Störfälle schädigen sowohl die Anlage und damit die Lieferfähigkeit als auch das Image eines Unternehmens. Die Anlagensicherheit gehört deshalb neben Qualität und Wirtschaftlichkeit zu den wichtigsten Unternehmenszielen im Anlagenbetrieb der Prozessindustrie: Sie reduziert das Risiko für Mensch, Umwelt und Sachwerte.

Zur Steigerung der Wirtschaftlichkeit und Produktivität werden Anlagen der chemischen Industrie heute mit hohem Automatisierungsgrad quasi selbsttätig im Grenzbereich betrieben. Das damit steigende Risiko erfordert entsprechende Schutzfunktionen.

SIL-Schutzkreise

PLT-Schutzeinrichtungen überwachen sicherheitsrelevante Prozessgrößen und bringen beim Überschreiten eines Grenzwertes die Anlage in einen sicheren Zustand. Sie vermindern das Risiko durch die reduzierte Eintrittswahrscheinlichkeit eines Störfalles. Entscheidend dabei ist die Zuverlässigkeit des Schutzkreises und damit auch die der verwendeten Automatisierungskomponenten (Sensoren, Steuerung, Aktoren).

SIL (Safety Integrity Level) ist ein Maß zur Quantifizierung der Risikoreduzierung einer PLT-Schutzeinrichtung. Der Wert bezieht sich auf die risikoreduzierende Schutzfunktion. In der Normen IEC 61511 sind 4 SIL-Stufen (1-4)  festgelegt. Die für den Sicherheitskreis verwendeten Geräte müssen SIL-geeignet sein. Herstellerangaben zu SIL beziehen sich daher auf die Eignung der Geräte in Schutzfunktionen entsprechender SIL-Stufen (SIL2, 3). Schutzeinrichtungen müssen zuverlässig sein. Versagt der Schutzkreis, z.B. durch den Ausfall einer Komponente der PLT-Schutzeinrichtung, und bleibt dies unerkannt, steigt die Eintrittswahrscheinlichkeit einer Gefährdung und damit das Anlagenrisiko.

Ausfallarten und Versagensursachen

Nicht alle Geräteausfälle führen zu einem Versagen von Schutzeinrichtungen. Aktive Fehler lösen die Schutzfunktion aus, ohne dass die Überwachungsbedingungen erfüllt sind - und beeinträchtigen damit nur die Anlagenverfügbarkeit. Passive Fehler führen zu einem kritischen Betriebszustand. Diese gefährlichen, unerkannten Fehler blockieren die Schutzfunktion und verhindern das sichere Eingreifen im Störfall. Um diese Fehler aufzudecken, müssen Schutzkreise im Rahmen einer regelmäßigen Wiederholungsprüfung auf vorhandene passive Fehler kontrolliert werden. Bei der Auslegung einer PLT-Schutz-einrichtung sind bezüglich ihres Fehlerverhaltens in Abhängigkeit ihrer SIL-Einstufung Grenzwerte für die Wahrscheinlichkeit passiver Ausfälle einzuhalten und rechnerisch nachzuweisen. Dies setzt die Kenntnis belastbarer Ausfallraten für die eingesetzten PLT-Komponenten voraus.

Darum wird häufig im Rahmen der Planung eines PLT-Schutzkreises mit Hilfe der Ausfallraten (λDU) der gefährlichen, unerkannten Fehler aus den Herstellerangaben aller PLT-Komponenten eine Gesamtausfallrate berechnet und gegebenenfalls durch redundante Strukturen die Einhaltung des zulässigen Grenzwertes sichergestellt. Die Sammlung von Geräte-Zertifikaten erhöht die vermeintliche Sicherheit, alles richtig getan zu haben. War es das? Nein!

Vergessen wird dabei, dass diese Rechnung nur zufällige Ausfälle, z.B. den eines elektronischen Bauteils, berücksichtigt. Die Ausfallraten dieser zufälligen, passiven Bauteilefehler werden durch den Hersteller einer PLT-Komponente zu einer Gesamtausfallrate zusammengefasst und dem Planer einer Schutzeinrichtung zur Verfügung gestellt.

Studien z.B. der HSE (Health and Safety Executive, Großbritannien), aber auch Erfahrungen aus der Praxis belegen, dass in den häufigsten Fällen nicht der zufällige Ausfall die Ursache für das Versagen einer Schutzeinrichtung ist, sondern dieses auf systematische (passive) Fehler zurückzuführen ist. In über 2/3 der untersuchten Fälle waren die Fehler bereits in einem System vorhanden, bevor die Anlage in Betrieb ging und eindeutig auf die Ursache (z.B. menschliches Versagen bei Spezifikation, Planung, Installation und Inbetriebnahme) rückschließbar.

Vermeidung systematischer Fehler

Zufällige Fehler lassen sich prinzipiell nicht vermeiden. Zu den technischen Maßnahmen zur Fehlerbeherrschung  zählen redundante Strukturen oder Diagnoseeinrichtungen, die während des Betriebs automatisch ablaufen. Systematische Fehler lassen sich auf Grund ihrer eindeutigen Ursache prinzipiell, z. B. durch QS-Systeme, vermeiden. 

Endress+Hauser setzt zur Entwicklung und Fertigung messtechnischer Komponenten für PLT-Schutzeinrichtungen ein zertifiziertes Functional Safety Management-System (FSM) ein und einen Entwicklungs- und Änderungsprozess nach IEC61508. Dies vermeidet systematische Fehler und liefert zuverlässige Geräte mit hoher Qualität ab Produkteinführung. Die nach SIL3 entwickelte Gerätesoftware erlaubt sogar den Aufbau von Schutzeinrichtungen nach SIL3 auch in homogener Redundanz - das reduziert die Lagerhaltung. Zusätzliche Vorteile sind lange Prüffristen durch umfangreiche Gerätediagnosen sowie den Einsatz in SIL2-Schutzkreisen ohne umfangreiche Betriebserprobungen.

Der SIL-Bewertung durch den Gerätehersteller sind Grenzen gesetzt. Da die späteren Einsatzbedingungen stark variieren, kann der Hersteller z. B. die messtechnische Komponente lediglich vom Prozessanschluss bis zum „sicheren Ausgangssignal", in der Regel der 4-20mA Stromausgang, qualifizieren. Im sogenannten Safety-Manual sind alle wichtigen Informationen zur Auslegung, Errichtung und Betrieb wie sicherheitsrelevanten Parameter, die Einsatzgrenzen, die Durchführung der Wiederholungsprüfung, zusammengefasst.

Typische Fehlerquellen bei der Auswahl und Auslegung der messtechnischen Komponenten einer PLT-Schutzeinrichtung sind z. B. die Wahl eines ungeeigneten physikalischen Messprinzips (magnetisch-induktives Durchflussmessverfahren bei nichtleitenden Flüssigkeiten) oder die ungenügende Berücksichtigung von Prozess- und Umgebungsbedingungen. Während des Betriebes kann dies messstoffbedingt zu Korrosion, Abrasion oder Ansatzbildung führen mit der Folge eines passiven Fehlers in Form eines hohen Messfehlers oder im schlimmsten Fall mit dem Ausfall des Messsignals. Auch bei der Montage (z. B. ungeeigneter Einbauort), Verdrahtung oder der Konfiguration/Parametrierung des Messgerätes sind Fehlerquellen möglich. Ebenso während des Betriebes z. B. bei der Wartung oder Durchführung von Wiederholungsprüfungen.

Safety by Design

Endress+Hauser besitzt ein umfangreiches Portfolio mit über 100 SIL-bewerteten bzw. nach IEC 61508 entwickelten Gerätelinien mit unterschiedlichen physikalischen Messprinzipien für die Messgrößen Füllstand, Durchfluss, Temperatur, Druck oder pH. Der kostenlose Online-Applicator (www.de.endress.com/applicator) unterstützt zuverlässig die richtige Auswahl und Auslegung beim Engineering.

Effektive Planungswerkzeuge für die Auswahl und Auslegung des Messgerätes, aber auch innovative und übergreifende Gerätekonzepte zur Vermeidung systematischer Fehler sind  Garant für eine hohe Anlagensicherheit und Wirtschaftlichkeit.