis (Analyse der Schutzebenen)LVL Limited Variability Language (Programmiersprachen mit eingeschränktem Sprachumfang)MDT Mean Down Time (Mittlere Ausfalldauer)MooN M out of N (M aus N; allgemeiner Fall)MTBF Mean Time Between Failures (mittlere Betriebsdauer zwischen Ausfällen)MTR Maximal tolerierbares RisikoMTTF Mean Time To Failure (Mittlere Zeit bis zum Ausfall)MTTR Mean Time To Repair (Mittlere Dauer bis zur Wiederherstellung)Nicht-SR Nicht sicherheitsrelevantO&M Operation and Maintenance (Betrieb und Instandhaltung)OPSI Office of Public Sector Information (Behörde für Informationen im öffentlichen Sektor in
Großbritannien)P&ID Piping and Instrumentation Diagram (Rohrleitungs- und Instrumentierungspläne)PA Per Annum (pro Jahr)
PROZESS-SAFEBOOK 1
Abkürzungen
179
PE Programmable Electronic (programmierbare Elektronik)PFD Probability of Failure on Demand (Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei
Anforderung)PFH Probability of Failure per Hour (Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro
Stunde)PSD Process Shutdown (Prozessabschaltung)PT Pressure Transmitter (Druckgeber)PTI Proof Test Interval (Intervall für die Wiederholungsprüfung)QMS Quality Management System (Qualitäts-Management-System)R2P2 Reducing Risk Protecting People (Risikominderung zum Schutz von Personen)RBD Reliability Block Diagram (Zuverlässigkeitsblockdiagramm)RRF Risk Reduction Factor (Risikominderungsfaktor)S SicherSA Safety Authority (Sicherheitsinstanz)SFF Safe Failure Fraction (Anteil sicherer Ausfälle)SIF Safety Instrumented Function (sicherheitstechnische Funktion)SIL Sicherheits-IntegritätslevelSIS Safety Instrumented System (sicherheitstechnisches System)SOV Solenoid Operated Valve (Magnetventil)SRS Safety Requirements Specification (Spezifikation der sicherheitstechnischen Anforderung)STR Spurious Trip Rate (Rate der Fehlauslösungen)TMR Triple Modular Redundant (Dreifach modular, redundant)Tp Proof Test Interval (Intervall für die Wiederholungsprüfung)Ungefährlicher Ausfall Dies ist ein Ausfallmodus, der nicht über das Potenzial verfügt, das sicherheitsrelevante System
in Gefahr zu bringen oder funktionsunfähig zu machen.λ Ausfallrate, Verhältnis der Gesamtzahl der Ausfälle, die während eines bestimmten Zeitraums
auftretenλD Rate gefährlicher AusfälleλDD Rate gefährlicher Ausfälle, die durch Diagnosen erkannt wurdenλDU Rate gefährlicher Ausfälle, die durch Diagnosen nicht erkannt wurdenλS Rate ungefährlicher Ausfälle
180
PROZESS-SAFEBOOK 1
Funktionale Sicherheit in der Prozessindustrie
PRO
ZESS
-SAF
EBO
OK
1
Funktionale Sicherheit in derProzessindustrieGrundsätze, Normen und Realisierung
Hauptverwaltung für Antriebs-, Steuerungs- und InformationslösungenAmerika: Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204 USA, Tel: +1 414 382 2000, Fax: +1 414 382 4444Europa/Naher Osten/Afrika: Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgien, Tel: +32 2 663 0600, Fax: +32 2 663 0640 Asien/Australien/Pazifikraum: Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, China, Tel: +852 2887 4788, Fax: +852 2508 1846
Deutschland: Rockwell Automation GmbH, Parsevalstraße 11, 40468 Düsseldorf, Tel: +49 (0)211 41553 0, Fax: +49 (0)211 41553 121Schweiz: Rockwell Automation AG, Industriestrasse 20, CH-5001 Aarau, Tel: +41(62) 889 77 77, Fax: +41(62) 889 77 11, Customer Service – Tel: 0848 000 277Österreich: Rockwell Automation, Kotzinastraße 9, A-4030 Linz, Tel: +43 (0)732 38 909 0, Fax: +43 (0)732 38 909 61
www.rockwel lautomation.com
Publikation: SAFEBK-RM003A-DE-P – März 2013 © 2013 Rockwell Automation, Inc. Alle Rechte vorbehalten. PRO
ZESS
-SA
FEBO
OK
1–
Funk
tiona
leSi
cher
heit
in d
er P
roze
ssin
dust
rie/G
rund
sätz
e, N
orm
en u
nd R
ealis
ieru
ng
Ebenfalls verfügbar:Safebook 4 – Sicherheitsbezogene Steuerungssystemefür Maschinen.In diesem praktischen Handbuch sind die Grundsätze derMaschinensicherheit, Gesetzgebung, Theorie und Praxisbeschrieben.Publikation Nummer: SAFEBK-RM002B
Ein Exemplar dieses Handbuchs erhalten Sie bei IhremRockwell Automation-Vertreter oder unterwww.rockwellautomation.com