|
|
|
|
|
|
|
Wesentliche Merkmale von Schutzsystemen
im Sinne der SIL-Norm EN 61508 sind die
mittlere Ausfallwahrscheinlichkeit innerhalb
eines vorgegebenen Prüfintervalls und der
Anteil der nicht-erkennbaren gefährlichen
Fehler. Um Gaswarnanlagen so zu konzipieren,
dass sie z. B. nach SIL 2 eingestuft
werden können, muss der Anlagenplaner
bei der Auswahl der Teilsysteme neben den
messtechnischen Vorschriften insbesondere
auch gewisse numerische Grenzen dieser
Zuverlässigkeitsparameter berücksichtigen.
Werden brennbare Gase oder Flüssigkeiten
gelagert, abgefüllt, verarbeitet oder transportiert,
muss stets davon ausgegangen
werden, dass sich solche Substanzen bei
Prozessfehlern entzünden und auf diese
Weise erhebliche Anlagen- und Personenschäden
verursachen. Freisetzungen von
unter Druck stehenden oder tiefkalt verflüssigten
Gasen, Leckagen an Rohrleitungssysstemen,
das Austreten brennbarer Flüssigkeitsdämpfe
durch schadhafte Ventile
oder schlecht dichtende Verschlüsse können
folgenschwere Explosionen und schwer
beherrschbare Großbrände nach sich ziehen,
wenn sie unerkannt bleiben. In diesem
Sinne sind Gaswarnanlagen Frühwarnsysteme,
die diese gefahrvollen Zustände so
rechtzeitig detektieren, dass noch Gegenmaßnahmen
eingeleitet werden können und
ein Anlagenschaden gänzlich abgewendet,
zumindest aber gering gehalten werden
kann.
Messtechnische Normen
Solche Gaswarnanlagen unterliegen nicht
nur deshalb der Richtlinie 94/9/EG (ATEX
95), weil sie selbstverständlich explosionsgeschützt
ausgeführt sein müssen, sondern
insbesondere auch deshalb, weil sie in der
Lage sind, explosionsfähige Atmosphären
frühzeitig zu detektieren und deren Entstehung
durch eingeleitete Gegenmaßnahmen
sogar verhindern können. Die Gaswarnanlage
ist demnach Bestandteil einer Sicherheitskette
und muss für solche Sicherheitsanwendungen
zusätzlich auch als Baumuster
durch eine benannte Stelle auf Eignung
geprüft worden sein (Richtlinie 94/9/EG,
Anh. II, Pkt.1.5.5 „Messfunktion für den
Explosionsschutz“). Die dieser Prüfung zugrunde
liegenden Normen EN 50054 ff
sind unter der Richtlinie 94/9/EG harmonisiert,
wurden aber im vergangenen Jahr
durch die Normenreihe 61779-1 bis -5
ersetzt.
Basierend auf der ebenfalls harmonisierten
Norm EN 1127-1 sind derart geprüfte Gaswarnanlagen
aktive Betriebsmittel zur Konzentrationsbegrenzung
(Abs. 6.2.2.2), einer
grundlegenden Explosionsschutzmaßnahme
von so hohem Rang, dass sich der vor
Jahrzehnten etablierte Begriff „primärer Explosionsschutz“
hartnäckig erhalten hat.
Weniger bekannt ist, dass der Einsatz eignungsgeprüfter
Gaswarnanlagen die Größe
der explosionsgefährdeten Bereiche
(„Ex-Zonen“) erheblich reduzieren kann
und damit nicht nur betriebliche Vereinfachungen, Vereinfachungen,
sondern letztendlich auch Einsparungen
ermöglicht.
Gleichermaßen fallen auch Sauerstoff messende
Gaswarngeräte dann unter die Richtlinie,
wenn sie die Sauerstoffbegrenzung in
Inertisierungsprozessen überwachen. Die
diesbezügliche harmonisierte messtechnische
Prüfnorm ist die EN 50104.
Die messtechnischen Normen werden –
sofern die Gaswarngeräte digitale Elektronik
enthalten – ergänzt durch die EN 50271.
Die Prüfung nach dieser Norm bewertet
insbesondere auch die Software-Struktur
und -Stabilität, mögliche Sonderzustände,
interne Diagnoseeinrichtungen sowie
selbstverständlich die Hardware, das Zusammenspiel
einzelner elektronischer Bauteile
und die Zuverlässigkeit des Funktionskonzeptes.
Beim Entwurf der EN 50271 stand die
funktionale Sicherheit im Vordergrund, und
es verwundert nicht, dass in dieser Norm
bereits Teilanforderungen der „SIL-Norm“
EN 61508 umgesetzt worden sind.
Safety Integrity Level
Hier soll ein weiterer Teilaspekt der EN
61508 betrachtet werden, der es dem Anlagenplaner
unter gewissen Voraussetzungen
ermöglicht, die Zuverlässigkeit einer sicherheitsgerichteten
Anlage durch rechnerische
Bewertung nachzuweisen. Im Sinne der
EN 61508 muss ein Schutzsystem, das zur
Vermeidung von Personen- und Umweltschäden
sowie Schäden an Sachwerten eingesetzt wird, je nach zu erwartendem
Schadensausmaß gewisse Zuverlässigkeitsanforderungen
erfüllen, die über den sog.
Safety Integrity Level (SIL) definiert sind.
Der Begriff der Zuverlässigkeit stützt sich
auf Wahrscheinlichkeitsaussagen der Form
„Wie groß ist die Wahrscheinlichkeit eines
Schutzsystems dafür, dass es gerade dann
versagt, wenn es seine Sicherheitsfunktion
ausführen soll?“
Gefährliche Fehler
Sicherheitsgerichtete Anlagen müssen
demnach so beschaffen sein, dass Fehler,
die die funktionale Sicherheit beeinträchtigen
können, durch entsprechende Selbstdiagnose-
Einrichtungen und Testroutinen
erkannt, abgefangen und gemeldet werden
und die Anlage in den sicheren Zustand
überführen. Solche so genannten erkennbaren
gefährlichen Fehler müssen unverzüglich
behoben werden. Das ist auch im
Interesse des Betreibers, denn eine Anlage im sicheren Zustand ist zwar sicher – aber eben nicht grundsätzlich auch betriebsbereit.
Doch auch Diagnose-Einrichtungen haben
ihre Grenzen. Zu einem gewissen Prozentsatz
gibt es stets auch nicht-erkennbare
gefährliche Fehler, das sind solche Fehler,
die unentdeckt bleiben und ein Versagen
der Sicherheitsfunktion (SIF, Safety Integrity
Function) nach sich ziehen. Die einzige
Möglichkeit, solche Fehler aufzudecken,
ist eine routinemäßige Anlagenprüfung.
Das ist der Grund, warum der Zeitraum
zwischen zwei solcher Prüfungen, das Prüfintervall
TP, eine so bedeutende Rolle bei
der Sicherheitsbetrachtung spielt.
Der Anteil der sicheren Fehler (das sind
Fehler, die zwar die Sicherheitsfunktion beeinträchtigen
aber erkennbar sind, ergänzt
durch die Fehler, die keinen Einfluss auf
die Sicherheitsfunktion haben) im Verhältnis
zu allen möglichen Fehlern wird als Safe Failure Fraction (SFF) bezeichnet.
Der SFF muss für SIL-2-Anlagen mehr als
90 Prozent betragen – d.h. der Anteil der
nicht-erkennbaren gefährlichen Fehler darf
10 Prozent nicht überschreiten.
Das allein ist aber noch nicht ausreichend.
Wenn es denn solche nicht-erkennbaren
gefährlichen Fehler gibt, muss man ja auch
die Wahrscheinlichkeit ihres Auftretens
innerhalb des Prüfintervalls TP bewerten,
d.h. eine Aussage darüber treffen, wie
wahrscheinlich ein Versagen des Schutzsystems
im Falle einer Anforderung der
Sicherheitsfunktion ist.
Versagenswahrscheinlichkeit
Die statistische Rechengröße, die den
nicht-erkennbaren gefährlichen Fehler und
das Prüfintervall beinhaltet, wird als mittlere
Versagenswahrscheinlichkeit PFDAVG (Probability
of Failure on Demand) angeben
und darf je nach gefordertem SIL gewisse
Grenzen nicht überschreiten. Für Anlagen
nach SIL 2 muss beispielsweise sichergestellt
sein, dass die PFDAVG weniger als
0.01 beträgt, d.h. erst bei mehr 100 Anforderungen
der Sicherheitsfunktion darf das
Schutzsystem nur einmal versagen.
Doch bezieht sich die funktionale Sicherheit
und damit die mittlere Versagenswahrscheinlichkeit
PFDAVG auf die gesamte Anlage,
die sich in die folgenden Teilsysteme
aufgliedern lässt: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Messgrößenaufnehmer (SE, Sensor, Versagenswahrscheinlichkeit
PFDSE),
- zentrale Auswerte-Elektronik (LS, Logic
Solver, Versagenswahrscheinlichkeit
PFDLS) und
- Aktuatoren (FE, Final Elements, Versagenswahrscheinlichkeit
PFDFE).
Für die gesamte Anlage ergibt sich die Versagenswahrscheinlichkeit
durch Addition:
PFDAVG = PFDSE + PFDLS + PFDFE
Für die Ermittlung der PFDSE z.B. eines
Messgrößenaufnehmers ist eine sehr umfangreiche
Bewertung aller nur denkbaren
Fehler und deren Auswirkungen bis in
die Bauteilebene hinunter erforderlich
(FMEDA, Failure modes, effects and diagnostic
analysis), die ohne die Mithilfe
hierauf spezialisierter Experten kaum
durchführbar ist. Das Ergebnis der FMEDA
ist eine Auflistung unterschiedlicher Fehlertypen
mit den ermittelten Fehlerraten
λ (in h-1), aus der sich insbesondere auch
die Fehlerrate λDU des nicht-erkennbaren
gefährlichen Fehlers ergibt (DU steht für
dangerous undetected). Ein solcher Fehler
würde beispielsweise vorliegen, wenn ein
4-20-mA-Transmitter zur Gasdetektion aufgrund
eines internen Fehlers trotz gefährlich
hoher Gaskonzentration ein Messsignal von 4 mA („kein Gas“) ausgibt. Tritt ein
solcher seltener Fehlerzustand ein, so
bleibt er bis zur nächsten periodisch durchzuführenden
Prüfung (Prüfintervall TP) unerkannt,
um dann natürlich sofort erkannt
und innerhalb kurzer Zeit (MTTR, Mean
time to restore) behoben zu werden. Im
statistischen Mittel bleibt dieser Fehler für
die Hälfte des Prüfintervalls TP unerkannt.
Und für den gleichen Zeitraum, vermehrt
um die Reparaturzeit, kann die Anlage ihre
Sicherheitsfunktion nicht ausführen. Demnach
ist in einem solchen Fall die mittlere
Versagenswahrscheinlichkeit
PFDAVG= 1/2*λDU*(TP+MTTR)= 1/2*λDU*TP
Die Näherung ist zulässig, da üblicherweise
die Reparaturzeit nur wenige Stunden beträgt
während das Prüfintervall im Bereich
mehrerer Monate liegt.
Auch der durch Diagnose-Einrichtungen
erkannte gefährliche Fehler (Fehlerrate
λDD, DD steht für dangerous detected) hat
natürlich einen - wenn auch geringen –
Einfluss auf die PFD, da die Sicherheitsfunktion
ja auch während der Reparaturzeit
MTTR nicht gegeben ist. Die MTTR wird
rechnerisch meist mit 8 Stunden bewertet,
Voraussetzung hierfür ist natürlich eine entsprechend
ausgelegte Ersatzteilbevorratung
und ein unverzüglich eingeleiteter Reparatur-
Service. Hierfür, wie auch für die Einhaltung
der geforderten Prüfintervalle TP, ist
der Sicherheitsingenieur zuständig.
Wenn man Anlagenteile redundant auslegt
oder einer Mehrheitsentscheidung (sog.
voting, z.B. 2-aus-3-Entscheidung) unterwirft,
so ergeben sich von der obigen
Formel abweichende Rechenregeln, z.B.
ergibt sich bei zweifacher Redundanz eine
Versagenswahrscheinlichkeit von
PFDAVG = 1/3 *(λDU *TP)2
Die sich ergebenden Zahlenwerte sind zwar
sehr klein (mit den obigen Vorgaben erhält
man PFDAVG = 2.6 •10-5), doch müssen
realistischerweise auch Fehler betrachtet
werden, die auf beide Teilsysteme gleichzeitig
einwirken und so die Redundanz
wieder aufheben, die sog. common cause
failures. Deren Anteil wird durch einen
λ-Faktor angegeben, der meist zu 0.05
oder 0.1 angenommen wird.
PFDAVG = 1/3 *(λDU *TP)2 + β*λDU *TP
In der Praxis ist selbst bei kleinem β-Faktor
der zweite Term meist der Größere.
Anlagenplanung
Die PFDAVG der gesamten Anlage ist also
bestimmt durch
- die Fehlerrate des nicht erkennbaren
gefährlichen Fehlers λDU
- die Wahl der Prüfintervalle TP
- die Architektur (linear, redundant,
Mehrheitsentscheidungen).
Die Fehlerrate λDU ist beim Teilsystem
durch eine FMEDA ermittelt, meist durch
unabhängige Prüfinstitute zertifiziert und
durch Qualitätssicherungsmaßnahmen
festgeschrieben. Für den Anlagenplaner
liegen die Freiheitsgrade also in der Wahl
des Prüfintervalls und der Architektur der
Gesamtanlage. Doch gibt es praktische
Grenzen: Zu kurz gewählte Prüfintervalle
sind betriebsmäßig unerwünscht, da sie
einen häufigeren Anlagenausfall bedingen
können, und Redundanzen oder Mehrheitsentscheidungen
sind ein erheblicher Kostenfaktor.
So liegt es im Bestreben des Anlagenplaners,
Teilsysteme zu verwenden, die bei nur
jährlich stattfindender Prüfung und gänzlich
ohne Redundanzen die maximal zulässige
PFD möglichst weit unterschreiten.
Für eine nach SIL 2 eingestufte Anlage
macht der Planer z.B. folgende Rechnung
auf: Er verwendet einen Messgrößenaufnehmer
mit PFDSE = 0.002 und ein Auswertesystem
mit PFDLS = 0.001 bei jeweils
jährlicher Prüfung.
Um die für SIL 2 geforderte PFDAVG < 0.01
sicherzustellen, müssen die noch zu beschaffenden
Aktuatoren eine PFDFE von
weniger als 0.008 aufweisen, sofern sie
ebenfalls nur jährlich geprüft werden sollen.
HFT und Redundanzen
Die Hardware-Fehlertoleranz HFT kennzeichnet
das Verhalten eines komplexen
Systems oder Teilsystems im Fehlerfall.
Bei linearer Architektur, d.h. einem System
ohne Redundanzen ist die Sicherheitsfunktion
bei Vorliegen nur eines Fehlers
(HFT = 0) nicht mehr gewährleistet, während
eine redundante Architektur auch
im Fehlerfall noch betriebsbereit bleibt
(HFT = 1 oder höher, siehe Tabelle 1).
Man entnimmt der Tabelle (s. EN 61508,
Abschnitt 7.4.3.1.4), dass bei linearer Architektur
(HFT = 0) eine SIL-2-Einstufung nur
dann erreicht wird, wenn der SFF größer
als 90 % ist, d.h. der Anteil der nicht-erkennbaren
gefährlichen Fehler muss weniger
als 10 % betragen. Liegt der SFF hingegen
bei nur 80 %, so lässt sich SIL 2 nur
durch Redundanz (HFT = 1) erreichen.
Die funktionale Sicherheit eines Teilsystems
(z.B. eines Messgrößenaufnehmers)
ist also nur dann vollständig spezifiziert,
wenn sowohl die PFD mit dem zugehörigen Testintervall TP, der SFF und die HFT angegeben
sind.
Messgrößenaufnehmer für SIL 2
Auf Seiten der 4-20-mA-Messgrößenaufnehmer
zur Gasdetektion stellt Dräger
Safety drei durch ein unabhängiges Institut
bewertete Geräte vor (Tabelle 2).
As can be seen from the relevant figures
given in the table for the Polytron transmitters,
these sensors are ideally suited for
creating a gas detection system classified
as SIL 2.
Wie aus den relevanten tabellierten Kenngrößen
der Polytron-Transmitter zu ersehen
ist, sind diese Messgrößenaufnehmer für
die Zusammenstellung einer nach SIL 2
eingestuften Gaswarnanlage hervorragend
geeignet.
Dass gemäß EN 61508 der komplette
Lebenszyklus eines Schutzsystems, insbesondere
Betrieb und Wartung, betrachtet
werden muss, wurde hier aus Gründen der
Übersichtlichkeit unterdrückt. Vielmehr
sollte hier der Umgang mit den einschlägigen
Begriffen dieser Norm im Zusammenhang
mit Schutzsystemen im Vordergrund
stehen.
Dr. Wolfgang Jessel
Dräger Safety AG & Co. KGaA
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
Dräger Safety AG & Co. KGaA |
|
|
Revalstraße 1 |
|
|
23560 Lübeck |
|
|
Deutschland |
|
|
|
Telefon:+49 (0)451/ 882-0
Fax:+49 (0)451/ 882-2080
|
|
|
|
