Der Blick fürs Wesentliche - Funktionale Sicherheit von elektronischen Steuersystemen

25.11.2010

Bei komplexen Anlagen hängen sichere und wirtschaftliche Prozessabläufe wesentlich von der Umsetzung der elektronischen Steuersysteme (Prozessleittechnik) und ihrer Funktionssicherheit ab. Der Aufbau einer redundanten Systemarchitektur steht dabei oft im Gegensatz zu Forderungen nach einer höchstmöglich zertifizierten Zuverlässigkeit einzelner Komponenten. Der vorliegende Diskussionsbeitrag plädiert für einen redundanten Aufbau und einen ergänzenden qualitativen Ansatz bei der Risikobewertung, im Gegensatz zu rein quantitativen Verfahren.

Mit einer funktionssicheren und abgestimmten Leittechnik können bspw. chemische Anlagen nicht nur sicherer und effizienter ­gefahren werden. Zugleich sinken der Prüfaufwand und die Betriebskosten. Qualität und Verfügbarkeit der Anlagenprozesse steigen. Soweit die Theorie. In der Praxis scheitert dies oft, weil gesetzliche Vorgaben zur Funktionssicherheit von Komponenten nicht sinnvoll umgesetzt werden. Schon bei der Planung von Elektro-, Mess-, Steuer- und Regeltechnik (EMSR-Technik) gerät häufig das Gesamtsystem aus dem Blick. Primäres Ziel ist, die systemische Verknüpfung aller relevanten Prozessabläufe und -größen aus der Sicht von Maschinen-, Verfahrens- und Prozessleittechnik. Das erfordert einen ganzheitlichen, interdisziplinären Ansatz.

Leittechnik statt „Leid-Technik"
Leittechnik bündelt Signale der Mess-, Steuer- und Regeltechnik und dient dazu, ­optimale Anlagenprozesse sicherzustellen. Konkrete physikalische Zuständen und chemischen Reaktionen müssen genau gemessen, gesteuert und geregelt bzw. austariert werden. Anhand von Modellstudien simulieren fachübergreifend aufgestellte TÜV Süd-Experten diese Prozesse bereits im Vorfeld und zeigen so wichtige Einflussgrößen sowie Schwachstellen auf. Das macht Abläufe sichtbar, die zu Beeinträchtigungen und Schäden führen. Sie können letztlich durch eine angepasste Prozessleittechnik wieder in eine sichere Bahn „geleitet" werden. So verhindern die Ingenieure, dass Leittechnik in eine „Leid-Technik" mündet.
Zudem sollten leittechnische Funktionen dezentral und hierarchisch geordnet werden, damit Einzelfehler innerhalb der Leittechnik nur zu beschränkten Ausfällen ­führen können. Selbst im Fall einer leittechnischen Störung muss sich ein verfahrenstechnisch notwendiger und intakter Prozess sich weiter fahren lassen. Frühzeitig sind zudem die nötigen Anforderungen an die Systeme zu definieren (siehe Checkliste).

Systemarchitektur versus SIL-Zertifikate
Weil eine Vielzahl sicherheitsbezogener Systeme und Einrichtungen zu Risikoreduzierung von leittechnischen Systemen abhängen, müssen sie internationale Standards erfüllen. Mit den Normen EN 61508 und 61511 rückt dabei der Begriff der „SIL-Anforderungen" (SIL - Safety Integrity Level) in den Vordergrund.
Das SIL-Verfahren dient dazu, die potentiellen Risiken bei Personen, Systemen, Geräten und Prozessen im Fall einer Fehlfunktion zu managen. Sicherheitstechnische Systeme werden auf Basis der Normen spezifiziert, entworfen und betrieben. Insbesondere sicherheitsrelevante Komponenten müssen verschiedene Sicherheitsstufen erfüllen, die mit SIL 1 für geringes Risiko bis zu SIL 4 für sehr hohes Risiko unterschieden werden. Mit dem Risiko steigen die Anforderungen an die Zuverlässigkeit der Systeme und Komponenten für einen sicheren Anlagenbetrieb. Der SIL-Wert beschreibt die Ausfallwahrscheinlichkeit innerhalb des Produktlebenszyklus (hoher SIL-Wert - geringe Ausfallquote).

Diskussionsbedarf bei Komponenten
Abnehmer von Komponenten wie Regelarmaturen oder Magnetventilen verlangen zunehmend, dass diese nach bestimmten SIL-Stufen zertifiziert sind. Funktionale Sicherheit soll so vermeintlich über besonders funktionssichere Komponenten hergestellt werden - obwohl eine SIL-Zertifizierung von Komponenten noch keine Funktionale Sicherheit der gesamten Anlage bedeutet. Hier sollte nicht die quantitative Bauteilzertifizierung allein im Vordergrund stehen, sondern die qualitative Analyse und der Aufbau einer sinnvollen Systemarchitektur. Generell können funktionale Schutzsysteme auf zwei verschiedene Arten aufgebaut werden:
Für den Aufbau von Schutzsystemen werden z. B. zertifizierte Einzelgeräte verwendet, die entsprechende Schutzanforderungen erfüllen müssen.
Oder: Die Schutzsysteme werden aus nicht zertifizierten Geräten unterschiedlicher Hersteller redundant aufgebaut.
Unter sicherheitstechnischen und betriebswirtschaftlichen Gesichtspunkten einer hohen Anlagenverfügbarkeit ist eine isolierte und quantitative Bewertung einzelner Elemente nach den reinen „SIL-Einstufungen" praktisch nicht sinnvoll. Zur Risikoreduzierung sollten vielmehr, Bauteile qualitativ und im Systemzusammenhang bewertet werden. Redundanzen sind bereits in der Planung vorzusehen. Den Ausfall einzelner Elemente können andere dann kompensieren.
Worauf sich der Begriff „Funktionale Sicherheit" tatsächlich bezieht, bleibt nicht selten unscharf. Denn die Normen EN 61508 und 61511 haben ursprünglich die Anwendersicherheit des Gesamtsystems im Auge. Inwieweit der Nachweis der Funktionalen Sicherheit durch SIL-zertifizierte Komponenten in Einklang mit den Zielen der Normen steht, ist individuell zu prüfen. Einzelne Bauteile bilden im Sinne der vorgenannten Normen zudem noch kein System. Ist bei konsequenter Betrachtung ein SIL-Zertifikat für einfache Komponenten dann
überhaupt zu vergeben bzw. notwendig?

Schwächen der quantitativen ­Bewertung
Das Beispiel eines Schutzsystems (Abbildung 1) innerhalb einer Prozessanbindung zeigt die Schwächen der alleinigen Konzentration auf den SIL-Ansatz bei einzelnen Komponenten. Im vorliegenden Fall werden in der Regel nur die implementierten Schutzsysteme von Signalgeber, Schutzeinrichtung und Stellglied betrachtet - und zwar auf Grundlage einer quantitativen Bewertung. Dafür sind Ausgangsdaten zu Ausfallraten nötig. Doch wie zuverlässig sind diese Zahlen? In der Praxis liegen lediglich für die Steuereinheiten genügend gesicherte Daten vor. Bei Signalgebern (Sensoren) und Stellgliedern (Aktoren) hingegen nicht - obwohl deren Fehlerquoten in der Praxis die von Steuereinheiten weit übertreffen.
Auf Basis von Schätzungen werden für Signalgeber und Stellglieder daher Werte definiert und weiter verwendet. Nicht bewertet werden z. B. die Anbindung an die Prozessschnittstellen und mögliche Fehleranteile der Einzelgeräte innerhalb des Schutzsystems. Es empfiehlt sich, den Sachverhalt zusätzlich qualifiziert zu betrachten. Sicherheitsrelevante Komponenten werden dabei in ihrer gesamten Wirkungskette (Loop) betrachtet, einschließlich der Prozessanbindungen.
Quantitative Verfahren haben ihre Berechtigung, wenn ausreichende Daten zu Betriebsbewährung, Ausfallverhalten und Schadensausmaß vorliegen. Dies setzt realistische Beobachtungen der Produkte unter angemessenen Zeiträumen voraus (rund 5 - 10 Jahre). Aufgetretene Ausfälle und Gefährdungen müssen unter praxisnahen Einsatzbedingungen ermittelt worden sein. Eine rein quantitative Grenzwertdiskussion, die nur auf abgeschätzten Risiken basiert, sollte nicht allein als Basis für ein Sicherheits- und Schutzkonzept dienen.

Alternative Systemarchitektur
Abbildung 2 zeigt ein aus hoch-zertifizierten Komponenten aufgebautes Schutzsystem, welches SIL 3 erreicht. Dabei lässt sich eine SIL 3-Anforderung auch mit einem redundanten Aufbau über SIL 1-zertifizierte Geräte erreichen (Abbildung 3). Allerdings sollten die SIL 1-Geräte von verschiedenen Herstellern stammen, um mögliche produktionsbedingte Systemfehler (aufgrund von Unregelmäßigkeiten innerhalb einer Produktionslinie) im Vorfeld zu minimieren. Eine solche diversitäre Struktur erhöht meist auch die Verfügbarkeit der Anlagenprozesse. Zudem werden hoch-zertifizierte und damit vergleichsweise kostenintensive Komponenten eingespart.

„Weniger ist mehr"
Der globalisierte Wettbewerb verlangt zunehmend systemübergreifende und anlagenspezifische Optimierungen. Betriebskosten müssen gesenkt und zugleich die Qualität der Betriebsführung gesteigert werden. Prozessleittechnische Systeme sind dafür nicht unbedingt aus Geräten mit hoher SIL-Zertifizierung aufzubauen. In der praktischen Umsetzung leittechnischer Anforderungen ist hier weniger oft mehr. Der Erfolgsschlüssel ist eine redundante und diversitäre Systemarchitektur auf Basis einer qualitativ orientierten Risikoanalyse.

Checkliste für die Prozessleittechnik
Im Hinblick einer Umsetzung/Optimierung leittechnischer Systeme lauten die zentralen Fragen in der Praxis: Welchen Einfluss haben einzelne Maßnahmen auf die Lebensdauer der Gesamtanlage? Und wie lassen sich diese kostengünstig und zuverlässig umsetzen? Eine Checkliste umfasst die folgenden Punkte.

Einsatzmerkmale:
- Reicht der Mechanisierungsgrad der Systeme aus, um sie mit einfachen betriebssicheren Stellorganen zu beherrschen?
- Besteht zwischen Zustands- und Stellgröße eine eindeutig formulierbare Korrelation?
- Sind die Prozessparameter messtechnisch gut zu erfassen und mit vertretbarem Zeitaufwand zu übertragen?
- Arbeiten die Elementar- und Teilsysteme sowie die Systemkomplexe funktionssicher und wartungsarm?
- Verbessert eine Automatisierung die Funktionstüchtigkeit, Betriebssicherheit, Verfügbarkeit und steigert diese letztlich auch die Gesamtwirtschaftlichkeit?
- Steht der Aufwand für die Instrumentierung und Automatisierung in einem sinnvollen Verhältnis zur dafür nötigen Investition?
- Wird das Bedienpersonal spürbar entlastet und werden Aufwände reduziert?

Zieldefinitionen:
- Welche Lastbereiche (Schnellstart, Grundlast) sind zu regeln?
- Welcher Verfügbarkeitsgrad soll erreicht werden?
- Ist ein resourcenschonender Betrieb möglich und sind Umweltauswirkungen möglich?
- Wie hoch soll der Personalbedarf für den Anlagenbetrieb sein?
- Welche Qualifikationen benötigt das Personal?

Anforderungen:
- Hardware-Konzept: Welchen Einfluss haben die verwendeten Geräte auf die Komplexität und Dynamik der Prozesse? Wie müssen die Anzahl der Geräte, die Rechen- und Übertragungsgeschwindigkeiten sowie die Gerätestruktur (zentral/dezentral) konzipiert sein?
- Softwarelösungen: Ist die Beschreibung der Verfahrensprozesse vollständig und verständlich? Können auf dieser Basis Steuerungs- und Regelalgorithmen entwickelt werden?
- Betrieb und Instandhaltung: Welchen Einfluss haben die Hard- und Software-Lösungen auf die Lebenszykluskosten?
- Engineering: Welche Modifikationen und Erweiterungen sind möglich?

Autor(en):
Hans Christian Schröder, Leiter Kraftwerks- und Anlagenservice/Branchenmanager Kraftwerke bei TÜV SÜD Industrie Service.