SIL zum Ziel

Prüfungen zur Funktionalen Sicherheit in der Prozessindustrie

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

11.07.2016 Die überarbeitete IEC61511 beschreibt die Anwendung sicherheitstechnischer Systeme (SIS) in der Prozessindustrie und insbesondere die notwendigen Tätigkeiten im Sicherheitslebenszyklus um die Mindestanforderungen an ein SIS zu erfüllen. Der Beitrag veranschaulicht das prinzipielle Vorgehen bei Prüfungen und Beratungstätigkeiten entsprechend der Norm.

Anzeige

Entscheider-Facts für Betreiber

  • Die internationalen Normen zur Funktionalen Sicherheit fordern von Betreibern eine Risikoreduktion gemäß des Stands der Technik.
  • Die Beurteilung der Umsetzung der risikoreduzierenden Maßnahmen durch unabhängige Sachverständige ist im Hinblick auf die Sicherheit der Anlage ratsam und bringt gegebenenfalls auch eine Kostenersparnis mit sich.
  • Es kann außerdem von Vorteil sein, eigene Mitarbeiter durch Zertifizierungsprogramme zu Experten auf dem Gebiet ausbilden zu lassen.

Kein Licht ohne Schatten: Die technologischen Entwicklungen der vergangenen Jahrzehnte führten neben erweiterten Funktionalitäten in der Prozessindustrie auch dazu, dass neue Risiken und Gefährdungen entstanden sind. Aus der grundsätzlichen Forderung nach Sicherheit wurden immer mehr sicherheitsrelevante elektronische Systeme entwickelt und zur Risikoreduktion in technischen Anlagen eingesetzt. Die zunehmende Komplexität der elektronischen Komponenten und Systeme stellt diejenigen Hersteller und Betreiber vor Herausforderungen, die durch das Produktsicherheitsgesetz bzw. die Betriebssicherheitsverordnung verpflichtet sind, ihre technischen Systeme in allen Aspekten der Sicherheit entsprechend dem Stand der Technik zu entwickeln. Die Normen IEC 61508 und IEC 61511 formulieren im Bereich der Funktionalen Sicherheit Anforderungen, um so eineeinheitliche Definition für den „Stand der Technik“ sicherzustellen. Sachverständige von TÜV Nord betreuen seit vielen Jahren nationale und internationale Entwicklungsprojekte im Bereich der Funktionalen Sicherheit und stellen so als unabhängige Dienstleister eine normkonforme Entwicklung bzw. Projektierung sicher.

Sicherheit schaffen – und nachweisen
Hersteller und Betreiber stehen oft vor der Frage, wie die Prüfung und Beurteilung durch unabhängige Sachverständige erfolgen und wie es generell möglich ist, ein Sicherheitsintegritätslevel (SIL) für sicherheitstechnische Funktionen, Komponenten und Anlagen zu ermitteln. Anders formuliert: Wie erreiche ich eine notwendige Risikoreduktion einer Anlage und erbringe den hierfür erforderlichen Nachweis? Einige grundlegende Aspekte bei einer Prüfung entsprechend IEC 61511 und wie Betreiber hierbei auch Kosten einsparen können, werden im Folgenden betrachtet. Den Rahmen gibt grundsätzlich der Sicherheitslebenszyklus vor: Ein Managementsystem entsprechend den Vorgaben zur Funktionalen Sicherheit bildet die Basis für den Lebenszyklus der Anlage und legt die Rahmenbedingungen fest. Der Hersteller oder Betreiber muss Managementaktivitäten, beispielsweise ein Änderungs- und Konfigurationsmanagement implementieren und anwenden. Hierzu kann er einen Sicherheitsplan erstellen, indem alle Managementaktivitäten zum Erreichen der Funktionalen Sicherheit dokumentiert sind. Die Aufgabe der Sachverständigen besteht darin, zu beurteilen, ob die durch das Management vorgegebenen Rahmenbedingungen die Voraussetzungen für sicherheitsgerichtetes Arbeiten schaffen. In Projekten, bei denen bereits ein gelebtes Funktionales Sicherheitsmanagement implementiert wurde, zeigte sich, dass sich nicht nur die Sicherheit der Gesamtanlage erhöht hat, sondern zusätzlich Zeit und Kosten eingespart wurden, da klare Prozesse und Abläufe den Rahmen für die Aktivitäten im Sicherheitslebenszyklus definierten.

Sachverständige früh einbinden
Verifikationstätigkeiten sind vom Hersteller oder Betreiber für jede relevante Phase des Sicherheitslebenszyklus durchzuführen. Im Rahmen der Managementtätigkeiten sind diese Verifikationen zu planen und beispielsweise in einem Verifikationsplan zu dokumentieren. Die Planung sollten Betreiber im besten Fall frühzeitig mit den Sachverständigen abstimmen und die Durchführung während des gesamten Sicherheitslebenszyklus überprüfen. Abweichungen werden entsprechend den Vorgaben im Änderungsmanagement weiter verfolgt. Auch die ordnungsgemäße Durchführung von Änderungen prüfen die Sachverständigen. Sobald die Randbedingungen im Bereich Management und Verifikation geklärt sind und die Sachverständigen diese abnehmen, kann die eigentliche Planung des Systems oder der Anlage beginnen. Hierbei ist es auch ratsam, Sachverständige so früh wie möglich in alle Phasen einzubeziehen. Bevor die Gefährdungs- und Risikobeurteilung erfolgt, sollte das Anlagenkonzept in ausreichender Form vorliegen. Das bedeutet auch, dass jegliche Randbedingungen, beispielsweise die Funktionsweise der Anlage und die Umweltbedingungen festgelegt und dokumentiert sind. Das Erstellen der Dokumente sollte immer so erfolgen, dass unabhängige Dritte, die nicht an der Konzepterstellung beteiligt waren, das Wirkprinzip der Anlage oder des Systems verstehen. Auf  Basis des Konzepts wird die Gefährdungs- und Risikoanalyse (G&R) durchgeführt. Der Hersteller hat in dieser Lebenszyklusphase die Aufgabe, alle Kriterien zur G&R festzulegen und anschließend die Analyse durchzuführen. Er muss sicherstellen, dass neue Erkenntnisse in Bezug auf das System in die Analyse einfließen und entsprechende Maßnahmen zur Risikominimierung implementiert werden. Hierbei sollte in erster Linie ein eigensicheres Design der Anlage im Vordergrund stehen, und erst als letzte Maßnahme sollten zusätzliche elektrische/elektronische/programmierbare elektronische Systeme (E/E/PES) zur Risikoreduktion zum Einsatz kommen. Die darauf folgenden zwei Phasen legen die Grundlagen zur technischen Realisierung: Es wird bestimmt, welche Systeme die festgelegten sicherheitstechnischen Funktionen ausführen sollen und welche Risikominimierung und somit welcher SIL erreicht werden muss. Neben der Spezifikation der Sicherheitsanforderungen sollte in diesem Rahmen bereits eine Planung der Montage, Inbetriebnahme, Validierung, Instandhaltung sowie des Betriebs entstehen. Dies verfeinern die Verantwortlichen dann während der Phase Entwurf und Planung, sodass am Ende der Realisierung eine vollständige Planung vorliegt.

Sicherheit erhöhen, Kosten senken
Auf Basis der Sicherheitsanforderungs-Spezifikation erfolgt der Entwurf und die Planung der sicherheitstechnischen Funktionen, das heißt die Auswahl der Komponenten, das Festlegen der Architektur, das Implementieren der Diagnosemöglichkeiten und Anwendungssoftware sowie das Auslegen der Schnittstellen. Damit sicherheitstechnische Schutzeinrichtungen robust gegenüber Fehlern sind, fordert die IEC 61511 Maßnahmen gegen systematische Fehler, Maßnahmen gegen zufällige Fehler sowie Maßnahmen zur Fehlertoleranz und Fehlerentdeckung. Das Gesamtsystem – bestehend aus Sensor, Logik und Aktor – muss die geforderte Sicherheitsintegrität der Sicherheitsfunktionen erreichen. Alle Komponenten, inklusive der relevanten Software, die zur Ausführung einer Sicherheitsfunktion zur Risikoreduktion beiträgt, sind gemeinsam zu betrachten. Die SIL-Fähigkeit jeder Komponente muss dabei für sich allein sowie im Zusammenspiel mit den anderen sicherheitsrelevanten Komponenten das SIL der Funktion erfüllen. In der Praxis hat sich bei vielen Projekten gezeigt, dass sich insbesondere durch den Einsatz von Online-Diagnosen sowohl die Sicherheit des Systems erhöhte als auch der Betreiber Kosten durch eine mögliche Verlängerung des Proof-Test-Intervalls einsparen konnte. Daher ist es auch bei der Umsetzung des Konzepts zur Fehlerentdeckung ratsam, Sachverständige frühzeitig einzubinden, um so die Sicherheit zu erhöhen und gleichzeitig Kosten zu sparen.

Gute Planung zahlt sich aus
Die Installations- und Inbetriebnahme-Tätigkeiten müssen die Beteiligten nun so umsetzen, wie diese bereits in den vorangegangenen Phasen geplant wurden. Hierbei gilt grundsätzlich: Je detaillierter die Planung, desto besser können die Installation und Inbetriebnahme erfolgen. Bevor der Anwender das System oder die Anlage final in Betrieb nimmt, muss die Sicherheits-Gesamtvalidierung zeigen, dass die Funktionale Sicherheit für die Anlage erfüllt ist. Die Validierung erfolgt ebenfalls entsprechend der Planung; der Betrieb erfolgt entsprechend den Vorgaben. Während des Betriebs sind dann regelmäßig Instandhaltungs- und Wartungstätigkeiten in festgelegten Zeitintervallen durchzuführen. Das Einhalten der Zeitabstände ist zwingend erforderlich, um einen sicheren Betrieb zu ermöglichen. Sollten sich während des Betriebs oder bei Instandhaltungstätigkeiten Erkenntnisse ergeben, die eine Änderung an der Anlage erfordern, muss der Betreiber entsprechend dem Änderungsprozess vorgehen. Hierbei sollte er insbesondere darauf achten, dass eine Einflussanalyse erfolgt, die den Einfluss der Änderung auf die Gesamtanlage betrachtet. Das soll sicherstellen, dass durch die Änderung keine zusätzlichen Gefährdungen auftreten können. Änderungen können dazu führen, dass gegebenenfalls verschiedene Phasen des Sicherheitslebenszyklus erneut durchlaufen werden müssen.

Zertifizierung von Personal
Die letzte Phase einer Anlage oder Teilanlage im Sicherheitslebenszyklus stellt die Außerbetriebnahme dar. Bevor diese erfolgt, sollten die Verantwortlichen zuerst einen Plan erstellen, wie diese durchzuführen ist. Hierbei ist es ratsam, ebenfalls eine Einflussanalyse durchzuführen, die eine geordnete Abschaltung der (Teil-)Anlage sicherstellt, sodass durch die Stilllegung keine Gefährdungen entstehen. Für Sachverständige ist die bereitgestellte Dokumentation eine wichtige Grundlage für die Beurteilung der Funktionalen Sicherheit. Daher ist es besonders wichtig, dass auf eine ausreichende Dokumentation jeder Phase im Sicherheitslebenszyklus geachtet wird. Für Betreiber und Hersteller ist es zudem ratsam, bereits sehr früh die notwendige Dokumentation mit den Sachverständigen festzulegen. Die Norm selbst definiert, in welcher Form die Dokumentation erfolgen muss. Beim Erstellen der Dokumentation ist es wichtig, darauf zu achten, dass die Inhalte vollständig, verständlich und nachvollziehbar sind. Der generische Sicherheitsstandard IEC 61511 stellt an alle Personen, die im Sicherheitslebenszyklus an der Entstehung einer sicherheitskritischen Komponente mitwirken, Mindestanforderungen an die Kompetenz und Qualifikation. Um diese zu erwerben und belegen zu können, hat beispielsweise TÜV Nord ein dreistufiges Personenzertifizierungsprogramm ausgearbeitet, damit Hersteller und Betreiber das fundierte Wissen der Mitarbeiter nachweisen und das Ziel „SIL“ kompetent erreichen können.●

1607ct910

Hier gelangen Sie zum Dienstleister.

Auf unserem Portal finden Sie viele weitere Beiträge rund um das Thema SIL.

Heftausgabe: Juli 2016
Christian Krupke, Sachverständiger Funktionale  Sicherheit,  TÜV Nord Systems

Über den Autor

Christian Krupke, Sachverständiger Funktionale Sicherheit, TÜV Nord Systems
Loader-Icon