Systematisch richtig

Automatisierte Wiederholprüfung von SIL-Sicherheitseinrichtungen

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

27.03.2018 SIL-Wiederholprüfungen sind riskant. Sie bergen die Gefahr, dass bei der Parametrierung oder anderen Wartungsarbeiten systematische Fehler entstehen, welche die Funktion der Sicherheitseinrichtung beeinträchtigen. Die Kombination aus einem Durchflussmessgerät mit besonderen Diagnosefunktionen und einer Sicherheitssteuerung ermöglicht jetzt automatisierte Wiederholprüfungen im eingebauten Zustand.

Anzeige

Entscheider-Facts für Betreiber

  • Wiederholprüfungen von Sicherheitseinrichtungen stellen immer auch ein Sicherheitsrisiko dar.
  • Durch die Kombination von Messgeräten mit besonderen Diagnosefunktionen und einer Sicherheitssteuerung sind nun auch automatisierte Wiederholprüfungen im eingebauten Zustand möglich.
  • Die Sicherheitssteuerung bestimmt dabei den optimalen Zeitpunkt für die Durchführung der Wiederholprüfung.

PLT-Schutzeinrichtungen (Sicherheitseinrichtungen) müssen gemäß IEC 61511 und VDI/VDE 2180 in regelmäßigen Abständen geprüft werden. Aufgabe der Wiederholprüfung ist es, die einwandfreie Funktion der Schutzeinrichtung sicherzustellen. Die jährlichen Wiederholprüfungen dieser SIL-Schutzeinrichtungen stellen im kontinuierlichen Anlagenbetrieb der chemischen Industrie neben dem hohen Aufwand und den damit meist verbundenen Anlagenstillständen vor allem auch ein Risiko dar. Statistiken zeigen, dass systematische Fehler zu 25 % von der Parametrierung bzw. zu 15 % von anderen Wartungsarbeiten her rühren.

Gerade bei Sicherheitseinrichtungen mit Durchflussmessgeräten ist der Aufwand durch die Überprüfung auf einer Kalibrieranlage immens. Hierzu müssen die Geräte ausgebaut, auf der Kalibrieranlage geprüft und anschließend in der Schutzeinrichtung wieder neu in Betrieb genommen werden. Der Anlagenbetreiber muss die Prüfung entlang einer festgelegten Prüfprozedur mit dem sich ergebenden Prüfergebnis dokumentieren. Häufig sind die Messsysteme – wie bei Coriolis-Massedurchfluss-Messgeräten – komplex, und detaillierte Prüfungen der Elektronik und des Messaufnehmers sind ohne spezielle Prüfinstrumente nicht möglich.

Der Bedarf für eine einfache und sichere Prüfung im eingebauten Zustand mit hoher Diagnoseabdeckung (DC – Diagnostic Coverage) und eine fehlerfreie möglichst automatisch ablaufende Prüfprozedur ist also groß. Schließlich soll der Prüfaufwand reduziert und die notwendigen Prüfungen der Geräte sollen fehlerfrei und sicher durchgeführt werden, ohne dass systematische Fehler entstehen.

Kontinuierliche Gerätediagnose mit Diagnostic Coverage bis 98 %

Die Heartbeat Technology der Proline Durchflussmessgeräte der 3. Generation ermöglicht eine kontinuierliche Gerätediagnose mit der eine Diagnostic Coverage bis 98 %  erreicht wird. Dadurch werden sehr gute SIL-PFD Kennwerte erreicht (siehe Textkasten). Durch die Kombination von Heartbeat Diagnostic und Heartbeat Verification entsteht zusätzliche Prüftiefe – so können Rekalibrierzyklen deutlich verlängert werden, um die geforderten SIL-Grenzwerte für die gesamte Schutzeinrichtung einzuhalten. Ermöglicht wird die detaillierte kontinuierliche Gerätediagnose durch im Gerät verfügbare redundante Referenz-Rohsignale, die als Prüfnormal zum zyklischen Test des rückgeführten Stromsignals dienen.

Beim magnetisch-induktiven Durchflussmessgerät Promag wird dafür beispielsweise eine Referenzspannung zur induzierten Spannung, beim Coriolis Massedurchfluss-Messgerät Promass eine Referenzfrequenz aus zwei redundanten Hochfrequenzquarzen erzeugt. Das ermöglicht die sichere Detektion von allen Fehlerquellen, die in der Elektronik und im Sensor auftreten und zu Abweichungen im Messwert führen können.

Neben der detaillierten Prüfung des Gesundheitszustands der Geräte ist vor allem in kritischen Anwendungen von Schutzeinrichtungen, bei denen zum Beispiel durch Ablagerung oder Korrosion das Gerät im Prozess geschädigt werden kann, die kontinuierliche Detektion des verfügbaren Abnutzungsvorrates wichtig. Mit der eindeutigen Ermittlung von drohenden Auswirkungen auf die Messperformance oder gar eines Ausfalls des kompletten Systems ist eine zielgerichtete Wartung der Systeme vorausschauend planbar. Dafür liefert das Heartbeat Monitoring weitreichende Möglichkeiten, um in diesen Anwendungen eindeutige und sichere Aussagen zu liefern.

Automatisierte Wiederholprüfung mit Sicherheitssteuerung im eingebauten Zustand

Für die automatisierte Wiederholprüfung ermöglicht die Himax Sicherheitssteuerung von Hima zusammen mit der Heartbeat Technology von Endress+Hauser nun eine automatisierte Wiederholprüfung zum Beispiel von Durchflussmessgeräten in Sicherheitseinrichtungen. Die automatisierte Prüfung wurde im Rahmen der Open Integration Partnerschaft zwischen den beiden Unternehmen entwickelt und ist auch für andere Messtechnologien, die über die integrierte Heartbeat Technology verfügen, einsetzbar.

Durch die implementierten Sicherheitsfunktionen der Himax Sicherheitssteuerung kann ein Security-Konzept gemäß IEC 62443 für den Hart-Gerätezugriff realisiert werden. Dazu gehören zum einen getrennte Kommunikationspfade für die sicheren und nicht sicheren Daten und klar definierte Kommunikations-Ports als auch eine integrierte Hart-Firewall in SIL3-Qualität, welche steuerbar zum Beispiel nur den lesenden Zugriff auf Feldgeräte erlaubt und alle Schreibkommandos blocken kann.

Dadurch wird die automatische Wiederholprüfung über die Sicherheitssteuerung auch bei SIL-verriegelten Geräten in Schutzeinrichtungen im eingebauten Zustand möglich. Zudem bestimmt die Sicherheitssteuerung auch den optimalen Zeitpunkt zur Durchführung. Der Prozess ist vom Entriegeln der Geräte in der SIL-Schutzeinrichtung über den gesamten Prüfprozess bis zur abschließenden erneuten Verriegelung der Geräte voll automatisiert über Hart-Schnittstelle und konform zu NE 154 gesteuert.

Bei der Umsetzung der Prüfprozedur wird immer auch die im Gerät befindliche SIL-Sequenz durchgefahren, um alle sicherheitsrelevanten Geräteeinstellungen zu prüfen. Neben dem Prüfergebnis (bestanden oder nicht bestanden) liefert die Prüfung der Geräte zusätzlich alle für ein aussagekräftiges Trendmonitoring notwendigen Diagnosewerte. Diese können dann weiterverarbeitet und für vorausschauende Wartungsplanung genutzt werden. Mittlerweile stehen zur detaillierten Auswertung der Parameter unterschiedliche Analysemodelle zur Verfügung, um aus den verfügbaren Parametern eindeutige Verlaufskurven und Trendaussagen zum Gesundheitszustand des Geräts in der jeweiligen Anwendung abzuleiten. Bei einer spezifischen Adaption für die vorliegende Anwendung ist es auf diese Weise sogar möglich, die Stärke eines sich im Messrohr bildenden Belags millimetergenau anzuzeigen. So können notwendige Anlagen-Spülprozesse initiiert werden.

Fazit: Die automatisierte Wiederholprüfung durch die Heartbeat Verification über die Himax Sicherheitssteuerung und das aussagekräftige Heartbeat Trendmonitoring schafft weitreichende Möglichkeiten, um die Instandhaltungskosten durch reduzierten Aufwand und mehr Sicherheit zu senken und die Anlageneffizienz durch reduzierte Stillstandzeiten zu steigern. Die Umsetzung der automatisierten Wiederholprüfung ist ein Bestandteil des SIL-Gerätekonzepts von Endress+Hauser zur Vermeidung systematischer Fehler in SIL-Schutzeinrichtungen. Das Konzept bietet neben der sicheren Umsetzung von Wiederholprüfungen außerdem eine sichere Planung, Inbetriebnahme, Dokumentation und Wartung der Geräte in PLT-Schutzeinrichtungen.

Zum Hintergrund:SIL-Kennwert ist nicht gleich SIL-Kennwert!

Bei der Beurteilung der SIL-Kennwerte von Messgeräten sollte immer auch das zu deren Ermittlung spezifizierte Fehlertoleranzband herangezogen werden. Das Fehlertoleranzband wird teilweise missverständlich als sicherheitstechnische Genauigkeit des Ausgangssignals bezeichnet. Häufig werden gute SIL-Kennwerte durch spezifizierte, erweiterte Fehlertoleranzbänder von bis zu 5 % erreicht. Je größer der Toleranzbereich bei der Ermittlung der SIL-Gerätekennwerte gewählt wird, umso besser gestalten sich die Werte für die Versagenswahrscheinlichkeit (PFD) und die Safe Failure Fraktion (SFF – Verhältnis von sicheren zu allen Fehlern). Durch ein erweitert spezifiziertes Fehlertoleranzband werden aus unentdeckten gefährlichen Fehlern (Lambda DU) unentdeckte sichere Fehler (Lambda SU) was zu den oben genannten verbesserten SIL-Kennwerten führt. Als Standardwert gilt heute ein 2%iges Fehlertoleranzband. Je geringer der Toleranzbereich spezifiziert ist, desto mehr Diagnose- bzw. Fehlerreduzierungsmaßnahmen sind im Gerät notwendig, um gute SIL-Kennwerte, zum Beispiel für SIL2-Anwendungen, zu erreichen (Bilder).

Für den Anlagenbetreiber bedeuten SIL-Geräte mit erweitertem Fehlertoleranzband, dass ein effizienter Anlagenbetrieb nur noch eingeschränkt möglich ist, da der Anlagenbetreiber bei der Festlegung des Grenzwertes das höhere Toleranzband berücksichtigen muss und die Anlage somit nicht soweit an den Grenzpunkt fahren kann. Optimal sind also Geräte in Schutzeinrichtungen mit möglichst niedrigem Toleranzband. So erreicht das Massedurchflussmessgerät beispielsweise ein Toleranzband von 0,1 % und gleichzeitig sehr gute SIL-Kennwerte. Die mittlere Versagenswahrscheinlichkeit (PFD) ist 3,2 x 10-4, die Safe Failure Fraction (SFF) erreicht bis zu 98 %.

Analytica 2018 Halle A3 – 305
Hannover Messe 2018 Halle 11 – C43
Ifat Halle Hallen A4 – 147/246, C1 – 451/550
Achema Halle 11.1 – C27

CT-Marktübersicht für PLT-Schutzfunktionen (SIL-Kreise).

Zum SIL-Gerätekonzept von Endress+Hauser.

 

Heftausgabe: April/2018
Christian Rützel  ist Abteilungsleiter Marketing Durchfluss bei Endress+Hauser

Über den Autor

Christian Rützel ist Abteilungsleiter Marketing Durchfluss bei Endress+Hauser
Loader-Icon