„Vorsicht bei Zertifikaten!“

Interview mit Ulrich Gensicke, Produktspezialist bei Metso

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

29.07.2011 Vielerorts herrscht heute nach wie vor die Meinung vor, dass Geräte für Schutzeinrichtungen ein Zertifikat besitzen, auf dessen Deckblatt der SIL angegeben ist. Doch schon aus haftungsrechtlichen Gründen sollten Prozessbetreiber etwas genauer hinschauen. Im CT-Interview erklärt Ulrich Gensicke, Produktspezialist beim Armaturenanbieter Metso, worauf zu achten ist.

Anzeige

CT: Worauf kommt es beim Lesen von Zertifikaten im Zusammenhang mit Ventilen und Stellungsreglern an?
Gensicke: Zunächst einmal ist wichtig, zu prüfen, wer das Zertifikat ausgestellt hat. Aber auch die Fragen „Wie wurde zertifiziert?“ und natürlich „Was wurde im Detail zertifiziert?“ sind wichtig. Aus meiner Sicht sind beispielsweise Herstellererklärungen ein No-go, denn bei allen Herstellern spielen finanzielle Interessen eine Rolle und ein „SIL-Zertifikat“ wird zum Verkaufsargument. Da es um Sicherheitseinrichtungen geht, sollte immer das Vieraugen-Prinzip angewendet werden und ein unabhängiges Institut – oder besser noch eine benannte Stelle – in die Zertifizierung eingebunden sein. Das gilt insbesondere für Komponenten, die für den Einsatz in SIL2- bzw. SIL3-Kreisen qualifiziert werden.
CT: Reicht dann die Aussage des erreichbaren SIL?
Gensicke: Nein. Letztendlich zeigt die PFD-Berechnung, ob die ausgewählten Komponenten der Sicherheitsklassifizierung eines Sicherheitskreises gerecht werden. Dazu ist es natürlich wichtig, dass die zur PFD-Berechnung verwendeten Werte praxisnah erhoben wurden und belastbar sind. Die wichtigen Informationen darüber, was eigentlich zertifiziert wurde und unter welchen Einsatz- und Randbedingungen das Zertifikat gilt, steht im Bericht zum Zertifikat. Es gibt Beispiele für SIL-2- oder sogar SIL-3-zertifizierte Stellungsregler, bei denen der Blick in den Bericht zeigt, dass lediglich einzelne Komponenten und nicht das komplette Gerät mit allen Funktionen der  Hard- und Softwarekomponenten zertifiziert wurde. Weiterhin sehe ich einen Widerspruch bei Komponenten, die durch Einzeltests qualifiziert wurden und typischerweise im „Low-Demand-Mode“  eingesetzt werden.

CT: Warum ist es wichtig, dass sich der Anwender diese Details anschaut?
Gensicke: Die Verantwortung für die funktionierende Schutzeinrichtung liegt beim Betreiber. Im Schadensfall hat er die Verantwortung und wird sich von Gutachtern fragen lassen müssen, warum er Herstellererklärungen akzeptiert hat bzw. einem widersprüchlichen Zertifikat bzw. sogar einem ungültigen Zertifikat vertraut hat.

CT: Gilt das selbst dann, wenn das Zertifikat von einer unabhängigen Stelle kommt, aber trotzdem „schlecht“ erstellt ist?
Gensicke: Auch dann. Die Verantwortung für die Folgen von Schäden liegt klar beim Betreiber. Deshalb sollte er auch einschätzen können, ob die Zertifizierungsstelle vertrauenswürdig ist und ob die Angaben im Bericht zum Zertifikat schlüssig sind.

CT: Im Zusammenhang mit Aktoren als Teil des Sicherheitskreises ist die SIL-Betrachtung besonders schwierig. Woran liegt das?
Gensicke: Zum einen verlangt die IEC61508 die Sicherheitsbetrachtung der gesamten Sicherheitskette vom Sensor über die Logikeinheit zum Aktor.  Die Norm stellt aber nur den Rahmen dar und spezialisiert für E/E/PE (elektrischen/elektronischen/programmierbar elektronischen) Systemen. Final Elements bestehen aber überwiegend aus mechanischen, pneumatischen, hydraulischen oder elektromechanischen usw. Komponenten, deren Sicherheitsbetrachtung natürlich in der Vorgehensweise von elektronischen Komponenten abweicht und die Evaluierung der Sicherheitskennzahlen (Lambda-Werte/MTBF / MTTF) dadurch erschwert.
Zum anderen muss die Sicherheitsbetrachtung vom Betreiber immer für den gesamten Sicherheitskreis angestellt werden. Der Aktor – oder neudeutsch „Final Element“ – setzt sich als Ende des Sicherheitsloops selbst wiederum aus verschiedenen Elementen zusammen, dazu gehören zum Beispiel die Armatur, der Antrieb, das Magnetventil und zusätzliche Instrumentierungskomponenten wie  Volumenbooster oder Schnellentlüftungsventile etc. Und für jedes dieser Elemente müssen das Zertifikat und dessen Bericht geprüft und die darin ermittelten Werte in die Berechnung mit einbezogen werden. Und das ist aufwendig und stellt insbesondere weniger geübte Anwender vor erhebliche Probleme.

CT: Das schreit nach einer Norm.
Gensicke: Ja. Zumindest eine Vereinheitlichung der Vorgehensweise bei der Ermittlung sicherheitsrelevanter Kennwerte für mechanische Komponenten würde dem Anwender die Vergleichbarkeit erleichtern und für mehr Transparenz unter den Anbietern sorgen.[AS]

Heftausgabe: August 2011

Über den Autor

Armin Scheuermann, Redaktion
Loader-Icon