Konflikt aus Sicherheit und Verfügbarkeit auflösen

Diagnoseinformationen in sicherheitsgerichteten Systemen nutzen – Teil 2

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

10.11.2015 Eine Anlage aufgrund eines defekten Feldgerätes abfahren? In der Chemie treibt diese Entscheidung täglich so manchem Betriebsleiter Tränen in die Augen. Dabei gibt es Alternativen, wenn beispielsweise bereits vorhandene Diagnosefunktionen genutzt werden, die per Hart-Protokoll übertragen werden. Im zweiten und letzten Teil unserer kleinen Artikelserie werden Beispiele genannt und der Nutzen der Automatisierung von Sicherheitsfunktionen dargestellt.

Anzeige

Entscheider-Facts Für Betreiber

  • Mit zirka 70 Prozent stellen Hart-fähige Geräte den Löwenanteil der weltweit in der Prozessindustrie installierten Feldgeräte. Doch nur bei einem Zehntel davon werden Hart-Funktionalität und Diagnosedaten auch über die Konfiguration bei Installation hinaus genutzt.
  • Via Hart-Protokoll können Feldgeräte den Status „defekt" melden, bevor das Gerät bei Anfrage einer sicherheitsrelevanten Auslösung versagt.
  • Die automatisierten Nutzung von Diagnosedaten liefert ein Echtzeit-Abbild des Anlagenzustands.

Moderne Feldgeräte bieten inzwischen eine Vielzahl wichtiger Informationen über ihren Status. Sie bieten sehr viel mehr, als nur die primäre Prozessvariable als 4-20-mA-Wert anzuzeigen. Moderne Sicherheitssysteme gewähren über das Hart-Protokoll Zugriff auf diese Diagnoseinformationen, eine verbesserte Zuverlässigkeit durch einen hohen DC und beeinflussen den Sicherheitsintegritätslevel (SIL), der in der Risikoanalyse ermittelt wurde.

Bild 1 zeigt, wie eine 1oo2 Sensorgruppe genutzt wird, um den Druckgrenzwert für ein Absperrventil zu überwachen. In der Gruppe gibt es zwei redundante Sensoren, die zu einer erhöhten Zuverlässigkeit der Anordnung führen. Für den Fall, dass ein gefährlicher, unerkannter Fehler einen Sensor lahmlegt, kann der zweite Sensor noch einwandfrei funktionieren. Was passiert im Falle eines gefährlichen und erkannten Fehlers?

Viele Fehlstati von Feldgeräten werden in der Logikeinheit des SIS häufig nur auf eine Weise interpretiert. Der schlechte Zustand eines Feldgerätes, also die Diagnose eines Fehlers, wird seinem Auslösen bei Anforderung gleichgesetzt, und die Anlage wird unverzüglich in einen sicheren Zustand versetzt. Die Folge ist häufig das Abschalten der Anlage. Die potenzielle Bedrohung des sicheren Betriebes, nämlich das Versagen der Schutzfunktion bei Anforderung, wird durch die Auslösung dieser sicher abgewendet.

Entscheidend für die nachfolgende Betrachtung ist die Annahme, dass nicht davon auszugehen ist, dass auf den ersten Fehler unmittelbar der zweite folgt. Mit sehr großer Wahrscheinlichkeit wird die Zweitfehlereintrittszeit nicht kurz sein (im Bereich von Stunden). Annahmen von Zweitfehlereintrittszeiten von 24 bis 48 Stunden sind in der Prozessindustrie üblich.

Wenn das Diagnosesystems das Versagen eines Feldgeräts detektiert, bedeutet dies keine unmittelbare Gefahr, da ein redundanter Sensor vorhanden ist. Es ist heute nahezu der Regelfall, dass dieses Szenario zum Stillstand der Anlage führt. Dies ist grundsätzlich nicht falsch, weil es der sichere Anlagenzustand ist. So ist dennoch fraglich, ob das Abschalten der Anlage aufgrund eines ausgefallenen Feldgerätes grundsätzlich der beste Weg ist. Welche alternativen Lösungen sind denkbar?

Sensorgruppe von 1oo2 auf 1oo1 degradieren
Eine gute Lösung ist die temporäre Degradierung der Sensorgruppe von 1oo2 auf 1oo1. Das per Hart übermittelte Statusbit kann z. B. bedeuten, dass die Elektronik des Sensors defekt ist oder ein Kabelbruch vorliegt. Die Reparatur oder der Austausch des Sensors muss vor dem Hintergrund der Zweitfehlereintrittszeit möglichst zeitnah erfolgen. Ist dies nicht möglich, muss die Anlage wie oben geschildert abgeschaltet werden.

Heftausgabe: November 2015
Seite:
Dr. Sven Lohmann ist bei Emerson Process Management Business Development Manager SIS

Über den Autor

Dr. Sven Lohmann ist bei Emerson Process Management Business Development Manager SIS

Dr. Sven Lohmann ist bei Emerson Process Management Business Development Manager SIS

Loader-Icon