SIL und durch?

Funktionale Sicherheit: Zertifikate schützen nicht vor systematischen Fehlern

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

12.05.2010 Die Annahme, dass der Einsatz von Geräten mit SIL-Nachweis automatisch zu einer sicheren PLT-Schutzeinrichtung führt, ist falsch: Denn neben zufälligen Fehlern gilt es auch systematische Fehler zu beachten. Die Frage ist vergleichsweise simpel: Taugt das ausgewählte Gerät überhaupt für den Einsatzfall? Und wenn nicht, wie kann ein Gerät ohne SIL-Bescheinigung eingesetzt werden?

Entscheider-Facts Für Betreiber


  • Der Einsatz von MSR-Geräten mit SIL-Nachweis führt nicht automatisch zu einer sicheren PLT-Schutzeinrichtung.
  • Bei der Geräteauswahl kommt es darauf an, systematische Fehler zu vermeiden. Dazu gehört vor allem, die Eignung eines Gerätes für den speziellen Anwendungsfall zu prüfen.
  • Auch ein Gerät mit Herstellererklärung oder Zertifikat sollte noch einer anschließenden, üblicherweise verkürzten Betriebsbewährungsphase unterzogen werden.
  • Gibt es für die beabsichtigte Anwendung kein geeignetes Gerät mit SIL-Nachweis, kann der Betreiber auch einen Eigennachweis führen.

Mai 2010

Nicht immer gibt es für kritische Anwendungen, wie zum Beispiel einer Brom-Abfüllung, Geräte mit einem SIL-Zertifikat. Dann bleibt dem Betreiber die Möglichkeit, einen Eigennachweis mit einem geeigneten Gerät zu führen. Bild: Krohne

Sicherheit ist in der Chemie das A und O: Man stelle sich eine Druckabsicherung an einem Reaktor vor: Im Kessel blubbert eine Mischung aus konzentrierter Salz- und Salpetersäure, welche die Grundlage für die Reaktion bildet. Ein PIC-Loop dient dazu, ein Regelventil zu öffnen, um die Reaktion bei einem unzulässigen Druckanstieg per Solekühlung zu unterbinden. Der Sicherheitskreis besteht aus einem Drucksensor, einer Sicherheitssteuerung und der Armatur inklusive Antrieb. Selbstverständlich muss die PLT-Schutzeinrichtung der harmonisierten Norm DN EN 61511-1 entsprechen. Deshalb kommen in der Regel Komponenten zum Einsatz, für die ein SIL-Nachweis vorliegt. Unter anderem Drucksensoren mit nachgewiesener SIL2-Eignung. Problem erkannt und gelöst? Irrtum.

Denn was in der Diskussion um das Thema Funktionale Sicherheit / SIL oft vergessen wird, ist die Forderung, dass auch systematische Fehler vermieden werden müssen. Und diese beginnen bereits bei der Geräteauswahl: Der Drucksensor kann über noch so viele SIL-Stempel und Zertifikate verfügen – bestehen Membran oder andere produktberührte Teile aus z.B. Standard-Edelstahl 1.4571 hilft das alles nichts. Dem korrosiven Angriff von „Königswasser“ ist das Material nicht gewachsen, die Sicherheit des Loops ist dahin.

Einsatzfall beachten!

„Die Anwender schauen häufig auf SIL-bescheinigte Geräte und vergessen den Anwendungsfall“, berichtet Udo Hug, Sachverständiger gemäß BlmSchG aus seiner Beratungspraxis. Und Lothar Gellrich, Leiter Marketingkommunikation beim Messgerätehersteller Krohne, ergänzt: „Es werden immer mehr SIL2-Geräte bestellt, ohne dass der Besteller die konkrete Anwendung nennen kann, in der das Gerät eingesetzt werden soll.“ Die Gefahr besteht darin, dass „durchgerechnete“ Typicals in eine Standardgeräteliste münden und schließlich Geräte quasi blind – und ungeachtet des beabsichtigten Anwendungsfalls – eingesetzt werden. Hug empfiehlt deshalb, zuerst den Anwendungsfall zu betrachten, dann die Anforderungen für das Sicherheitssystem zu prüfen und erst zum Schluss ein entsprechendes Gerät auszuwählen, das dann auch noch über einen SIL-Nachweis verfügt. In der aktuellen VDI/VDE-Richtlinie 2180 „Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik (PLT)“ werden als typische systematische Fehler genannt:

  • Verwendung falsch dimensionierter Bauteile,
  • Verwendung ungeeigneten Materials für den Prozessanschluss oder
  • Softwarefehler beim Einsatz mikroprozessorgesteuerter Geräte.

 

Hier unterscheiden sich auch die Betrachtungen „rechnerischer SIL-Nachweis“ und „Betriebsbewährtheit“. VDI/VDE 2180 stellt dazu fest: „Während der Hersteller des Geräts nur eine Aussage hinsichtlich systematischer Fehler bis zur Schnittstelle zum Prozess machen kann, liefert die Betriebsbewährung des Geräts beim Betreiber auch Aussagen über die Eignung bzw. mögliche systematische Fehler in Verbindung mit bestimmten verfahrenstechnischen Prozessen. Deshalb sollte auch ein Gerät mit Herstellererklärung oder Zertifikat durch eine unabhängige Organisation immer noch einer anschließenden, üblicherweise verkürzten Betriebsbewährungsphase unterzogen werden.“
Es geht also nicht allein darum, für Geräte in PLT-Schutzeinrichtungen die Wahrscheinlichkeit zufälliger Fehler nachzuweisen, sondern vor allem müssen die systematischen Fehler ausgeschlossen werden. Und häufig führt Letzteres dazu, dass sich die Geräteauswahl so stark reduziert, dass keine Lösungen mit entsprechendem SIL-Nachweis am Markt verfügbar sind. So zum Beispiel beim Absichern einer Brom-Anwendung: Das Abfüllen von Brom in Kesselwagen ist eine besonders kritische Anwendung. Um Überfüllung zu vermeiden, wird einerseits der Durchfluss gemessen, andererseits auf einer Waage abgefüllt (diversitär redundante Messung). Das Brom wirkt äußerst aggressiv und korrosiv, derzeit gibt es für diese Anwendung laut Lothar Gellrich kein CoriolisMasse-Durchflussmessgerät mit SIL2-Nachweis, das der Chemikalie standhalten würde.

Eigennachweis einer Durchfluss-Messstelle

Doch das bedeutet nicht, dass es keine Lösung gibt. Was viele Betreiber angesichts der seit einigen Jahren geführten Diskussion um IEC 61508/61511 vergessen: Den Nachweis, dass ein Gerät für eine PLT-Schutzeinrichtung geeignet ist, kann der Betreiber für ein Gerät in solchen Fällen ohne Hersteller-Zertifikat auch selbst führen. Und manchmal – wie im Fall der Bromabfüllung – bleibt dem Betreiber auch gar nichts anderes übrig. „Die Regelwerke lassen auch den Einsatz von Geräten ohne Sicherheitsbescheinigung in einem Sicherheitskreis zu“, bestätigt dazu Udo Hug. In Unkenntnis dessen gehen viele dann den falschen Weg, indem sie u.U. die falschen Geräte (SIL-bescheinigte Geräte) einsetzen. Der Anwender ist aber gefordert die zufälligen Fehler korrekt zu bewerten. Die nötigen Lambda DU-Werte dazu erhält er, wenn keine SIL-Bescheinigung vorliegt, z.B. per Eigennachweis durch Betriebsbewährung, wie er detailliert in der Namur-Empfehlung NE 130 beschrieben ist.

Dieser Weg ist für den Betreiber jedoch recht aufwendig, da er eine statistisch belastbare Anzahl von Geräten in der entsprechenden Applikation über einen längeren Zeitraum beobachten und entsprechend bewerten muss. Deutlich einfacher ist es, sich allgemeiner generischer Ausfallraten zu bedienen, wie sie etwa in der Datenbank „Generische Ausfallraten“ von Exida „Reliability Data for Safety Instrumented Systems“ oder der norwegischen Sintef (Oreda) zur Verfügung stehen.
Hier sind für verschiedene Gerätegruppen, wie z.B. Coriolis-Masse-Durchflussmesser oder elektromagnetische Durchflussmesser, entsprechende Lambda-Werte detailliert hinterlegt. Verglichen mit den Ausfallraten, die direkt von den Herstellern in SIL-Bescheinigungen bereitgestellt werden, sind diese Werte in der Regel aber um Faktor 5 bis 10 höher. Der Grund hierfür liegt darin, dass diese generischen Werte Gültigkeit für alle bauartbedingt zugelassenen Geräte haben und über einen entsprechend hohen Sicherheitsfaktor verfügen.
So wird z.B. für einen SIL-zertifizierten Temperaturtransmitter der Firma Krohne ein Lambda DU-Wert von 39 FIT (Failure In Time = 10–9 Fehler/h) angegeben, der entsprechende generische Wert liegt gemäß der oben erwähnten Datenbank bei 300 FIT. Zudem ist vom Betreiber zu beachten, dass die generischen Werte zur Berechnung der Sicherheitskreise nur dann herangezogen werden dürfen, wenn die entsprechenden Auflagen erfüllt werden, d.h. u.a. die vom Gerätehersteller angegeben Einsatzgrenzen eingehalten werden. Für den Sicherheitsnachweis der Schutzeinrichtung wäre also folgende Vorgehensweise gangbar:
Aus der Verfahrenstechnik oder vom Chemiker wird ein PLT-Planer über die Aufgabenstellung und die Eigenschaften des Produktes informiert. Letzterer sucht dann ein geeignetes Messverfahren, z.B. eine Coriolis-Massedurchflussmessung, aus. Findet er – wie z.B. im Fall Abfüllung von Brom – nur ein Messgerät, für das es keinen SIL-Nachweis gibt, muss er für die Beschaffung der Ausfallraten entweder die Eigennachweismethode nach der Namur-Empfehlung NE 130 oder die generischen Werte der Exida Datenbank wählen. „Wichtig ist auch hier, dass der Betreiber die systematischen Fehler ausschließt, indem er die Funktionsweise des Gerätes in einer vergleichbaren Situation über einen längeren Zeitraum überprüft. Weiterhin muss er mit dem Betriebsleiter sprechen, denn der Aufwand für die wiederkehrende Prüfung des Sicherheitskreises wird bei Verwendung von Ausfallraten der Eigennachweismethode oder den generischen Werten aufgrund der deutlich höheren Lambda DU Werte größer sein. Mit der Verfahrenstechnik und dem Maschinenbau wird dann nochmals geprüft, ob Werkstoffe und Konstruktion des Messgerätes für die Anwendung geeignet sind“, erläutert Lothar Gellrich.

Werte für Ausfallraten aus generischen Datenbanken einsetzen

Im Falle der Brom-Abfüllung muss beispielsweise dieser Weg beschritten werden: Um systematische Fehler zu vermeiden, muss man ein Messsystem wählen, das dem aggressiven Medium standhält und Anhaftungen des Mediums verhindert. „Da es für diese Anwendung kein nach SIL zugelassenes Messgerät gibt, kann hier z.B. das Geradrohr-Coriolisgerät Optimass 7300 von Krohne eingesetzt werden“, beschreibt Gellrich. Das Messrohr dieses Geräts besteht aus einer hoch korrosionsbeständigen Legierung aus Tantal und Wolfram, das Medien wie z.B. Salzsäure, Schwefelsäure, Brom, Chlor, Salpetersäure oder Phosphorsäure standhält. Die Geradrohrkonstruktion verhindert dass das zu messende Produkt beim Entleeren im Messrohr verbleibt. Zudem sorgt die druckverlustarme Einschnürung für eine deutlich höhere Fließgeschwindigkeit und verhindert so das Anhaften des Mediums. In einem diversitär redundanten Aufbau und durch den systematischen Vergleich zwischen Durchfluss-Messwerten und Wägeergebnissen über einen längeren Zeitraum kann zudem ein zusätzlicher Eigennachweis für die Ausfallwahrscheinlichkeit geführt werden. Lothar Gellrich empfiehlt im Brom-Beispiel, die Beladung in mehreren Schritten vorzunehmen und jeweils die Messwerte der Wägung mit denen der Durchflussmessung zu vergleichen und zu dokumentieren.

Die Exida Datenbank gibt für Coriolis-Durchflussmessgeräte einen Lambda DU-Wert von 900 FIT an. Einen alternativen Weg zur Eigennachweismethode der NE 130 bietet die VDI/VDE 2180: „Der Betreiber kann für die in seiner Anlage verwendeten Komponenten ohne SIL-Zertifikat eine Betriebsbewährung durch eine von ihm selbst erstellte Betreibererklärung dokumentieren.“ Voraussetzungen dafür sind wie in der NE 130 beschriebenen Methode der Einsatz der Messgeräte in größerer Stückzahl und über einen längeren Zeitraum, eine Störstatistik über die Ausfälle und natürlich die Dokumentation der Anforderungen an die Komponente für diesen Einsatz (Daten- oder Stellenblatt). „Der Betreiber sollte auf diesem Weg auch die Herstellerangaben zu Geräten in der eigenen Anwendung überprüfen“, fordert Hug. Diese Bewertung wird, so Hug, auch von der IEC 61511 gefordert (siehe auch Beitrag „Inbetriebnahme – und dann?“, abrufbar unter www.chemietechnik.de/sil-verifizierung-ueber-den-lebenszyklus/).

Fazit: Um systematische Fehler beim Aufbau von PLT-Schutzeinrichtungen zu vermeiden, reicht es nicht, Geräte mit SIL-Nachweis auszuwählen. Wie bereits vor Einführung der Norm DIN EN 61511 muss zunächst die generelle Eignung eines Gerätes für den beabsichtigten Anwendungsfall – z.B. Korrosionsbeständigkeit, Bauart etc. – geprüft werden. Auch für Geräte mit SIL-Nachweis müssen von Herstellern gelieferte Werte für die Ausfallwahrscheinlichkeit in der konkreten Anwendung per Störstatistik verifiziert werden. Und diese Methode bzw. die Verwendung generischer Ausfallraten ermöglichen es, Geräte ohne SIL-Nachweis einzusetzen.

infoDIRECT 1005CT615

Heftausgabe: Mai 2010
Armin Scheuermann

Über den Autor

Armin Scheuermann

„Es werden immer häufiger SIL2-Geräte bestellt, ohne dass der Besteller die konkrete Anwendung nennen kann, in der das Gerät eingesetzt werden soll“ Lothar Gellrich ist Leiter Marketingkommunikation beim Messgerätehersteller Krohne

Loader-Icon