So erzielen Anlagenbetreiber funktionale Sicherheit bei der Leittechnik

Auf Technik ist nicht immer Verlass – und in chemischen Anlagen können Fehler schwere Folgen nach sich ziehen. Sicherheitsbezogene Steuerungssysteme dürfen deshalb nicht von der Zuverlässigkeit der verwendeten Bauteile alleine abhängen, sondern die qualitative Analyse und der Aufbau einer sinnvollen Systemarchitektur sollten stets im Vordergrund stehen.

Die Sicherheit komplexer Anlagen ist eine komplexe Aufgabe. Um SIL-Anforderungen zu erfüllen, ist deshalb die ganzheitliche Betrachtung sicherheitsbezogener Systeme wichtig.

Regelwerk erfüllt, SIL-Anforderung gemäß Zertifikat erreicht, also alles bestens? Diese Fehleinschätzung kann bei chemischen Anlagen und deren Prozessleitsystemen, wo besonders hohe Sicherheitsstandards gelten, fatal sein. Denn hohe SIL-Zertifizierungen allein bringen noch keine Sicherheit, und oft steht eine höchstmöglich zertifizierte Zuverlässigkeit einzelner Komponenten im Gegensatz zu einem qualitativen Ansatz bei Risikobewertung und Engineering.

In der Praxis werden unter den Begriffen SIL-Anforderungen und funktionale Sicherheit häufig verschiedene Aspekte vermischt bzw. fehlerhaft interpretiert. Damit bleibt das tatsächliche Ziel, die Anwendersicherheit des Gesamtsystems, unscharf. Sie ist aber der Kern der internationalen Normen EN 61508 und EN 61511, die die gesetzlichen Anforderungen an sicherheitsbezogene Systeme regeln. Während die EN 61508 die Anforderungen von Herstellerseite beschreibt, geht die EN 61511 auf die Praxis ein und ist für Betreiber nicht zuletzt aus haftungsrechtlichen Aspekten besonders wichtig.

Der Betreiber eines Ammoniaklagers hatte für das verwendete Gaswarnsystem im Rahmen einer Gefahrenanalyse die Sicherheitsanforderung SIL2 ermittelt und setzte deshalb pro Ammoniak-Behälter einen selbstüberwachenden SIL2-Gassensor ein. Es zeigte sich jedoch, dass der SIL-Wert über die Einschränkung der Gebrauchsdauer erzielt wurde: Im SIL2-Zertifikat war sie auf zwei Jahre beschränkt. Der Betreiber der Anlage muss sie also alle zwei Jahre außer Betrieb setzen, um alle Gassensoren auszutauschen. Auf die Wirtschaftlichkeit drücken deshalb nicht nur die vergleichsweise kostenintensiven SIL2-Sensoren, sondern auch die Kosten der Betriebsunterbrechung. Die alternative Engineering-Lösung, die von TÜV Süd-Experten erarbeitet wurde, sah statt der SIL2-Sensoren drei nicht zertifizierte (betriebsbewährte) und kostengünstige Sensoren vor. Dank einer Architektur mit zwei aus drei Kanälen können nur zwei Kanäle in Einklang die Sicherheitsfunktion ausführen. Damit wurden die Anschaffungskosten verringert und das Wartungsintervall auf zehn Jahre verlängert.

Wie sich Ende März jedoch im Rahmen des 2. Mannheimer Anlagenforums „Funktionale Sicherheit: Anspruch und Wirklichkeit“ zeigte, wo unter dem Dach von TÜV Süd Industrie Service Experten aus Chemie, Energiewirtschaft und Wissenschaft Praxis-Fragen zur Planung und Umsetzung der EMSR-Technik diskutierten, herrscht derzeit noch vielfach Unsicherheit bei der SIL-Zertifizierung sicherheitsrelevanter Anlagenkomponenten: „Mit großem Erstaunen habe ich festgestellt, dass einige Teilnehmer von Seiten der Anlagenbauer mit dem Thema SIL gar nicht oder nur wenig vertraut waren“, sagt z.B. Bernd Obieglo, Leiter technische Revision bei DVV (Duisburger Versorgungs- und Verkehrsgesellschaft). Was enthält das Zertifikat? Und welchen Stellenwert hat es? Dies sind wichtige Fragen, die immer wieder auftauchen.

Das Funktionieren sicherheitsbezogener Systeme muss unter bestimmten Fehlerbedingungen mit einer bestimmten Wahrscheinlichkeit gewährleistet sein. Dafür sind verschiedene Sicherheitsstufen zu erfüllen, von SIL1 (geringes Risiko) bis SIL4 (sehr hohes Risiko). Mit dem Risiko steigen die Anforderungen an die Zuverlässigkeit der Systeme und Komponenten.

„Sichere Fehler“ und Toleranzen

Die Sicherheitsstufen hängen von der Safe Failure Fraction (SFF) und der Hardware Fault Tolerance (HFT) ab. Erstere setzt sich aus sicheren und als gefährlich erkannten Fehlern zusammen. Während sichere Fehler keine sicherheitskritischen Auswirkungen haben, weil die Anlage kontrolliert heruntergefahren wird, können allerdings als gefährlich erkannte Fehler sicherheitsrelevante Fehlfunktionen bedeuten. Zusammen errechnet sich daraus die Ausfallrate des Systems.

Bei der Unterscheidung von sicheren und gefährlichen Fehlern spielen auch Fehlerarten wie passive, aktive sowie systematische und zufällige Fehler eine Rolle: Aktive Fehler lösen eine Schutzfunktion aus und sind daher ungefährlich – im Gegensatz zu Passivfehlern. Jede Diagnose eines Systems zielt darauf ab, diese Fehler aufzudecken. Der Diagnoseaufdeckungsgrad (DC) muss daher so festgelegt sein, dass sich mögliche Passivfehler zu 100 Prozent entdecken lassen. Die Hardware Fault Tolerance bezieht sich auf die Verfügbarkeit bzw. die Fehlertoleranz eines Systems. Mit der Höhe des Werts (0, 1 und 2) steigen die Verfügbarkeit und die Dauer, wie lange das Systeme ohne Ausfall durchhält.

Ein SIL-Zertifikat für EMSR-Komponenten enthält von Herstellerseite notwendige sicherheitstechnische Kenn- und Basisdaten zur SFF und HFT. Sie betreffen:

  • sicherheitsgerichtete unentdeckte Ausfälle,
  • sicherheitsgerichtete entdeckte Ausfälle,
  • gefährliche entdeckte Ausfälle,
  • gefährliche unentdeckte Ausfälle.
Daraus kann der Anteil der SFF abgeleitet werden. Enthalten sind zudem:
  • die Wahrscheinlichkeit für das Versagen bei Anforderung pro Stunde (PFD/PFH),
  • die zulässige Betriebsart (Low Demand/High Demand des PFD),
  • die Hardwarefehlertoleranz (HFT),
  • die Art des Gerätetyps (A=einfaches Teilsystem,
    B=komplexes Teilsystem),
  • das zugrundeliegenden Prüfintervall für die angegebene SIL-Stufe (T1),
  • die nutzbare Lebensdauer (gewöhnlich acht bis 12 Jahre),
  • der Diagnoseaufdeckungsgrad (DC).
Um ein erforderliches SIL-Level zu erreichen
sind v.a. Angaben zum Redundanzgrad (HFT) zentral – und auch Eindeutigkeit, denn Formulierungen wie „geeignet bis SIL3“ öffnen Fehlinterpretationen Tür und Tor. In der Praxis wird immer wieder die Berechnung der SFF und der PFD diskutiert und damit die Zuverlässigkeit des SIL-Werts. Der Betreiber oder Prüfer der Anlage hat als Prüfungsgrundlage die HFT-Anforderungen der Norm EN 61511 zu berücksichtigen. Wenn Abweichungen nicht ausreichend begründet sind und Fahrlässigkeit bei der Berechnung unterstellt werden kann, hat dies im schlimmsten Fall rechtliche Folgen.

Sicherheitsbezogene Teile einer Steuerung (SRP/CS), die auf Basis vorgenommener Risikobewertungen erhöhte Anforderungen stellen, sollten daher nicht von der Zuverlässigkeit der verwendeten Bauteile alleine abhängen. Gerade in einem gesamtfunktionalen System sollte nicht die quantitative Bauteilzertifizierung allein im Vordergrund stehen, sondern die qualitative Analyse und der Aufbau einer sinnvollen Systemarchitektur. Generell können funktionale Schutzsysteme auf zwei verschiedene Arten aufgebaut werden: Entweder kommen z.B. zertifizierte Einzelgeräte zum Einsatz, die definierte Schutzanforderungen erfüllen müssen, oder Schutzsysteme werden mit nicht zertifizierten, diversitären Geräten redundant aufgebaut.

Zertifikate nicht überbewerten

Bei der Ausführung eines Prozessleitsystems sind in „zwei von drei“ Signalauswertungen keine zusätzlichen Anforderungen wie Zertifizierungen an die Einzelgeräte zu stellen. Auch nicht zertifizierte Geräte können dort eingesetzt werden. Eine diversitäre Auswahl von Geräten reduziert dabei die Ausfallwahrscheinlichkeit. Oft wird derzeit jedoch ein SIL-Zertifikat im Hinblick auf die funktionale Sicherheit eines Gesamtsystems überbewertet. Hinzu kommt eine Fixierung auf möglichst hohe SIL-Werte; auf Betreiberseite aus dem Glauben, sich durch hoch zertifizierte Komponenten absichern zu können, auf Herstellerseite, weil sich ein hoher SIL-Wert positiv auf die Vermarktung des Bauteils auswirken kann. Die Gebrauchsfähigkeit der Einzelgeräte innerhalb eines Regelungs- und Schutzsystems bleibt dabei im Hintergrund, obwohl sie entscheidend für eine sichere und wirtschaftliche Anlagenfahrweise ist.

Wer Risiken zuverlässig reduzieren will, muss dabei auch die Prozessan- und -einbindung einer Komponente mit unter die Lupe nehmen. Wird z.B. ein redundantes System mit nur einer Prozessanbindung betrieben, kann ein einzelner Fehler in der Prozessanbindung den Verlust des gesamten Systems bedeuten. Die EN 61511 gibt mögliche Spielräume eindeutig vor. Die HFT, die für Bauteile (den Loop) gilt, muss auch bei der Prozessein- und -anbindung beibehalten werden, sonst wird eine SIL-Betrachtung schon im Ansatz fehlerhaft. Spielräume eröffnen sich nur durch Fehlerausschlüsse, z.B. wenn bei Rohrleitungen nur Medien eingesetzt werden, die nicht zu Ablagerungen neigen und sich deshalb die Leitung nicht zusetzen kann.

Ein anderes Beispiel für diesen Ansatz gibt ein Schutzsystem innerhalb einer Prozessanbindung (Schaubild 1). Im vorliegenden Fall werden in der Regel nur die implementierten Schutzsysteme von Signalgeber, Schutzeinrichtung und Stellglied betrachtet – und zwar auf Grundlage einer quantitativen Bewertung. Dafür sind Ausgangsdaten zu Ausfallraten nötig. Doch wie zuverlässig sind diese Zahlen? In der Praxis liegen lediglich für die Steuereinheiten genügend gesicherte Daten vor. Bei Signalgebern (Sensoren) und Stellgliedern (Aktoren) hingegen nicht. Deshalb werden auf Basis von Schätzungen für Signalgeber und Stellglieder Werte definiert und weiter verwendet. Nicht bewertet werden z.B. die Anbindung an die Prozessschnittstellen und mögliche Fehleranteile der Einzelgeräte innerhalb des Schutzsystems. Es empfiehlt sich, den Sachverhalt zusätzlich qualifiziert zu betrachten, indem man sicherheitsrelevante Komponenten in ihrer gesamten Wirkungskette (Loop) beurteilt, einschließlich der Prozessanbindungen. Auch verlangen die Schutzanforderungen nach redundanten Strukturen innerhalb eines Loops.

Eine SIL3-Anforderung setzt kein Schutzsystem voraus, das aus hoch-zertifizierten Komponenten aufgebaut ist (Schaubild 2), sondern lässt sich auch mit einem redundanten Aufbau über SIL1-zertifizierte Geräte erreichen (Schaubild 3). Allerdings sollten diese von verschiedenen Herstellern stammen, um produktionsbedingte Fehlerwahrscheinlichkeiten zu minimieren (diversitäre Struktur). Eine solche Konfiguration erhöht meist auch die Verfügbarkeit der Anlagenprozesse. Zudem werden hoch-zertifizierte und damit vergleichsweise kostenintensive Komponenten eingespart.

Fazit

Zertifikate allein ersetzen also kein qualifiziertes Engineering. Die ganzheitliche Analyse aller Teilsysteme ist nicht nur zwingend, um kritische Wechselwirkungen zu vermeiden, sondern dient vielmehr der Sicherheit, Umweltverträglichkeit, Verfügbarkeit und Effizienz chemischer Anlagen. Und Obieglo bestätigt: „Genau damit bin ich als Revisor in der Lage, einen Anlagenmanager von Prüfungsergebnissen zu überzeugen.“