Systematisch sicher instrumentieren

SIL-Gerätekonzept für PLT-Schutzeinrichtung

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

05.04.2016 Es ist der Alptraum eines jeden Anlagenbetreibers: Ein Parametrierfehler setzt eine PLT-Schutzfunktion von Anfang an außer Gefecht – und bleibt dazu noch unbemerkt. Umso wichtiger ist es, PLT-Schutzeinrichtungen so auszuwählen, zu parametrieren und zu betreiben, dass systematische Fehler vermieden werden.

Anzeige

Entscheider-Facts für Betreiber

  • Systematische Fehler sind die häufigste Ausfallursache bei SIL-Schutzeinrichtungen. Oft passieren solche Fehler bei der Auswahl und Parametrierung.
  • Ein einheitliches Bedienkonzept und einfache Parametrierprozesse tragen dazu bei, dass Fehler vermieden werden.
  • Eine SIL-Sequenz für die Inbetriebnahme von Geräten in PLT-Schutzeinrichtungen hilft dem Betreiber, solche Fehler zu vermeiden.

In den letzten Jahren ist der Anteil von PLT-Schutzeinrichtungen in der chemischen Industrie stetig gestiegen: auf heute fast 15 % Messstellen. Zentrales Thema bei ihrem Einsatz ist die Vermeidung systematischer Fehler. Das beginnt bereits bei der Geräteentwicklung: Messgeräte sollten gemäß den erforderlichen Prozessen und Prüfungen entwickelt werden, wie sie auch die IEC 61508 fordert. Unabhängige Prüfstellen wie der TÜV sichern die Qualität und Zuverlässigkeit der Geräte, die sich aus diesen standardisierten Produktionsprozessen ergeben. Sie überwachen die Umsetzung der Richtlinien und bescheinigen die ermittelten Kennwerte zum Einsatz der Geräte in SIL-Schutzeinrichtungen.
Die NE130 definiert für Geräte in PLT-Schutzeinrichtungen eine erforderliche Betriebsbewährungsphase von einem Jahr. In diesem Jahr muss das Gerät in mindestens zehn relevanten Anwendungen und 1.000 Betriebsstunden fehlerfrei funktionieren. Die Verwendung von nach IEC 61508 entwickelten Geräten lohnt sich auch hier, weil bei diesen Geräten eine nach Namur Empfehlung NE130 verkürzte Betriebsbewährungsphase von nur sechs Monaten ausreichend ist. Zudem ist – ebenfalls gemäß NE130 – nach einem Softwareupdate bei nach IEC 61508 entwickelten Geräten keine erneute Betriebsbewährungsphase mehr notwendig.
Bereits in der Planungsphase von PLT-Schutzeinrichtungen können geeignete Werkzeuge und gute Konzepte helfen, systematische Fehler zu vermeiden. Die Auswahl der geeigneten Messtechnologie und die korrekte Geräteauslegung bzw. spätere Parametrierung sind entscheidend für eine zuverlässige und sichere Funktion der PLT-Schutzeinrichtungen.
Zunächst muss für die jeweilige Messaufgabe die geeignete Technologie ermittelt werden. Hier ermöglichen Planungstools wie beispielsweise der „Applicator“ von Endress+Hauser eine sichere Auswahl und Auslegung der Geräte. Er führt für nahezu jeden Anwendungsfall mit wenigen Klicks zum richtigen Messgerät. Die einheitliche SIL-Dokumentation zu den Geräten spezifiziert alle relevanten Sicherheitskennwerte und definiert die jeweiligen Einsatzbedingungen der Geräte in Schutzeinrichtungen. Damit sind alle relevanten Daten zur Instrumentierung der Schutzeinrichtung schnell zur Hand. Die SIL-Dokumentationen sämtlicher Geräte sind zentral auf der Homepage verfügbar.
Für SIL-Schutzeinrichtungen und Standard-­Betriebsmessungen kommen die gleichen Geräte mit identischer Hard- und Software zum Einsatz. In Schutzeinrichtungen wird jedoch bei der Inbetriebnahme zusätzlich die SIL-Sequenz im Gerät aktiviert. Dabei werden alle Parameter auf die für die Schutzeinrichtung korrekten Voreinstellungen gesetzt. Beim Durchlaufen der Sequenz werden alle Einstellungen geprüft und durch den Inbetriebnehmer bestätigt. Die SIL-Sequenz hilft dem Anwender, mögliche systematische Fehler bei der Parametrierung zu vermeiden.
Die SIL-Sequenz wird abgeschlossen, indem die Verriegelung aktiviert wird. Außerdem hat der Anwender die Möglichkeit, die Geräte mit einem individuell wählbaren Code vor Fremdzugriff zu schützen. Darüber hinaus blockiert der Schreibschutzschalter der Hardware den Zugriff über Bedien- und Kommunikationsschnittstellen und verhindert so einen unbefugten Zugriff.

Eindeutige Gerätediagnose nach NE107 – einfache Interpretation von Gerätemeldungen
Die wichtigste Funktion der Selbstüberwachung durch Gerätediagnose ist die Erkennung gefährlicher Gerätefehler, die zum Ausfall der Schutzeinrichtung führen können. Mit Hilfe der erzeugten Alarme soll die Anlage in den sicheren Zustand gebracht werden. Gerade in PLT-Schutzeinrichtungen ist im Fehlerfall eine eindeutige und schnelle Diagnose besonders wichtig. Die nach IEC 61508 entwickelten Geräte des Herstellers zeichnen sich durch eine hohe Diagnoseabdeckung von bis zu 98,3 % aus. Dadurch ergibt sich bei den aktuellen Geräten eine sehr hohe Safe Failure Fraction (SFF) die für ein geringes Restrisiko durch gefährliche unerkannte Fehler entscheidend ist.
Die Schutzeinrichtung hat eine herausragende Bedeutung für die sichere Funktion und Verfügbarkeit der Produktionsanlage. Deswegen ist bei einem Ausfall einer Schutzeinrichtung die schnelle und sichere Instandsetzung besonders wichtig. Folgende Faktoren sind hier ausschlaggebend:

  • die eindeutige Eingrenzung der Fehlerursache,
  • die einfache Identifikation der richtigen Ersatzteile,
  • der reibungslose Austausch der defekten Komponenten,
  • die fehlerfreie, möglichst automatische Übertragung der Messstellenparameter,
  • die einfache Inbetriebnahme und Prüfung der instand gesetzten Messstelle.

Bei einem einheitlichen SIL-Gerätekonzept sind idealerweise sowohl im Gerätdeckel als auch über eine Online-Suche alle erforderlichen Ersatzteile zum Gerät ersichtlich. Auch bei Geräten in PLT-Schutzeinrichtungen ist eine Reparatur von zugelassenen identischen Ersatzteilen ohne Nachkalibrierung problemlos möglich. Damit wird ein Ausbau von Geräten im Störungsfall vermieden und eine hohe Anlagenverfügbarkeit sichergestellt. Der Datenspeicher Histo ROM ermöglicht dabei einen reibungslosen Austausch von Komponenten und eine fehlerfreie Übertragung aller Messstellenparameter ohne Neuabgleich. Das Speichermodul ist unverlierbar mit dem Gehäuse verbunden und kopiert nach einem Teileaustausch – z. B. der Elektronik – automatisch die komplette Gerätekonfiguration auf das neue Modul.

Einfache Wiederholprüfung auf Knopfdruck ohne Ausbau und Prozessunterbrechung
PLT-Schutzeinrichtungen müssen gemäß IEC 61511 und VDI/VDE 2180 in regelmäßigen Abständen geprüft werden. Aufgabe der Wiederholprüfung ist es, die einwandfreie Funktion der Schutzeinrichtung sicherzustellen. Gerade bei Durchfluss- und Füllstandmessgeräten ist der Aufwand für die Wiederholprüfung besonders groß. Um normenkonform die Intervalle für eine Vollprüfung zu verlängern oder ganz zu ersetzen, wurde die Heartbeat-Technology entwickelt. Sie ermöglicht die einfache Wiederholprüfung im eingebauten Zustand bei laufendem Prozess.
Das System liefert eindeutige Prüfergebnisse und dokumentiert diese in einem fälschungssicheren Prüfprotokoll. Die gesamte Signalkette vom Rohsignal des Messaufnehmers über den Messumformer bis zu den Ausgängen wird sicher geprüft. Diese Wiederholprüfung auf Knopfdruck bestätigt die Gerätefunktionen innerhalb der spezifizierten Messtoleranz mit einer Testabdeckung von mehr als 95 %. Der Anwender profitiert von einer erhöhten Anlagenverfügbarkeit. Im Bereich des WHG und von SIL-Schutzeinrichtungen mit ihren jährlichen Prüfzyklen sind Prüfkonzepte wie die Heartbeat-Technology innerhalb kürzester Zeit amortisiert und steigern die Sicherheit des Anlagenbetriebs deutlich.

Zur Parametrierung
Beispiele für systematische Fehler

  • Vermeiden einer zu hohen Dämpfung des Messwertes, was eine verlangsamte Reaktionszeit der Schutzeinrichtung zur Folge hätte.
  • Versehentlicher Betrieb im Simulationsmode. Damit wird vermieden, dass eine Grenzwertüberschreitung vom Messgerät nicht an die nachfolgende Schutzeinrichtung weitergegeben wird. Die Schutzeinrichtung würde andernfalls im Anforderungsfall nicht korrekt auslösen.
  • Vermeiden eines Offsets auf dem Messwert. Durch einen versehentlich eingestellten Offset würde die Ansprechschwelle eines Grenzwertes unzulässig verschoben. Die Schutzeinrichtung würde im Anforderungsfall zu spät oder gar nicht auslösen.
  • Verhindern falscher Alarmierung bei Gerätedefekt oder Vermeiden von zu frühen Alarmen bei Prozesseinflüssen. Damit wird sichergestellt, dass nur dann ein Alarm ausgegeben wird, wenn das Gerät einen Fehler detektiert, der die Funktion der Sicherheitseinrichtung gefährdet. Damit wird eine hohe Anlagenverfügbarkeit bei höchster Anlagensicherheit gewährleistet.

Zur Technik
Gerätemeldungen nach NE107
Die Namur hat in ihrer Empfehlung NE107 vier Zustände definiert, mit denen Feldgeräte beschrieben werden sollen:
(F) Ausfall – Es liegt ein Gerätefehler vor. Der Messwert ist nicht mehr gültig.
(C) Funktionskontrolle – Das Gerät befindet sich im Service-Modus (z. B. während einer Simulation).
(S) Außerhalb der Spezifikation – Das Gerät wird außerhalb seiner technischen Spezifikationsgrenzen (z. B. des Prozesstemperatur­bereichs) betrieben.
(M) Wartungsbedarf – Eiine Wartung ist erforderlich. Der Messwert ist weiterhin gültig.

Powtech 2016 Halle 4 – 519

Weitere CT-Beiträge zum Thema

Heftausgabe: April 2016
Christian Rützel ist Abteilungsleiter Marketing Durchfluss bei Endress+Hauser

Über den Autor

Christian Rützel ist Abteilungsleiter Marketing Durchfluss bei Endress+Hauser
Loader-Icon