- In der Risikoanalyse sind die Auswirkungen jeder Gefahrensituation zu benennen. Es ist anzugeben, ob Personen zu Schaden kommen können. Außerdem werden die Häufigkeit und die Wahrscheinlichkeit eines Ereignisses berücksichtigt.
- Die DIN EN 61511–3 führt verschiedene Verfahren zur Risikoanalyse auf.
- Ein Sicherheitsteam kann anhand eines Risikografen den SIL bestimmen.
- Im Rahmen der sicherheitstechnischen Funktion tragen alle Geräte mit ihrer Ausfallwahrscheinlichkeit (PFD) zur Gesamt-Ausfallwahrscheinlichkeit der kompletten Signalkette bei.
Wenn Verfahrenstechniker, Sicherheitsfachleute und Ingenieure eine Gefährdungs- und Risikobeurteilung durchführen, dann müssen sie sich mit der Frage befassen, ob von der Anlage eine Gefahr für den Menschen ausgeht und ob diese Gefahr auch oder gerade deshalb besteht, weil dort explosionsfähige Stoffe verarbeitet werden oder im Produktionsprozess auftreten können. Sowohl für die Betrachtung des Explosionsschutzes als auch des SIL gibt es zur Risikoanalyse eine definierte Vorgehensweise. In der Praxis werden beide Betrachtungen gemeinsam vorgenommen. Das Ergebnis ist die Bestimmung des „prozesstechnischen Risikos“ sowie die Festlegung, wie groß die notwendige Risikominimierung ausfallen muss, um die Gefährdung auf ein tolerierbares Maß zu reduzieren. Die betrieblichen Überwachungseinrichtungen, beispielsweise Prozessalarme, werden bei der Beurteilung des „prozesstechnischen Risikos“ bereits vorausgesetzt.
Im Bereich des Explosionsschutzes können über konstruktive Mittel, die geeignete Zündschutzart sowie die Vermeidung einer wirksamen Zündquelle Schutzmaßnahmen zur Risikominderung ergriffen werden. Bei der Verwendung oder Entstehung brennbarer Stoffe und Materialien ist zu prüfen, ob eine „gefährliche explosionsfähige Atmosphäre“ entstehen kann. Schließlich müssen die gefährdeten Bereiche nach Häufigkeit und Wahrscheinlichkeit in Zonen eingeteilt werden. Diese Feststellungen fließen mit den weiteren Risiken, die sich aus dem Prozess ergeben, in die Risikoanalyse ein und bilden mit den daraus abgeleiteten Maßnahmen die Ausgangslage für die Bestimmung des Safety Integrity Levels (SIL).
Risikominderung durch sicherheitsgerichtete Systeme
In der Risikoanalyse sind die Auswirkungen jeder Gefahrensituation zu benennen. Es muss angegeben werden, obPersonen zu Schaden kommen können. Ferner werden auch hier die Häufigkeit und die Wahrscheinlichkeit eines Ereignisses berücksichtigt. Die DIN EN 61511–3 führt verschiedene Verfahren zur Risikoanalyse auf. Ist der SIL festgelegt, lassen sich geeignete Maßnahmen zur Risikominderung ergreifen. In prozesstechnischen Anlagen werden hierzu sicherheitsgerichtete Systeme (SIS) errichtet, in denen jede sicherheitstechnische Funktion im Fehlerfall einen„sicheren Zustand“ herbeiführt. Die im SIS verwendeten Komponenten müssen ebenfalls dem jeweiligen SIL entsprechen und im Fehlerfall in einen sicheren Zustand übergehen. Zum Zeitpunkt einer ersten vorläufigen Gefahren- und Risikoanalyse hinsichtlich des SIL schreibt die DIN EN 61511–2 vor, dass durch „Anwendung des Prinzips der Eigensicherheit … Gefährdungen ausgeräumt oder so weit wie möglich reduziert wurden“. Daher können die Aktivitäten, die aus der Risikoanalyse zum Explosionsschutz resultieren, nicht automatisch zur Risikominderung durch ein SIS beitragen. Anders sieht der Fall aus, wenn sie gleichzeitig eine sicherheitstechnische Funktion (SIF) ausüben und als solche als SIS oder Teil des SIS zu betrachten sind. Alarmkonzepte unterstützen bei der Aufdeckung der während des Prozesses auftretenden gefährlichen Fehler. Der Alarm kann dabei zur ohnehin geplanten Überwachungsebene gehören oder er trägt als sicherheitstechnische Funktion im Sinne der DIN EN 61511 zur Reduzierung des Risikos im SIS bei.
Ausgangssituation zur Risikoabschätzung in einer Dispersionsanlage
An einem Beispiel sollen die Ex- und SIL-Maßnahmen erläutert werden. In der Anwendung werden verschiedene Stoffe in einer Dispersionsanlage gemischt. Die Maschine, die sich in einem separaten Raum befindet, verarbeitet auch Lösungsmittel mit anderen chemischen Substanzen. Auf der Ebene der Überwachungseinrichtungen sind Prozess-alarme vorgesehen. Um sicherzustellen, dass der Behälter stets gemäß den Pro-zessanforderungen befüllt ist, werden Sensoren zur Füllstandsmessung installiert. Da Behälter, Zu- und Ablauf sowie die weitere Verrohrung nicht über Flansche oder sonstige potenzielle Austrittsstellen für explosionsfähige Stoffe verfügen, ist die Anlage „technisch dicht“. Allerdings sind Einfüllstutzen vorhanden, Defekte in den Pumpen sowie Leckagen in den Zu- und Abläufen sind möglich. Schließlich muss sich gelegentlich ein Mitarbeiter zum Befüllen und Reinigen des Behälters im Gefahrenbereich aufhalten. Beim Anliefern des Materials könnte die Anlage zudem durch einen Gabelstapler beschädigt werden. Vor diesem Hintergrund erfolgt die Festlegung des „prozesstechnischen Risikos“, des tolerierbaren Risikos und der Maßnahmen zur Risikominderung.
Alarmkonzept überwacht Füllstand und Gaskonzentration
Um das Explosionsrisiko zu reduzieren, ist der Bereich rund um den Einfüllstutzen als Ex-Zone 1 festgelegt worden.Detektoren messen die Konzentration gefährlicher Gase in der Umgebung des Behälters, um die Abluft über die eingebaute Absauganlage regeln zu können. Da nicht auszuschließen ist, dass die Gase im Ausnahmefall eine gefährliche explosionsfähige Atmosphäre erzeugen, ist der Produktionsraum als Ex-Zone 2 ausgelegt. Alle Geräte sollen gemäß DIN EN 60079–11 „Eigensicherheit“ zertifiziert sein, ausgenommen der Motor, für den die DIN EN 60079–7 „Erhöhte Sicherheit“ anzuwenden ist. Alle Füllstandsensoren nehmen ihren Wert aus Zone 0 auf. Je nach Bauart bedeutet das eine Zertifizierung Ex II 1 G Ex ia. Sämtliche in Ex-Zone 1 um den Einfüllstutzen montierten Geräte und die Ventile im Zulauf müssen mindestens Ex II 2 G Ex ib erfüllen, während für die anderen Geräte in Zone 2 mindestens Ex II 3 G Ex n nach DIN EN 60079–15 oder besser ebenfalls Ex II 3 G Ex ic gemäß DIN EN 60079–11 sinnvoll ist. Darüber hinaus sind weitere eigensichere Sensoren am Behälter installiert, die den maximalen und minimalen Füllstand anzeigen.
Das Alarmsystem meldet einen Voralarm, wenn der maximale Füllstand überschritten wurde. In der Folge schließt der Zulauf und der Austritt gefährlicher Stoffe wird verhindert. Wird der minimale Füllstand unterschritten, schaltet der Motor ab und ein Trockenlaufen wird verhindert. Die Wärmeentwicklung könnte sonst zur Zündung führen. Meldet der Detektor eine leichterhöhte Gaskonzentration, fährt die Lüftung hoch. Außerdem fordert ein akustischer Alarm das Bedienpersonal zum Verlassen des Raums auf und warnt vor dem Betreten. Ein Hauptalarm tritt ein, sofern der Detektor die Konzentration eines gefährlichen Gases feststellt, die oberhalb der unteren Zündschutzgrenze liegt. Zur Gefahrenprävention wird die Anlage nun spannungslos geschaltet und die Lüftung verstärkt. Eine Blitzleuchte warnt das Bedienpersonal akustisch und optisch.
Risikoabschätzung am Risikografen
Auf Basis dieser Ausgangslage erstellt das Sicherheitsteam nun einen Risikografen zwecks Bestimmung des SIL. Die Auswirkung (C) im gewählten Beispiel kann der Tod mehrerer Personen sein. In der Regel hält sich nur ein Mitarbeiter im explosionsfähigen Bereich auf, dennoch könnten im Fehlerfall mehrere Personen zur Fehlerbeseitigung anwesend sein oder durch eine Explosion eine zweite größere ausgelöst werden. Das bedeutet eine Einstufung in Cc. Die Anwesenheit von Personen ist aber eher selten (FA). Die Anlage wird durch geschulte Mitarbeiter überwacht, doch das anwesende Bedienpersonal kann ausströmende Gase unter Umständen nicht bemerken und nicht zuverlässig einschätzen, ob sich ein explosionsfähiges Gemisch in einer Gefahr drohenden Menge gebildet hat und die Gefahr durch manuellen Eingriff abwendbar ist (PB). Das hätte eine Einstufung nach SIL 3 zur Folge. Da aber durch die bereits getroffenen Maßnahmen unter anderem zum Explosionsschutz die Eintrittswahrscheinlichkeit gering ist, reicht SIL 2 aus.
Aufgrund des Ergebnisses müssen zur weiteren Risikominimierung die Anforderungen für SIL 2 erfüllt werden. Entsprechende Komponenten sollen dafür Sorge tragen, dass die Anlage bei einergefährlichen Situation in den „sicheren Zustand“ übergeht. Dazu sind die Maßnahmen eines Hauptalarms und des Voralarms als sicherheitstechnisches System mit einzelnen Funktionen zu konzipieren. Außerdem wird ein Strömungssensor eingebaut, der die Funktionsfähigkeit der Absauganlage überprüft. Jede einzelne sicherheitstechnische Funktion muss mindestens die Anforderungen gemäß SIL 2 einhalten. Im Rahmen der sicherheitstechnischen Funktion tragen alle Geräte mit ihrer Ausfallwahrscheinlichkeit (PFD) zur Gesamt-Ausfallwahrscheinlichkeit der kompletten Signalkette bei. Bei Alarmfunktionen ist die Anforderung „low demand“ an die Geräte mit der ermittelten Ausfallwahrscheinlichkeit PFD zuzüglich der einzuhaltenden Fehlerraten ausreichend. Bei SIL 2 und einem einfachen Aufbau bedeutet dies ein Verhältnis von ungefährlichen Fehlern zu den insgesamt möglichen Fehlern von 60 bis 90%.
Umsetzung von SIS
Die Flexibilität bei der Planung eines SIS inklusive Explosionsschutz erhöht sich zunehmend. Mit der Produktfamilie Contactron im Bereich der Leistungselektronik (Motormanagement) oder den steckbaren Modulen PI-Ex als Ex-i-Trennern mit Beurteilung oder Zertifizierung gemäß SIL 2 oder SIL 3 lassen sich verschiedenste wartungs- und installationsoptimierte Konzepte platzsparend realisieren. Gleiches gilt für die schmale sowie einfach handhabbare Produktfamilie MACX Analog Ex.
