Information zur Handhabung dieses PDF Liebe Leserin, lieber Leser, die gedruckte Version unseres Kundemagazins »ongoIng« wird in Anlehnung an die Ästhetik von Bauplänen in einem Überformat produziert. Da dies für den Ausdruck auf handelsüblichen Druckern nicht optimal geeignet ist, finden Sie in diesem PDF zwei verschiedene Versionen: Die folgenden zwei Seiten (Seite 2 und 3 des PDFs) enthalten die Original-Ansicht des Magazins im Großformat. Die nachfolgenden Seiten (ab Seite 4 des PDFs) enthalten die einzelnen Artikel des Magazins separat in einer für den A4-Druck optimierten Version. Viel Spaß beim Lesen! ongoIng Fon +49 2236 4907-0 Fax +49 2236 4907-199 [email protected]www.plant-Ing.de plantIng GmbH Industriestraße 161 50999 Köln PROJEKT GEZEICHN. GRÖSSE MASSSTAB AUFLAGE BLATT-NR. 1:1 970 x 594 mm 4.700 09 Zukunft und Entwicklung auf dem Plan. Die Kundenzeitung der plantIng GmbH LFD. NR. DATUM ERSTELLT 02.2014 26.11.2014 plantIng
Transcript
Information zur Handhabung dieses PDF
Liebe Leserin, lieber Leser,
die gedruckte Version unseres Kundemagazins »ongoIng« wird in Anlehnung an die Ästhetik von Bauplänen in einem Überformat produziert. Da dies für den Ausdruck auf handelsüblichen Druckern nicht optimal geeignet ist, finden Sie in diesem PDF zwei verschiedene Versionen:
Die folgenden zwei Seiten (Seite 2 und 3 des PDFs) enthalten die Original-Ansicht des Magazins im Großformat.
Die nachfolgenden Seiten (ab Seite 4 des PDFs) enthalten die einzelnen Artikel des Magazins separat in einer für den A4-Druck optimierten Version.
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
werden mit Rückhalteeinrichtungen aufgefangen und gefährliche Gase kondensiert
(Quench, Tauchung), in Fackeln verbrannt oder in Wäschern abgetrennt. Nur wenn am
Werkzaun die toxikologischen Beurteilungswerte unterschritten sind, ist die Ent-
lassung ins Freie zulässig. Die Bevölkerung toleriert störungsbedingte Freisetzungen
jedoch immer weniger. Grenzwerte werden zunehmend niedriger angesetzt.
Die Auslegung von Sicherheitseinrichtungen samt Rückhaltesystemen sollte von Fachleuten durchgeführt werden. Die Systeme sind heute sehr komplex.
In Zukunft werden Anlagen so abgesichert werden, dass selbst im Störungsfall keine
Gefahrstoffe mehr freigesetzt werden. Bereits heute sind Anlagen mit modellgestütz-
ten Methoden in sicherheitsgerichteten Steuerungen geschützt. Sicherheitsventile
und Berstscheiben gehören bei diesen Anlagen der Vergangenheit an. Sicherheits-
technik entwickelt sich zu einer interdisziplinären Fachrichtung. Die Absicherungs-
systeme werden komplexer. Es reicht nicht mehr, die Anlagen sicher zu gestalten
– mit modernen Absicherungsmethoden laufen sie auch wirtschaftlicher. Sicher-
heitssysteme werden stärker an die Prozesse adaptiert und sorgen künftig dafür,
dass gefährliche Zustände gar nicht erst auftreten.
Für die großen Herausforderungen in Prozess- und Anlagensicherheit werden gutgeschulte Akademiker erforderlich – die Industrie hat die Verpflichtung, diesen Nachwuchs aktiv zu fördern.
Die Herausforderungen der Zukunft sind intelligente Absicherungsmethoden, mit denen
sich zusätzlich die Wirtschaftlichkeit von Anlagen optimieren lässt. »Zero-Emission«
selbst bei Störungen in technischen Anlagen kann nur erreicht werden, wenn störungs-
bedingte Freisetzungen und Leckagen nicht auftreten oder so früh erkannt werden, dass
die Anlage rechtzeitig abgeschaltet werden kann. Dies geht nur mit hervorragend ausge-
bildeten Experten. Nachwuchs und Fachkompetenz sind unabdingbar. Nachwuchsför-
derung und Kompetenzsicherung müssen jetzt – und von allen – angegangen werden.
Abbildung 2:Sicherheitskonzept/ Schutzmaßnahmen
Nur mit einer guten Vorbereitung gelingt es, die Sicherheits-prüfung einer Anlage im Zeitplan zu absolvieren. Der Fokus der Arbeiten liegt auf Detailgenauigkeit und Dokumentation – wer hier an der Leistung spart, zahlt am Ende drauf.
Die gestiegenen Anforderungen an die Sicherheit
sehen vor, dass Anlagen in einigen kritischen
Bereichen von externen Prüfern validiert werden.
Hierzu zählen einschlägig bekannte Anbieter wie
der TÜV, der, etwa im Rahmen seiner Methodik
RoiM (Risk-oriented Inspection and Mainte-
nance = risikoorientierte Prüfung und Instand-
haltung), die Sicherheitskonzepte und -einrich-
tungen aufnimmt und ungeachtet der einzelnen
Anlage beurteilt, ob diese normkonform sind. Der
Betreiber muss Dokumente beistellen, den Ablauf
innerhalb des Stillstands koordinieren und die
Prüfer vor Ort durch die Anlage führen.
Der Aufwand für diese Tätigkeiten ist größer, als es auf
den ersten Blick erscheint. Daher sind viele Betreiber dazu
übergegangen, die notwendigen Ressourcen für die Aufgabe
extern zu beschaffen. Erfahrene Dienstleister kümmern sich um das
Onsite-Management des Anlagenstillstands und koordinieren die Aufga-
ben der Prüfer für den Kunden. Sie kennen die Anforderungen und erledigen die
vielen kleinen Aufgaben, die in der Summe kostbare Zeit benötigen. Ziel ist ein reibungs-
loser Ablauf, bei dem es keine Verzögerungen gibt und die Prüfung im vorher definierten
Zeitrahmen abläuft, um die Stillstandskosten so gering wie möglich zu halten.
Eine Projektlaufzeit von einem Jahr für die Vorbereitung der Prüfung ist keine Selten-
heit. Allerdings hängt viel davon ab, wie gut die Dokumentation im Betrieb ist. In einem
konkreten Projekt hat das für plantIng bedeutet, innerhalb von drei Monaten über 1.000
Isometrien vor Ort aufzunehmen und in einem CAD-Programm umzusetzen. Hinzu kamen
rund 250 Apparateskizzen. Auf der Prüfkreisisometrie hat dann der TÜV in Zusammen-
arbeit mit dem Betreiber die Prüfpunkte eingetragen und Prüfverfahren festgelegt.
Darüber hinaus werden Zusatzinformationen, beispielsweise ob für einen Prüfpunkt ein
Gerüst benötigt wird oder ob der Zugang anderweitig möglich ist, vermerkt.
In der Vorbereitung der Prüfung mussten circa 3.000 Prüfpunkte für Rohrleitungen
und ebenso viele Prüfpunkte für Apparate vor Ort in den Anlagen gekennzeichnet
werden. Anschließend wurden unterstützende Gewerke wie Gerüstbau, Isolierung
und Korrosionsschutz koordiniert. Zudem hat plantIng die Prüffirma eingewiesen,
betreut und sich mit ihr abgestimmt – hier wird unter anderem die Route geplant,
auf der die Prüfpunkte in der Anlage kontrolliert werden, damit ein möglichst effizi-
enter Ablauf sichergestellt ist. Den Abschluss bilden die Auswertung der Ergebnis-
se, bei der plantIng den Betreiber unterstützt hat, sowie Erstellung und Pflege der
erforderlichen Dokumentation.
Ventil, Leitung, ab ins Freie – das war vorgestern! So werden heute keine Anlagen mehr abgesichert. Prozess- und Anlagensicherheit haben sich in den letzten 100 Jahren
deutlich gewandelt. Alle Ereignisse, die vernünftigerweise nicht auszuschließen sind,
müssen betrachtet werden. Dabei wird ganz systematisch vorgegangen. Sicherheit
beginnt heute bereits bei der Wahl des Standorts für eine Anlage. Schon das Verfahren
und auch die Apparate werden einbezogen (Abbildung 1). Mit modernen Überwachungs-
einrichtungen und einem Prozessleitsystem kann die Anlage sicher betrieben werden.
Abweichungen führen zu Alarmen. Bei geschultem Personal und heutiger Prozess-
technik sollte nichts mehr passieren. Und dennoch: In der Sicherheitstechnik wird
unterstellt, dass diese Systeme komplett ausfallen. In der chemischen, der petroche-
mischen oder der pharmazeutischen Industrie werden Anlagen mit primären Schutz-
einrichtungen abgesichert. Dies können organisatorische oder prozessleittechnische
Schutzmaßnahmen sein, oder es werden mechanische Sicherheitseinrichtungen wie
Sicherheitsventile und Berstscheiben verwendet. Sind die Risiken bei einer Störung der
Anlage sehr groß, dann wird auf organisatorische Schutzmaßnahmen verzichtet.
Heutige Anlagen werden in mehreren Ebenen abgesichert. Anzahl und Qualität
(Wirksamkeit, Genauigkeit, Verfügbarkeit) von Schutzeinrichtungen sind an den Folgen
von möglichen Ereignissen zu bemessen. Selbst wenn einzelne Ereignisse bisher
noch nie eingetreten sind, müssen sie berücksichtigt werden. Und dennoch werden
zusätzlich sekundäre Schutzmaßnahmen eingesetzt, für den extrem seltenen Fall,
dass die primären Maßnahmen nicht wirksam sind. Damit werden die möglichen Aus-
wirkungen von Ereignissen begrenzt.
Nur wenn Störungen und daraus folgende Ereignisse sicher ausgeschlossen werden können, müssen sie bei einer Risikoanalyse nicht beachtet werden.
In Deutschland werden Anlagen deterministisch abgesichert: Mögliche Folgen von
Ereignissen müssen mit geeigneten Gegenmaßnahmen sicher ausgeschlossen werden
können. Dies ist in anderen Ländern anders: In den Niederlanden, in England oder auch
in der Schweiz werden probabilistische Methoden angewendet. Hier reicht es aus, eine
Dieser Plan darf ohne unsere Genehmigung kopiert und dritten Personen zugänglich gemacht werden.
REV. ÄNDERUNG DATUM NAME PRÜF.-DATUM
PROJEKT GEZEICHN.
GRÖSSE
MASSSTAB AUFLAGE
BLATT-NR.
1:1
970 x 594 mm
4.700 09
Zukunft und Entwicklung auf dem Plan.
Die Kundenzeitung der plantIng GmbH
LFD. NR. DATUM ERSTELLT
02.2014 26.11.2014
A-19
profilIng
Fachleute im Team EMSR & PLT – wir regeln Ihre Anforderungen.
plantIng
Viele Bestandsanlagen werden noch immer nach Sicherheits-gesichtspunkten bewertet, die längst veraltet sind. Betreiber unterschätzen die Risiken eines Störfalls – und auch die juris-tischen Folgen. Bei Erweiterungen oder Umbauten kommt man um den Stand der Technik ohnehin nicht mehr herum. Ziel muss es sein, die geforderten Maßnahmen der »funktionalen Sicher-heit« möglichst effizient umzusetzen.
Steigende Anforderungen an die Sicherheit, rechtliche Änderungen, ein größerer
Automatisierungsgrad, mehr Fehlerquellen: Das Risiko für Betreiber von Anlagen
der Prozessindustrie wächst, und mit ihm der Aufwand für Technik, Personal, Prü-
fung und Dokumentation der Anlagensicherheit. Dabei ist Sicherheit ein subjekti-
ves Gefühl, das maßgeblich von der Akzeptanz der Folgen bestimmt wird – im Falle
der Chemieindustrie betrifft dies sowohl die Mitarbeiter eines Anlagenbetreibers
als auch direkt und medial verbundene Gesellschaftskreise. Droht ein Überschrei-
ten der Akzeptanzschwelle, muss der Betreiber gegensteuern und die Schadens-
wahrscheinlichkeit sowie das potentielle Schadensausmaß reduzieren. Beides
zusammen bildet das Risiko.
Mit der generischen Norm IEC 61508 hat der Gesetzgeber Anfang des Jahrtausends
als späte Folge der Seveso-Katastrophe den Weg gezeigt, wie sich das Risiko
systematisch verringern lässt. Für die Prozessindustrie wurde die Norm IEC 61511
abgeleitet. Erstere Norm beschreibt die »funktionale Sicherheit sicherheitsbezogener
die Planung, die Errichtung und die Nutzung sicherheitstechnischer Systeme in der
Branche. Werkzeuge zur Risikosenkung sind betriebliche Maßnahmen, mechani-
sche oder hydraulische Einrichtungen sowie elektronische/elektrische Systeme
aus dem Bereich EMSR/PLT. Damit rückt der »Stand der Technik« zum Zeitpunkt der
Inbetriebnahme einer Anlage in den Fokus – der Betreiber darf gemäß Betriebs-
verfassungsgesetz keine unverhältnismäßigen oder unvertretbaren Gefahren für
Anwender und Umwelt zulassen. Speziell in Haftungsfragen ist der Stand der Tech-
nik eine relevante Größe, die ebenfalls in der Störfallverordnung (12. BImSchV) als
»allgemeine Betreiberpflicht« Niederschlag findet. In der Folge ist es kaum mehr
möglich, sich im Störfall einzig auf das Testat einer Prüffirma aus dem vergange-
nen Jahrhundert zu berufen oder auf den jahrelangen reibungslosen Betrieb einer
Anlage zu verweisen. Werden zudem Bestandsanlagen erweitert, erstrecken sich
die neuen Vorgaben auch auf den alten Teil.
Wie zuverlässig sind die sicherheitstechnischen Funktionen?Im Mittelpunkt der Normen steht die »funktionale Sicherheit«. Damit gemeint
sind alle Anforderungen an die Zuverlässigkeit sicherheitstechnischer Funkti-
onen, mit denen die geforderte Sicherheit erreicht oder aufrechterhalten wird.
Im Grunde geht es zum einen darum, gefährliche Ausfälle der Sicherheitssys-
teme durch zufälliges Versagen der beteiligten Bauteile zu beherrschen (feste
Prüfintervalle und Redundanzen). Zum anderen sollen systematische Fehler bei
Entwurf, Herstellung und Betrieb sicherheitstechnischer Funktionen vermieden
werden (Safety-Management-Prozess). Alle Funktionen der sicherheitsbezoge-
nen Systeme ergeben zusammen die funktionale Sicherheit des Gesamtsystems.
Dem Ansatz liegt die Einsicht zugrunde, dass kein Gerät in seinem Lebenszyklus
immer garantiert zu 100 Prozent funktionieren wird. Daher muss die Ausfallwahr-
scheinlichkeit von Sicherheitsfunktionen bestimmt werden, wenn sie gebraucht
werden, neudeutsch »PFD« genannt. Diese »Probability of Failure on Demand«
bezieht sich auf den Fall, dass eine sicherheitstechnische Funktion angefordert
(= Demand) wird. Dabei geht es um die Fehlervermeidung (systematische Fehler)
sowie die Fehlerbeherrschung (zufällige Fehler). Je nach Gefährdungsgrad einer
Funktion steigen die Vorgaben für die Maßnahmen zur Fehlervermeidung, Fehler-
beherrschung und Dokumentation. Um Mensch, Umwelt und Anlagen vor Schäden
zu schützen, muss der Betreiber alle Risiken seiner Anlage anhand einer Gefähr-
dungs- und Risikoanalyse ermitteln. Zumeist geschieht das mit der PAAG- bezie-
hungsweise HAZOP-Methode. Ziel ist, alle Gefahren, Prozessrisiken und Abläufe
zu ermitteln, die zu einem gefahrbringenden Ereignis führen können. Darüber
hinaus müssen Anforderungen zur Risikoreduzierung und an die sicherheitstech-
nischen Funktionen, mit denen das Risiko wie gefordert reduziert werden kann,
aufgestellt werden.
SIL ist eine Wahrscheinlichkeitsrechnung hinsichtlich der ZuverlässigkeitIn welchem Maß ein akzeptables Restrisiko erreicht wird, ist Gegenstand der SIL-Klassi-
fikation, die schon in der Norm VDE/VDI 2180 verwendet wurde und die alten Anforde-
rungsklassen (AK) abgelöst hat. Von diesen »Safety Integrity Levels«, den »Sicherheits-
Integritätslevels«, gibt es vier: SIL1 (niedrig – ein gefährlicher Ausfall in zehn Jahren) bis
SIL4 (hoch – ein gefährlicher Ausfall in 10.000 Jahren). Entsprechend der SIL-Anforderung
für eine Sicherheitsfunktion muss die Ausfallwahrscheinlichkeit (PFD) in einem bestimm-
ten Intervall liegen. Die SIL-Betrachtung ist im Grunde genommen eine Wahrscheinlich-
keitsrechnung – Wahrscheinlichkeiten werden addiert beziehungsweise multipliziert, um
der Sicherheitsfunktion einen Wert zu geben, um wie viel zuverlässiger sie geworden ist.
Bestimmt wird das SIL einer Sicherheitsfunktion in einer Risikomatrix, bestehend aus den
Schadensachsen »Ausmaß« und »Wahrscheinlichkeit«. In Kombination mit den Ergebnis-
sen des HAZOP-Gesprächs kann der Betreiber beziehungsweise sein Planer nun für jeden
Sicherheitskreis daran arbeiten, Maßnahmen und Redundanzen wie gefordert und so
günstig wie möglich aufzubauen. Laut der Norm dürfen die Planungen nur von Personen
ausgeführt werden, die vom TÜV Rheinland ein Zertifikat als anerkannter Functional
Safety Engineer erhalten haben. In der Regel werden keine exotischen Komponenten
verplant, sondern es wird versucht, die statistischen Anforderungen mit einfachen und
bewährten Geräten zu erfüllen. Allerdings steckt der Teufel vielfach im Detail: Die Norm
fordert eine ausreichende Diversität, was bedeutet, dass beispielsweise geprüft werden
muss, ob der Mikroprozessor des zweiten Gerätes nicht nur ein umgelabeltes Fabrikat
ist. Dann wäre in beiden Messumformern dieselbe Software, also auch derselbe syste-
matische Fehler, vorhanden, woran das System scheitern könnte. Es gilt daher folgende
Reihenfolge: Setze möglichst verschiedene physikalische Messprinzipien ein (komplette
Redundanz); wenn das gleiche Messprinzip verwendet werden soll, setze verschiedene
Fabrikate ein (Achtung, »Black Labels«). Soll jedoch, etwa aus Gründen der vereinfach-
ten Lagerhaltung, das gleiche Gerät eingesetzt werden, so könnte hier der gemein-
same Faktor (61508: Beta-Faktor) das geforderte SIL eventuell nicht erreichen.
Die Grauzonen in den Vorgaben und Normen sind gut ausgeleuchtetInsgesamt sind die Normen und Vorgaben zur funktionalen Sicherheit relativ
komplex, inhaltsreich – und durchgängig. Lücken gibt es keine mehr. Auch das ist
ein Schreckensszenario für Betreiber: Ihnen erscheint SIL als »Mausefalle«, die scharf
ist und automatisch zuschnappt, sobald ein Grenzwert überschritten ist. Damit, so die
Sorge der Betreiber, geben sie die Kontrolle über die Anlage aus der Hand. Dies ist in
der Tat aus Sicherheitserwägungen nicht ganz unbeabsichtigt. Zudem kommt es nicht
nur auf einzelne Sicherheitskreise, sondern auf das Gesamtsystem an: Der Betreiber
muss alle Fehlerquellen und Flaschenhälse beseitigen, um ein einheitliches SIL-Level
zu erreichen. Folglich müssen bei Umbauten oder Erweiterungen aktuelle Richtlinien
und Normen auf alte Anlagenteile angewendet werden, um die heute geforderte Kon-
formität zu erfüllen. Oft sind sich Kunden nicht darüber im Klaren, welche Prozeduren,
Folgen und Folgekosten der Schritt mit sich bringt. Wenn SIL umgesetzt wird, ist
der Betreiber gefordert, die Sicherheit regelmäßig zu prüfen. Der Ausbau der Sonde
einer Überfüllsicherung und ihre Prüfung sind für Betriebsprozesse extrem hinderlich.
Deshalb ist es für den Planer wichtig, dass er auch die kleinen Betriebsunterbrechun-
gen einkalkuliert beziehungsweise die Architektur der SIL-Funktion hinsichtlich
der Betreiber-Folgekosten optimiert. Alle Tätigkeiten – von der Risikoanalyse über
Spezifikation, Planung, Montage, Instandhaltung, Modifikation bis zur Außerbetrieb-
nahme – werden in einem Sicherheitslebenszyklus abgebildet. Damit soll gewährleis-
tet werden, dass die geforderte funktionale Sicherheit in jeder Betriebsart erfüllt und
frei von systematischen Fehlern ist. Zudem sollen Gefährdungen durch den Prozess
während Instandhaltungsmaßnahmen und nach der Außerbetriebnahme von PLT-
Schutzeinrichtungen unterbunden werden. Alle Schritte des Sicherheitslebenszyklus
und auch die Wiederholungsprüfung müssen dokumentiert werden.
Selbst zehn Jahre nach Einführung der Norm gibt es immer noch viele Bestandsan-
lagen, die ohne die heute notwendige Risikobetrachtung betrieben werden. Das ist
zum Teil verständlich – allerdings steigt der Druck auf die Betreiber, denn das Risiko
der Strategie nimmt von Jahr zu Jahr zu. Wenn heute nicht nach der Norm geplant
wird, kann man nur sehr schwer darlegen, warum das gewählte Vorgehen sicherer ist.
Zwar sind die neuen Normen nicht gesetzlich vorgeschrieben, aber sie haben einen
entscheidenden rechtlichen Vorteil: Wenn die Anlagen normkonform geplant werden
und dem Stand der Technik entsprechen (Vermutungswirkung), liegt bei Eintritt eines
Schadens die Beweislast bei der Staatsanwaltschaft.
Anlagensicherheit – Safety by Design.
A-1
Ingtroducing
Liebe Leserin, lieber Leser,
in der Chemieindustrie dreht sich alles um Time to Market und Kostenre-duzierung, schließlich muss der Betrieb im globalen Wettbewerb mithal-ten können. Dabei droht die Gefahr, ein anderes wichtiges Erfolgskrite-rium in der Prozessindustrie zu vernachlässigen: die Anlagensicherheit. Eine integrierte Sicherheitsplanung, die auch moderne PLT-Lösungen berücksichtigt, zahlt sich für Betreiber direkt und indirekt aus.
Viele Anlagen werden an der Grenze ihrer Leistungsfähigkeit betrieben,
der permanente Termin- und Kostendruck zwingt die Betreiber dazu. Sie
richten sich nach dem »magischen Dreieck« aus Kosten, Zeit und Qualität.
In dieser Gemengelage fällt es oft schwer, den Aspekt der Sicherheit
angemessen zu berücksichtigen. Dabei ist gerade die Sensibilität für das
Thema ein entscheidender Punkt – aus dem Dreieck müsste ein »magi-
sches Viereck« werden, in dem die Sicherheit ihren Stellenwert einnimmt.
Trotz hoher Sicherheitsstandards hierzulande passieren immer wieder
Unfälle, die als vermeidbar gelten. Sie fallen auf einen Resonanzboden,
der den Ton verstärkt und weiterträgt: Die Gesellschaft ist weitaus sensi-
bilisierter als noch vor 30 Jahren, und die Toleranz gegenüber vermeidba-
ren Unfällen sinkt zunehmend. Brennt irgendwo ein Tank, sind die ersten
Fotos der Rauchwolke innerhalb von Sekunden in sozialen Netzen, wo
sie von den klassischen Medien aufgegriffen werden. Teilanlagen werden
abgestellt, die Staatsanwaltschaft untersucht, das Image der Marke ist in
jedem Fall beschädigt.
Unternehmen können die Rahmenbedingungen nicht ändern. Aber sie
können jedes neue Projekt – ob Neuinvestition, Reparaturinvestition oder
Ersatzinvestition – nutzen, um die Sicherheit ihrer Anlage zu verbes-
sern. Sie sollte integraler Bestandteil jedes Planungsschritts sein und
muss nicht zwangsläufig die Kosten in die Höhe treiben, wie auch unser
Gastbeitrag von Prof. Dr.-Ing. Jürgen Schmidt zeigt. Zukunftsorientierte
Schutzeinrichtungen der PLT steigern die Sicherheit und können sich
darüber hinaus finanziell auszahlen.
Die Sicherheitslandkarte einer Anlage ist ein buntes Bild, das von der
»funktionalen Sicherheit« mit den Schlagworten HAZOP/PAAG und SIL
sowie von PLT-Einrichtungen geprägt wird. Allein kann aber auch die
Elektronik nichts ausrichten. Gefragt ist eine integrierte Sicherheits-
strategie über alle Gewerke und Kompetenzfelder hinweg – ange-
fangen beim Ex-Schutz über Maschinenrichtlinie und Seveso III
(Störfall-Verordnung) bis zur Gefahrstoffverordnung. Die
nahtlose Zusammenarbeit der Fachbereiche bereits in
der Planungsphase ist in der Zukunft mehr denn je ein
Erfolgsrezept, denn es eröffnen sich neue Möglichkei-
ten, um Sicherheit auch wirtschaftlich abzubilden.
Die Chancen lassen sich allerdings nur nutzen,
wenn beispielsweise Prozessleittechniker das
Verfahren verstehen und entsprechend Verfah-
renstechniker die Möglichkeiten der PLT auf-
greifen können. Der Betreiber schließlich muss
die integrierte sicherheitstechnische Planung
ermöglichen. Auch wenn der Kostendruck steigt
und die Profitmarge dünner wird, sollte sich jeder
nur die bekannte Redensart vor Augen führen:
»If you think safety is expensive, try having an
accident – wenn Sie denken, Sicherheit sei teuer,
versuchen Sie es mit einem Unfall.«
Dieter HofmannGeschäftsführer plantIng GmbH
EMSR-Technik und Prozessleittechnik bilden die Nerven-bahnen sowie das Gehirn moderner Chemieanlagen. Mit unserem Fachteam EMSR & PLT sorgen wir dafür, dass die Produktion im Regelbetrieb läuft und das Risiko für Störungen gering bleibt.
Das Fachteam EMSR & PLT ist eine zentrale Einheit von
plantIng, die Kunden in den Bereichen Elektro- und
Mess- & Regeltechnik sowie in der Softwareplanung und
der Softwareerstellung unterstützt. Unsere 20 festen
Mitarbeiter zeichnen sich durch umfassende technische
und organisatorische Kompetenz aus, unter anderem in
den Bereichen SIL und Ex, Analyse und Planung, Erstellung
und Dokumentation von Software, Blitzschutz und
Elektro sowie Inbetriebnahme und Prozessleittechnik.
Hinzu kommen noch einige freie Mitarbeiter für Sonder-
aufgaben und Lastspitzen. Neben ihren individuellen
Spezialgebieten verfügen alle Teammitglieder über die
grundlegenden Kenntnisse im Fachbereich EMSR & PLT.
Dadurch können wir unsere Kunden auch bei komplexen
Anfragen umfassend und erfolgreich unterstützen.
Referenzen in:Chemie, Petrochemie, Energieerzeugung und
pharmazeutischer Industrie
Qualifikationen: 50 Prozent Ingenieure, 50 Prozent Techniker
Branchenerfahrung: 30 Jahre EMSR, 20 Jahre PLT
PerspektiveDurch die Integration des Fachbereichs EMSR & PLT ist es
plantIng gelungen, das Portfolio zu erweitern und sich zu
einer Instanz im Markt der Generalplaner zu entwickeln.
Die Abteilung wurde vor rund drei Jahren gegründet und
verzeichnet seither ein stetiges Wachstum. Erreicht
werden konnte dies durch die Kompetenz und das lang-
jährige Know-how der Mitarbeiter. In einer weiteren Aus-
baustufe vertiefen wir einerseits die Kernkompetenzen,
andererseits ergänzen wir das Leistungsangebot durch
neue Fachgruppen. Darüber hinaus werden wir unsere
Kundensegmente ausbauen.
Die Drei-Phasen-Strategie
KonzeptIn der Konzept-Phase erarbeiten wir die Grundlagen für
eine kundenspezifische Lösung im Bereich EMSR und
legen fest, welche Regelkonzepte und leittechnischen
Systeme zum Tragen kommen. Ziel ist es, die Anforderun-
gen der jeweiligen Umgebung möglichst passgenau und
effizient zu erfüllen. Dabei geht es auch um Normen und
Richtlinien, die beachtet werden müssen, sowie um die
Bereitstellung und die Verteilung von Energien.
Basic EngineeringIn der Phase des Basic Engineerings fächern sich unsere
Kompetenzen auf folgende Bereiche auf:
• Risikoanalysen
• Automatisierung
• Erarbeitung von Art und Funktion der EMSR-Stellen
• Auslegung und Auswahl von Sensorik und Aktorik
• Berücksichtigung aller gesetzlichen Anforderungen
• Erstellung von Ausschreibungsunterlagen und
Leistungsverzeichnissen
• Kostenschätzungen
• MSR-Infrastruktur-Planung
• Erstellung Lastenheft/Pflichtenheft
• Festlegung der verfahrenstechnischen Aufgaben
und der optimalen Steuerungssysteme
• Budget- und Terminplanung
Detail-EngineeringDie Phase des Detail-Engineerings umfasst die folgenden
Aspekte:
• Beschaffungs-Management
• Anlagendokumentation. Hierbei werden neben EPLAN,
PlanEDS oder ProDOK auch betriebliche Engineering-
Tools genutzt
• Planung und Erstellung sicherheitstechnischer Unterlagen
montagefertigen Spezifikation aller notwendigen Aus-
rüstungen und Gewerke. Mit Hilfe dieser Unterlagen
können alle Komponenten angefragt, bestellt, versandt,
montiert und in Betrieb genommen werden.
plantIng zeigt Format:
A-16
datIng
Hier könnten wir uns treffen.
Kooperation mit Rösberg Engineering plantIng hat einen Kooperationsvertrag mit der Firma Rösberg Engineering geschlossen. Ziel ist es, Kunden eine gewerkeübergreifende und alle Projektphasen abdeckende Gesamtplanung aus einer Hand zu bieten. Dabei werden Synergien in der Prozessautomatisierung und dem verfah-renstechnischen Anlagenbau genutzt. Rösberg bietet maßgeschneiderte Automatisierungslösungen an. Neben dem kompletten E&I-Engineering liegen die Kompetenzen des Unternehmens in der Systemintegration und der vertikalen Integration sowie in der funktionalen Sicherheit. Der Einsatz des führenden PLT-CAE-Systems ProDOK, welches von Rösberg entwickelt wurde, rundet das Portfolio ab.
Mit einem Vortrag zum Thema Anlagensicherheit von Prof. Dr.-Ing. Jürgen
Schmidt wurde am 18. September die Reihe der plantIng-Kundenver-
anstaltungen in Köln fortgesetzt. Mehr als 40 geladene Gäste aus der
Prozessindustrie folgten den Ausführungen des Experten vom KIT
zu modernen Absicherungskonzepten. Anschließend gab es für die
Teilnehmer die Gelegenheit, mit Kollegen aus der Branche über den
Stellenwert der Sicherheit zu diskutieren und Methoden zu vertiefen,
um Risiken auf ein akzeptiertes und gefordertes Maß zu senken.
Moderne Absicherungskonzepte
Kunden-Event von plantIng:
profilIng Eine gute Vorbereitung ist die Basis für die erfolgrei-
che Sicherheitsprüfung einer Anlage. Nur mit Detail-
genauigkeit und Dokumentation lassen sich Zeitpläne
und Vorgaben effizient einhalten. >>>>> G-3
referencIng Berstscheiben und Ventile allein reichen nicht mehr
aus, Sicherheit hat sich zu einer komplexen und inter-
disziplinären Fachrichtung entwickelt. Prof. Dr. Jürgen
Schmidt verdeutlicht in seinem Gastbeitrag, worauf es
heute bei der Anlagensicherheit ankommt. >>>>> K-1
profilIng Immer im Kampf für den Regelbetrieb – das plantIng-
Team EMSR + PLT stellt sich vor. >>>>> A-19
IngtroducingEine integrierte Sicherheitsplanung ist aufwen-
dig, aber sie zahlt sich für Anlagenbetreiber aus.
Schließlich sind vermeidbare Störfälle wesentlich
teurer: Aus der Hoffnung, dass nichts passiert, kann
sich schnell eine Haftung entwickeln. >>>>> A-1
presentIng Bei der funktionalen Sicherheit einer Anlage steht
der Stand der Technik im Mittelpunkt. Ziel muss es
sein, die geforderten Maßnahmen so wirtschaftlich
wie möglich umzusetzen. >>>>> B-8
datIng plantIng persönlich: Branchentermine und Rekru-
tierungstage. >>>>> A-16
»Es ist noch immer gutgegangen« – beim Umgang mit der Anlagensicherheit ist das keine
sinnvolle Strategie, schon gar nicht seit der Norm IEC 61511. Betreiber sind in der Pflicht,
funktionale und wirtschaftliche Lösungen zu entwickeln.
Anlagensicherheit – planen ist besser als haften.
Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT), Karlsruhe
Abbildung 1:Independent Layer of Protection
K-1 Moderne Absicherungsmethoden.
referencIng
STANDORTWAHLAPPARATE-/VERFAHRENS-AUSLEGUNG CHEMIE
12
34
56
MASSNAHMEN1 Betrieb 2 Überwachung3 Schutz
MECHANISCHE SCHUTZEINRICHTUNG (End of Pipe)
RÜCKHALTEEINRICHTUNG
Abscheider
Quench/ Tauchung
Auffang-behälter
Rezept
Gastbeitrag von Prof. Dr. Jürgen Schmidt, Karlsruher Institut für Technologie (KIT)
