Arbeits- und Prozesssicherheit in der Instrumentierung

Wie installiert man ein Durchflussmessgerät richtig? Von der Antwort auf die Frage hängt ab, ob Messungen im Betrieb das richtige Ergebnis zeigen. Und von richtigen Messungen wiederum hängt nicht nur die Produktqualität ab, sondern diese können auch die Prozesssicherheit bestimmen. Im Extremfall kann es dazu kommen, dass Behälter überfüllt werden oder Mischungsverhältnisse bei der Produktion nicht stimmen und es zu Fehlchargen kommt.

Typische Fragestellungen sind beispielsweise: Werden die Ein- und Auslaufstrecken eingehalten? Was ist nach einem T-Stück zu beachten? Kann es zu teilgeführten Rohrleitungen oder Kavitation nach Ventilen oder bei Pumpen kommen? Und wie werden beispielsweise Clamp-on-Geräte korrekt mit Bändern an der Rohrleitung befestigt? Allesamt Fragen, von denen eine korrekte Messung abhängt.

Bei Krohne ist man deshalb seit einigen Jahren dazu übergegangen, für die Installation von Geräten Video-Anleitungen anzubieten. Die „ICV“ genannten kurzen Erläuterungsfilme decken dabei den kompletten Lifecycle ab: vom Auspacken der Geräte über die mechanische und elektrische Installation bis zur Inbetriebnahme und Verifikation.

„Der häufigste Grund für Sicherheitsprobleme beim Umgang mit Prozessmessgeräten sind systematische Fehler“, weiß Lothar Gellrich, Vice President Operational Marketing bei Krohne. Und das fängt bei der Auswahl des richtigen Messgeräts für die Anwendung an: Stimmen Messprinzip, -bereich und Material für die Anwendung? Sind Druckschläge oder Korrossionsangriffe zu erwarten? Wie ist es um den sekundären Schutz bestellt, falls nach einem Defekt am Prozessanschluss Medium in das Gerätegehäuse eindringt? Und schließlich eben die Frage, ob das Messgerät überhaupt richtig installiert ist.

Mit einer umfassenden Kampagne zu allen Aspekten der Anlagensicherheit rückt der Hersteller das Thema „Sichere Instrumentierung“ zur Achema in den Mittelpunkt: von der funktionalen Sicherheit über den Explosionsschutz, Aspekte der Cybersecurity bis hin zur Vermeidung von Arbeitsunfällen. Dabei spielt vor allem die Situation des Nutzers eine wesentliche Rolle, beispielsweise bei der Frage, wie einfach die Kalibrierung eines Temperatursensors ist. Muss dieser zur Kalibrierung aus der Anlage genommen werden, dann entsteht ein vergleichsweise hoher Aufwand: Die Anlage muss abgeschaltet oder zumindest die Leitung, in die der Sensor eingebaut ist, per Bypass umgangen werden. Dennoch bleibt das Risiko von Leckagen und dem Kontakt des Wartungspersonals mit gefährlichen Medien. Welche Fehler bei der Planung, dem Betrieb und der Wartung von Temperatursensoren zu vermeiden sind, erklärt der Hersteller seinen Kunden deshalb in einem im Web abrufbaren E-Learning-Webinar.

Eine Alternative dazu ist beispielsweise die In-Situ-Kalibrierung, für die Krohne spezielle Schutzrohre für die Sensorelemente anbietet: Diese verfügen über zwei Öffnungen, sodass das Kalibriernormal im eingebauten Zustand in dasselbe Schutzrohr eingeführt werden kann. Auf diese Weise lassen sich Kalibriersignal und Temperatursignal auch im eingebauten Zustand vergleichen. „Dadurch ist das Kalibrieren sicherer, und wenn der Vorgang einfacher und sicherer ist und gleichzeitig weniger aufwändig, dann wird auch häufiger kalibriert“, berichtet Gellrich.

„Auch ein sicherer oder gesicherter Messwert ist wesentlich für einen sicheren Prozess“, erläutert Gellrich. Nur wenn korrekte Messwerte vorliegen, kann ein Produktionsprozess so geführt werden, dass einerseits die Produktqualität stimmt und andererseits keine gefährlichen Situationen auftreten. Um dies beispielsweise für Druckmessungen sicherzustellen, treibt der Hersteller bei der Geräteherstellung mit einer „3D-Linearisierung“ genannten Methodik einen erheblichen Aufwand: Die Geräte zur Druck- und Differenzdruckmessung werden nicht nur bei einer Temperatur und einem statischen Druckwert über den gesamten Messbereich linearisiert, sondern bei jeder theoretisch erdenklichen Konstellation. Dadurch wird sichergestellt, dass der Messumformer für jeden möglichen Prozesszustand korrekt linearisiert ist und stets die richtigen Messwerte liefert.

Zum Erfahrungsschatz des Feldgeräteanbieters gehört auch die Erkenntnis, dass in der betrieblichen Praxis meist systematische Fehler zu gefährlichen Zuständen führen, beispielsweise wenn das falsche Schutzrohr ausgewählt oder dieses nicht richtig berechnet wurde. Ragt zum Beispiel der Sensor nicht weit genug in das Schutzrohr, wird systematisch eine zu niedrige Temperatur angezeigt. Und das kann gravierende Konsequenzen für die Prozesssicherheit haben. Aber auch im Betrieb passieren systematische Fehler, die zum Beispiel bei der Wartung entstehen können.

Sicherheitskreise – landläufig auch „PLT-Schutzfunktionen“ genannt – bilden da leider keine Ausnahme. Für diese werden im Rahmen des SIL-Nachweises zwar Ausfallwahrscheinlichkeiten berechnet und regelmäßig Tests durchgeführt, doch auch hier sind es meistens die systematischen und in der Regel menschlichen Fehler, die dann zum Ausfall führen.

Warum das so ist, verdeutlicht das Beispiel einer Überfüllsicherung an einem Behälter, in dem eine wassergefährdende Flüssigkeit gelagert wird: Diese muss regelmäßig einem Proof Test unterzogen werden. Wie häufig das zu geschehen hat, folgt aus der PFD-Berechnung (PFD = Gefährliche Versagenswahrscheinlichkeit im Anforderungsfall) bei der Auslegung des Sicherheitskreises. Wie aussagefähig der Test ist, wird wiederum rechnerisch nachgewiesen: Der PTC-Wert (Proof Test Coverage) gibt dazu an, wie hoch der Anteil möglicher Fehler ist, die bei einem Proof Test entdeckt werden. Wird der Sensor ausgebaut und auf Herz und Nieren gecheckt, kann in der Regel eine PTC von 97 bis 99 % erreicht werden. Doch der Aufwand für diesen Voll-Test ist hoch.

Für Stellungsregler wird deshalb seit Jahren die Methode des Teilhubtests (Partial Proof Test) angewendet. Weil der Test nicht alle möglichen Fehler abdeckt, wird zwar kein PTC von 99 % erreicht, dennoch lassen sich über den Teilhubtest viele mögliche Fehler ausschließen. Was für Aktoren gilt, lässt sich natürlich auch auf Betriebsmessgeräte in Sicherheitskreisen anwenden. Viele Feldgeräte verfügen bereits über umfangreiche Eigendiagnose-Funktionen und führen automatische Tests durch. „Mit der Gerätediagnose lassen sich in der Regel 95 % aller möglichen Fehler erkennen“, erläutert Gellrich. Für die verbleibenden fünf Prozent wird es allerdings tricky. Denn um diese herauszutesten, muss der Anwender in der Regel vor Ort gehen, das Gerät vom Sicherheitskreis abklemmen, in einen Simulationsmodus versetzen und vom Gerät simulierte Stromsignale mit deren Sollwert vergleichen. „Laut TÜV Rheinland beruht ein Drittel aller Gerätefehler auf falschen Stromwerten und 40 % der Fehler werden bei einem Geräte-Neustart vom Selbsttest erkannt“, erklärt Gellrich. Bei Coriolis-Durchflussmessgeräten lässt sich zudem noch die Dichtemessung für den Gerätetest heranziehen, sodass im günstigsten Fall eine Prüftiefe von 77 % erreicht wird.

Das Problem dabei ist wiederum der Faktor Mensch: Immer wieder kommt es vor, dass bei solchen Tests Geräte nicht mehr aus dem Simulationsmodus zurück in den SIL-Betriebsmodus geschaltet werden. Dazu kommen Verdrahtungsfehler im Anschluss an die Prüfung. „Es stellt sich also die Frage, ob der manuelle Teiltest das Ausfallrisiko nicht sogar erhöht“, gibt Gellrich zu bedenken: „Die Wahrscheinlichkeit, dass der Operator beim Testen einen Fehler macht, ist weitaus größer als die, dass ein Gerät aufgrund eines Gerätefehlers ausfällt.“

Aber warum überhaupt den Aufwand für Teiltests betreiben, wenn damit lediglich die nach der Gerätediagnose verbleibenden 5 % möglicher Fehler erkannt werden? Schließlich wäre meist auch ohne Teiltest ein statistisch sicherer Betrieb der Schutzfunktion über 5 bis 10 Jahre möglich – in der Regel also länger als die Anlagen-Revisionszyklen. Für Lothar Gellrich ist die Antwort klar: „Jeden Sicherheitsgewinn, den man mit vertretbarem Aufwand erreichen kann – auch wenn man ihn rechnerisch nicht braucht – sollte man nutzen.“ Auch deshalb schlägt der Anwenderverband Namur im Arbeitsblatt NA 106 vor, bis zur Revision oder zum Geräte-Volltest, für den ein Ausbau notwendig wird, möglichst viele Teiltests zu machen, um das Risiko zu minimieren. Die NA 106 schlägt dazu verschiedene Testroutinen vor, die in starker Abhängigkeit der Anwendung beispielsweise so aussehen können:

• ein Partial Proof Test, der auf einer visuellen Inspektion und einem Teiltest ohne Abklemmen des Geräts rund 50 % Prüftiefe liefert,
• ein Partial Proof Test, bei dem das SIL-Gerät abgeklemmt wird, der Prozess aber ohne Unterbrechung weiterläuft (Prüftiefe 70 bis 80 %) und
• ein Full Proof Test, für den der Prozess gestoppt und das SIL-Gerät ausgebaut werden muss und der einen PtC-Wert von 97 bis 99 % liefert.

Während NA 106 feste Testintervalle vorschlägt, empfiehlt der Gerätehersteller, im letzten Jahr vor dem Volltest häufiger Teiltests durchzuführen, da die Ausfallwahrscheinlichkeit mit der Zeit steigt.

Um diese menschlichen Fehler zu vermeiden, hat Krohne gemeinsam mit dem Sicherheitssteuerungs-Hersteller Hima eine Möglichkeit entwickelt, um den Teiltest zu automatisieren. Dabei nutzen die Hersteller eine Besonderheit ihrer Geräte bzw. der Steuerung: Die SSPS Himax kann den Hart-Kanal, der im SIL-Modus normalerweise abgeschaltet ist, aktivieren. Anschließend nimmt die Sicherheitssteuerung das Feldgerät über das Hart-Protokoll aus dem SIL-Modus und schaltet dieses temporär in den Simulationsmodus und vergleicht Soll- und Ist-Wert des 4…20-mA-Signals. Zum Schluss wird das Gerät wieder automatisch in den SIL-Modus geschaltet, neu gestartet und ggf. der Hart-Kanal wieder deaktiviert. Die Ergebnisse des Tests werden dokumentiert.

Möglich ist dies allerdings nur bei Geräten, die Hart-Befehle im SIL-Modus zulassen. Damit die Hart-Kommunikation beim automatischen Teiltest nicht kompromittiert werden kann, sichert die SSPS die Gerätekonfiguration und stellt Abweichungen fest. Damit wird ein wesentlicher Kritikpunkt der Hart-Kommunikation mit SIL-Geräten ausgeräumt: Im Gegensatz zum klassischen Aufbau, bei dem das Hart-Signal über einen Multiplexer läuft, der zum Beispiel an ein Asset-Management-System angeschlossen ist, läuft die Kommunikation nur zwischen SSPS und Feldgerät. Während über Asset-Management-Stationen Hackerangriffe nicht ausgeschlossen werden können, ist diese Gefahr bei Sicherheitssteuerungen nahezu ausgeschlossen. Auf der Achema wird diese Möglichkeit mit einem Demonstrator gezeigt. Der Demonstrator hat dabei je zwei Regel- und Sicherheitskreise. In den Sicherheitskreisen sind Füll- und Grenzstandmessgeräte (Optiflex 7200, Optiswitch) sowie Durchflussmessgeräte (Optiflux 4400) mit der Teiltest-Funktion sowie Sicherheitssteuerungen (Himax) verbaut. Als Controller kommt ein PLC next-Gerät sowie ein Relais von Phoenix Contact und ein Absperrventil von Samson zum Einsatz.

Gemeinsam mit Phoenix Contact realisiert der Messgeräteanbieter zudem auch Lösungen zur Cybersecurity: die sichere Datenübertragung und auch die sichere Datenhaltung. Bereits vor einigen Jahren hatte der Hersteller zudem eine sichere Bluetooth-Verbindung für die Kommunikation mit den eigenen Coriolisgeräten (Opticheck Mobile) entwickelt.

Auch diese Maßnahmen sind Teil des Konzepts „Sichere Instrumentierung“. Hinzu kommt beispielsweise für die Coriolisgeräte ein Gehäusekonzept, mit dem auch bei einer Sensorhavarie der Austritt von Medium durch das Gehäuse des Messumformers verhindert wird.
Fazit: Das Thema Sicherheit bei der Instrumentierung von Prozessanlagen hat viele Facetten und geht weit über die funktionale Sicherheit hinaus. Systematische Fehler stellen sowohl bei der Planung, beim Betrieb und bei der Wartung von Messstellen eine wesentliche Einflussgröße dar, die sich durch Schulung, clevere (Video-)Anleitungen sowie automatisierte Testverfahren vermeiden lassen.

Achema 2022, Halle 11.1 – C14, C2a, G4