Weshalb die SIL-Berechnung mit Typicals Prüfintervalle verschlechtert

Verfügbarkeit sichern

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

28.06.2011 Die Aufregung um den SIL-Nachweis von PLT-Schutzeinrichtungen hat sich mit den Vorschlägen der NE 130 gelegt. Doch das Verwenden von Typicals zur Berechnung, bei denen die Ausfallraten auch der „schlechtesten“ Geräte einer Gattung abgedeckt werden, hat einen Haken: Sie negiert die Tatsache, dass mit besseren Geräten längere Prüfintervalle möglich sind und dadurch eine höhere Anlagenverfügbarkeit erreichbar wäre.

Anzeige

Mit Einführung der Safety Integrity Levels (SIL) über die DIN/EN 61511 im Jahr 2001 wurde in die Sicherheitstechnik eine neue Betrachtungsweise eingeführt: Nicht mehr die einzelne Komponente eines Sicherheitskreises steht im Mittelpunkt der Betrachtung, sondern das komplette sicherheitsinstrumentierte System (SIS). Um die Sicherheit quantitativ bewerten zu können, muss die Zuverlässigkeit der Schutzfunktion bewertet werden. Deshalb steht die Funktionssicherheit der Schutzfunktion – das ist die Wahrscheinlichkeit, dass diese im Anforderungsfall nicht funktioniert (Probability of Dangerous Failure on Demand, PFD) – im Zentrum der SIL-Betrachtung.

An der Frage, wie der quantitative Nachweis der Funktionssicherheit einer Schutzfunktion in der betrieblichen und planerischen Praxis geführt werden kann, schieden sich in den vergangenen Jahren die Geister. Fordert die Norm etwa, dass die seit Jahrzehnten in der Chemie praktizierte Methode der Betriebsbewährung aufgegeben wird? Und: Wie kann ein rechnerischer Nachweis der PFD geführt werden? Klarheit brachte die 2009 veröffentlichte Namur-Empfehlung NE 130, in der Anforderungen an die Betriebsbewährung konkretisiert und Geräteklassen definiert werden, die für Betriebs-, Überwachungs- und Schutzeinrichtungen in prozesstechnischen Anlagen geeignet und einsetzbar sind. Dort heißt es: „Ein derart qualifiziertes Gerät ist einkanalig bis SIL 2 – und in mindestens 1oo2-Redundanz für SIL 3-Anwendungen einsetzbar, und es darf ein vereinfachter rechnerischer SIL-Nachweis angewendet werden“ – Letzterer ist in der NE 130 ausführlich beschrieben.

In der Praxis haben sich für den Nachweis deshalb zwei grundlegende Methoden etabliert: Die klassische Betriebsbewährung, wie sie zum Beispiel von einigen Unternehmen der deutschen Großchemie praktiziert wird, und der rechnerische Nachweis. Für einkanalige Systeme lautet die Berechnungsformel PFD = ½ · LDU · Ti.

PFD bezeichnet darin die Wahrscheinlichkeit eines passiven Fehlers bei Anforderung, LDU ist die Fehlerrate gefährlicher, unentdeckter Fehler, und Ti steht für das Prüfintervall in Stunden (8760 h/a). Der Lambda-Wert LDU ist dabei ein Indikator für die Qualität eines Gerätes. Je größer der Wert für LambdaDU, desto höher ist die Wahrscheinlichkeit, dass das Gerät dann gefährlich ausfällt, wenn es benötigt wird (passiver Fehler). Und hier beginnen die Schwierigkeiten mit der Annahme von Typicals: Um den rechnerischen Nachweis zu vereinfachen und den LambdaDU-Wert für jedes möglicherweise einzusetzende Gerät nicht mühsam einzeln recherchieren zu müssen, wurden unter anderem in der NE 130 für jede Geräteklasse Typicals festgelegt, bei denen in der Regel Werte herangezogen werden, die alle verfügbaren Geräte abdecken.

„Bei diesem Ansatz werden aufwendig entwickelte gute Geräte mit den Schlechtesten in einen Topf geworfen“, kritisiert Wolfgang Perenthaler, Produktmanager beim Füllstand- und Druckmessgerätespezialisten Vega, den Ansatz: „Typicals sind kein Ansporn für die Hersteller, einen hohen Entwicklungsaufwand zu betreiben.“ Was im Planungsprozess und im Engineering den Rechercheaufwand senkt, hat im Betrieb negative Konsequenzen: Denn nach der Berechnungsformel für den PFD des SIS lässt sich ein schlechter LambdaDU-Wert nur durch kürzere Prüfintervalle ausgleichen. In der Praxis kann dies aufwendige Prozeduren wie das Befüllen und Entleeren von Behältern und entsprechende Produktionsunterbrechungen nach sich ziehen.

Längere Prüfintervalle mit
hochwertigen Geräten

„Die Werte unserer Geräte sind zum Teil um den Faktor zehn besser als die in den Typicals angenommenen Werte“, erläutert Perenthaler und verdeutlicht an einem Beispiel: „ Ein großer Ölkonzern in Holland geht davon aus, dass aufgrund der niedrigen LambdaDU-Werte unserer Vegaswing-Vibrationsgrenzschalter über deren Lebenszeit überhaupt nicht geprüft werden muss. Nach Typicals-Berechnung und Selbstrestriktion in Teilen der Namur werden aber Prüfintervalle von einem Jahr gefordert.“ Dabei geht der Trend auch in Konti-Anlagen der Chemie hin zu Revisions- und Prüfzyklen von fünf und mehr Jahren. Und: Hatte nicht die Weiterentwicklung der Sicherheitsnormen gerade zum Ziel, die Prüfzyklen zu flexibilisieren?

Perenthaler plädiert deshalb für eine differenzierte Betrachtung der tatsächlich eingesetzten Geräte: „Der Blick auf die Prüf- und Revisionszyklen zeigt, dass sich der Einsatz hochwertiger Geräte im Betrieb auszahlt.“ An der NE 130 kritisiert er, dass diese die aufwendige Geräteentwicklung nach IEC 61508 nur mit einem halben Jahr kürzerer Erprobungsphase berücksichtigt und die Proven-in-use-Geräte der Hersteller gar nicht berücksichtigt.

Die Entwicklung nach IEC 61508 sowie das Konzept der Betriebsbewährtheit sollen sicherstellen, dass systematische Fehler im Entwicklungsprozess der Geräte vermieden werden und verbleibende Fehler möglichst in ersten Anwendungsversuchen entdeckt werden.

Allerdings macht die NE 130 keine Aussagen über die Nutzungsdauer von Sicherheitseinrichtungen. Dabei folgt die Ausfallwahrscheinlichkeit eines Gerätes der typischen Badewannenkurve: Danach ist die Wahrscheinlichkeit eines Ausfalls in der Planungs- und Inbetriebnahmephase deutlich höher, als in der Betriebsphase, in der es allenfalls zu Zufallsausfällen kommen kann. „Die IEC geht von einer Minderung des PFD nach acht bis zwölf Jahren aus, danach steigt theoretisch die Ausfallwahrscheinlichkeit aufgrund von Alterung und Verschleiß wieder an“, konkretisiert Perenthaler. Doch erreicht wird diese Lebensdauer nur dann mit hoher Wahrscheinlichkeit, wenn qualitativ hochwertige Geräte (niedrige LambdaDU-Werte) eingesetzt werden.

Um den Anlagenbetreibern den Betrieb von Sicherheitseinrichtungen zu erleichtern, hat sich der Hersteller auf die Fahnen geschrieben, den Funktionstest zu vereinfachen. In der Regel muss zum Nachweis der Funktion in einer solchen Anwendung der Sensor mit Medium angefahren oder ausgebaut werden. Ein Prozess, der bei laufender Produktion meist nicht möglich ist. Zudem ist diese Art der Prüfung oft sehr kostenintensiv, und eine Befüllung bis zum Überfüllsicherungspunkt zum Nachweis der Sensorfunktion birgt zudem Risiken. Während die Prüfung per Knopfdruck für Vibrations-Grenzschalter bereits etabliert ist, war dies für kontinuierlich messende Füllstandsensoren bis vor Kurzem nicht ohne Einfluss auf den laufenden Prozess und ohne Referenzmessung möglich. Mit der neuen Prüfmethode für die SIL 2 qualifizierten Geräte Vegaflex (Geführte Mikrowelle) und Vegapuls (Radar) kann nun ein „wiederkehrender Funktionstest“ für SIL-Applikationen durchgeführt werden, ohne den laufenden Prozess zu beeinflussen. Dadurch werden Prüfaufwand und -kosten deutlich reduziert. Laut Hersteller beträgt der Anteil der, bei der Prüfung unentdeckten Fehler, lediglich 13 FIT. Dies entspricht einer prozentualen Fehleraufdeckungsrate von 92 % bzw. 96 %. Berechnet man den gefährlichen Ausfall eines SIL-2-SIS, so erhält man bei jährlicher Prüfung einen Maximalwert von ca. 2.800 FIT. Der ungeprüfte, verbleibende gefährliche Fehler von 13 FIT entspricht somit weniger als 0,5 % des gesamten SIS. Die Methode der Funktionsprüfung besteht im Wesentlichen aus

  • einem Neustart des Sensors
  • der Simulation von 4 mA und 20 mA
  • der Überprüfung der Parametrierung und Echodaten
  • dem Verfolgen einer undefinierten Befüllung oder Entleerung.

Außerdem will der Hersteller im kommenden Jahr erste kontinuierlich messende SIL-2-Geräte zur Marktreife entwickeln, die über per Software gestartete Checksysteme verfügen. Die Prüfergebnisse werden dann intern protokolliert (verifying and lock) und können vom Gerät ausgegeben und so einfach den Prüfberichten für das SIS beigefügt werden.

SIL in Zukunft gegen Bares

Dass die Entwicklung von SIL-qualifizierten Geräten und ausgefeilten Testprozeduren für SIL-qualifizierte Geräte für die Anwender nicht zum Nulltarif zu haben ist, dürfte kaum verwundern. Bislang bietet der Hersteller seine SIL-qualifizierten Geräte mit der Option an, dass der Anwender selbst die SIL-Funktion per Schalter aktivieren kann. Doch dies birgt Risiken für Handhabungsfehler. Deshalb sollen SIL-qualifizierte Geräte künftig nur noch als solche bestellbar sein. „Aufgrund der Sicherheit und des Mehraufwandes wird die SIL-Qualifikation in Zukunft mit einem Aufpreis belegt werden müssen“, erklärt Perenthaler und verdeutlicht, dass man bei Vega in Zukunft zunächst bewerten wird, ob sich der Aufwand einer Entwicklung nach IEC 61508 für bestimmte Gerätefamilien überhaupt rechtfertigt: „Es gibt Messprinzipien, von denen wir glauben, dass sie keine SIL-Eignung brauchen. Dazu gehört zum Beispiel die kontinuierliche kapazitive Füllstandmessung.“

Fazit: Der SIL-Nachweis mit Typicals, wie sie in NE 130 definiert sind, hat seine Tücken. Einerseits vereinfacht die Methode den Aufwand im Engineering, andererseits führt sie aufgrund der Annahme schlechterer Zuverlässigkeitswerte zu kürzeren Prüfintervallen, was zu Lasten der Anlagenverfügbarkeit geht. Hier kann sich der Einsatz hochwertiger Geräte und die Nachweis-Rechnung mit den tatsächlichen LambdaDU-Werten auszahlen.

SIL-Nachweis
Lambda-Wert – was ist das?
Lambda-Werte sind ein Maß für die Zuverlässigkeit von Sicherheitseinrichtungen. Sie werden als „Failure In Time“ (FIT) angegeben. Ein FIT entspricht einer Ausfallwahrscheinlichkeit von einem Fehler in 1.000.000.000 Stunden, d.h. im Umkehrschluss 10–9 Fehler pro Stunde. Je höher der FIT-Wert ist, desto höher ist die Ausfallwahrscheinlichkeit. Für die Bewertung der Zuverlässigkeit eines Gesamtsystems werden die FIT-Werte aller Einzelkomponenten zu einem Gesamtwert des SIS berechnet.

Interview mit Günter Kech, Geschäftsführer Vega
„Überreaktionen vermeiden“

CT: In den vergangenen Jahren haben Sie das Plics-Geräteprogramm stetig ausgebaut. An welchen Entwicklungen arbeitet Vega derzeit?
Kech: Unsere Themen sind nach wie vor Füllstand und Druck. Derzeit arbeiten wir an einer neuen Gerätegeneration die erweiterte Funktionen für das Asset Management enthalten wird. Dazu gehört ein Speicher mit Echtzeituhr, mit dem Ereignisse protokolliert werden können. Außerdem achten wir darauf, dass die Kunden immer ein mit der Vorgängerversion kompatibles Gerät bekommen und nichts umstellen müssen. Insgesamt stellen wir fest, dass das Asset Management an Bedeutung gewinnt.

CT: Welche Bedeutung hat die Geräteentwicklung nach DIN EN 61508 bzw. die SIL-Thematik?
Kech: Die aktuellen Geräte werden nach SIL-Anforderungen entwickelt. Allerdings bedeutet dies einen größeren Aufwand für Hard- und Software. Doch nicht überall werden SIL-Eigenschaften verlangt – und dort eckt man als Anbieter dann mit dem höheren Preis der SIL-Geräte an. Deshalb stellen wir uns schon die Frage, ob wir in Zukunft alle Geräte nach SIL entwickeln werden.

CT: Findet die Differenzierung nach SIL und Nicht-SIL bei Ihren Kunden in der Chemie statt?
Kech: Das hängt davon ab, wer bei der Entscheidung das Sagen hat: Der Einkäufer oder der Techniker? Wir sehen schon einen Trend dahin, das zu kaufen, was tatsächlich benötigt wird. Wir bei Vega meinen, wenn man SIL macht, dann sollte man auch alle möglichen Fehler abfangen.

CT: Der ZVEI hat zur Hannover Messe über das Problem der Bauteilverknappung nach den Erdbeben in Japan berichtet. Wie stellt sich die Situation für Sie dar?
Kech: Das sehen wir ebenfalls mit Sorge. Wir haben zwar einen hohen Lagerbestand im Bereich der Bauelemente, weil wir seit jeher wissen, dass dieses Geld als Sicherung unserer Lieferfähigkeit gut angelegt ist, aber das derzeitige Wachstum – wir erwarten 2011 rund 10 Prozent Steigerung im Vergleich zum bisher besten Jahr 2008 – in Kombination mit den Ereignissen in Japan könnte gegen Jahresende zu Engpässen führen. Unsere Entwicklung arbeitet bereits daran, auch Leiterplatten zu ändern, wenn weder das Originalbauteil noch baugleiche Alternativen verfügbar sind.

CT: Welche Lehre hat Vega aus der Krise gezogen?
Kech: Krisen werden in Zukunft schneller kommen und – das muss ich jetzt auch glauben – werden auch wieder schneller gehen. Ich rechne mit kürzeren und heftigen Schwankungen. Wir sind gefordert, Überreaktionen zu vermeiden und die Firma so aufzustellen, dass sie in solchen Zeiten auch mit weniger Aufträgen oder im anderen Fall mit mehr Aufträgen gut arbeitet. Der Schlüssel dazu sind engagierte Mitarbeiterinnen und Mitarbeiter und eine berechenbare Firmenpolitik.

Heftausgabe: Juli 2011

Über den Autor

Armin Scheuermann, Redaktion
Loader-Icon