- Der SIL-Nachweis gemäß DIN/EN 61508 wird nur für PLT-Schutzfunktionen gefordert, nicht aber für mechanische Komponenten einer Anlage.
- Immer häufiger fordern Anwender allerdings Kennwerte für den rechnerischen SIL-Nachweis von mechanischen Bauteilen wie zum Beispiel Berstscheiben.
- Der Anbieter Rembe hat gemeinsam mit dem IQZ in Wuppertal eine Methode entwickelt und bietet auf deren Basis PFD-Werte auch für Druckentlastungseinrichtungen an.
In der Praxis fordern Anwender immer häufiger auch für rein mechanische Komponenten Kennzahlen, um den rechnerischen Nachweis nach DIN/EN 61508 bzw. 61511 zu führen.
Der Fall scheint zunächst klar zu sein: Eine Rohrleitung an einem Apparat, in dem brennbare Stäube verarbeitet werden, soll mit einer Explosionsunterdrückung ausgerüstet werden. Die Erkennung einer anlaufenden Explosion erfolgt mit einem Infrarotsensor, dessen Signal den Impuls für eine Löschmittelsperre liefert – eine klassische PLT-Schutzeinrichtung (Safety Instrumentet Funktion, SIF) bestehend aus Sensor, Signalverarbeitung und Aktor, die verhindert, dass eine im Behälter anlaufende Explosion sich in andere Anlagenteile ausbreiten kann. Der Apparat wird mit einer Berstscheibe gegen den entstehenden Explosionsdruck geschützt. Die Berstscheibe selbst unterliegt – da es sich um ein rein mechanisches Schutzsystem handelt – nicht den oben genannten Richtlinien und kann auch nicht nach dieser zertifiziert werden.
Doch hier wird es knifflig: Was, wenn die Berstscheibe nicht bei dem definierten Druck anspricht? Da der entstehende Explosionsdruck dann nicht höher sein könnte, als der für die Löschmittelsperre zulässige Explosionsüberdruck, würde das Löschmittel einfach verweht, die Schutzfunktion bliebe wirkungslos. „Solche Risiken wollen unsere Kunden ebenfalls nach der SIL-Systematik bewerten und den Sicherheitsnachweis führen“, beschreibt Dr. Johannes Lottermann, Senior Consultant Explosion Safety bei Rembe die Anforderung, wenn Anwender mechanische Komponenten in ihre SIL-Betrachtungen mit einbeziehen. Doch für Berstscheiben waren solche Angaben bislang Mangelware.
SIL-Angaben für mechanische
Komponenten sind Mangelware
Die Diskussion ist an sich nicht neu. In einem Leitfaden des VDMA-Fachverbandes Armaturen vom November 2008 heißt es beispielsweise für Sicherheitsventile, dass diese nicht in sicherheitsgerichtete Systeme eingebunden werden können, da sie nie Bestandteil der „normalen Betriebsprozesse sind“, deren funktionale Sicherheit nach SIL überprüft werden soll (siehe Fachbeitrag in CT 1/2009, abrufbar über den Link am Ende dieses Artikels). Für Stellgeräte und deren Einzelkomponenten als mechanische Bauteile dürfen dem Verband zufolge Kennzahlen (z. B. Ausfallraten, Hardware-Fehler-Toleranzen) definiert werden, die zu einer Bestimmung des SIL des kompletten sicherheitsrelevanten Systems verwendet werden können. Aber hierbei gilt: Die DIN/EN 61508 ist nicht unter einer für Armaturen relevanten EU-Richtlinie harmonisiert, d. h. eine automatische Vermutungswirkung zur Erfüllung der Schutzziele einer Richtlinie geht von ihr nicht aus. Ihre Einhaltung ist daher freiwillig und somit unverbindlich im Sinne der EU-Richtlinien. Es bleibt laut VDMA also jedem Armaturenhersteller im Dialog mit seinem Kunden überlassen, ob und inwieweit sinnvollerweise Kennzahlen definiert werden, die im Rahmen einer SIL-Klassifizierung als Grundlage zur Bewertung der Komponente „Armatur“ Berücksichtigung finden sollen.
Methode für SIL-äquivalente
Kenngrößen entwickelt
Diesen Weg beschreitet nun Rembe als Hersteller von Druckentlastungseinrichtungen und bietet seit Kurzem SIL-äquivalente Kenngrößen für Produkte der mechanischen und auch flammenlosen Explosionsdruckentlastung und den zugehörigen Signalgebern an. „Wir sind uns der heftig geführten Diskussionen um Sinn und Unsinn der Anwendung von SIL für Systeme abseits der elektrischen und elektronischen Systeme bewusst“, erklärt Lottermann, sieht aber den Bedarf auf der Anwenderseite. Als praxisgerechte Lösung hat das Unternehmen für seine Produkte deshalb SIL-äquivalente Kenngrößen ermittelt.
Dazu wurde in Zusammenarbeit mit dem Institut für Qualitäts- und Zuverlässigkeitsmanagement (IQZ) in Wuppertal eine transparente und rechtssichere Methodik entwickelt, die es erlaubt, eigenen Produkten trotz ihrer rein mechanischen Funktion ein SIL-Äquivalent zuzuordnen. Die so ermittelten PFD-Werte (Probability of Failure on Demand) können gemäß DIN/EN 61508 in die „SIL-Sprache“ übersetzt werden. Basierend auf den im Unternehmen archivierten Prüfergebnissen sowie der Annahme von Fehlern bei der Probenahme kommt der Hersteller für seine Ex-Berstscheiben auf eine SIL-Äquivalenz von 4. Für die Einrichtungen zur flammenlosen Druckentlastung wird eine SIL-Äquivalenz von 2 erreicht, da diese elektronische Komponenten enthalten.
„Da wir mit renommierten Experten transparente Methodiken für die Erarbeitung der PFDs entwickelt haben, sind wir uns der Akzeptanz in der Praxis sicher“, erklärt Lottermann: „In einem jüngsten Projekt haben wir dank der SIL-äquivalenten Kenngrößen unserer Berstscheiben einem Kunden in Neuseeland geholfen, die Gesamtausfallwahrscheinlichkeit seiner druckentlasteten und mittels elektronisch angesteuerten Löschmittelsperren geschützten Anlage berechnen zu können. Dies war eine Vorgabe der zuständigen Behörde und erlaubte die Fertigstellung der Genehmigungsunterlagen, die andernfalls wohl heute noch auf sich warten ließen.“
„Die Ergebnisse der vergleichsweise hohen SIL-Äquivalente haben uns letztlich nicht wirklich überrascht“, so Stefan Penno, Geschäftsführer von Rembe. „Jedem Ingenieur leuchtet wohl ein, dass ein einfaches mechanisches Funktionsprinzip wie das einer Berstscheibe naturgemäß zuverlässiger ist, als das eines noch so ausgefeilten wie redundanten elektronischen Regelkreises, insofern die Qualität der Verarbeitung stimmt und das richtige Funktionsprinzip angewendet wird.“
Zum Thema
SIL-Nachweis
Die Grundlage einer SIL-Einstufung bildet eine Risikobeurteilung, die die Eintrittswahrscheinlichkeit des Versagens einer Sicherheitseinrichtung in einem bestimmten Szenario und die daraus resultierende Schadensschwere betrachtet. Aus definierten Tabellen und Werten, beispielsweise zu finden in EN ISO 13849, ergibt sich der SIL für die betroffene (elektronische) Komponente. Je höher Eintrittswahrscheinlichkeit und/oder Schadensschwere, desto höher die Anforderungen an die elektronische Komponente, und desto höher der geforderte SIL. Einrichtungen die mit SIL 4 zertifiziert sind, bieten somit die größte Risikominimierung und sind dort notwendig, wo Eintrittswahrscheinlichkeit und Schadensschwere besonders hoch sind.
Basierend auf der durchgeführten Risikobeurteilung werden Maßnahmen evaluiert, die zur Reduzierung der beiden Faktoren Eintrittswahrscheinlichkeit und Schadensschwere beitragen. Ersteres wird durch vorbeugende Handlungen gemindert
(z. B. Inertisierungseinrichtungen zur Vermeidung des Auftretens gefährlicher explosionsfähiger Atmosphären). Die Schadensschwere wiederum senken konstruktive Maßnahmen (z. B. Explosionsunterdrückungssysteme).
SIL betrachtet im Ursprung die funktionale Sicherheit von (E/E/PE)-Systemen. Das übergeordnete Regelwerk, auf dem sämtliche Zertifizierungen basieren, ist IEC 61508. Aussagen bezüglich der sogenannten „mittleren Ausfallwahrscheinlichkeit der Schutzfunktion bei Anforderung“ sind somit beispielsweise für die von Rembe erhältlichen
Q-Bic-Unterdrückungssysteme als aktive Schutzsysteme bereits seit Längerem verfügbar. Mechanische Schutzsysteme werden in dieser Richtlinie nicht betrachtet und können demnach nicht nach dieser zertifiziert werden.
Interview mit Dr. Johannes Lottermann, Rembe
„Definierte und transparente Methodik“
CT: Die Normen IEC 61508/61511 gelten an sich nur für PLT-Schutzeinrichtungen. Warum wollen Ihre Kunden in der Chemie oder im Anlagenbau sich das antun, mechanische Komponenten in die SIL-Betrachtung mit einzubeziehen?
Lottermann: Oftmals mangels besseren Wissens. Aber immer öfter auch aus sehr systematischen Überlegungen – beispielsweise der, wenn die Funktion einer PLT-Schutzeinrichtung davon abhängt, ob vorher eine Berstscheibe ausgelöst hat. Spätestens dann ist die mechanische Komponente Bestandteil der Schutzfunktion und muss entsprechend betrachtet werden.
CT: Wie wahrscheinlich ist es denn, dass eine Berstscheibe im Anforderungsfall nicht funktioniert?
Lottermann: Kurz gesagt: sehr unwahrscheinlich. Aber die Aussage hilft einem Betreiber für den SIL-Nachweis wie im obigen Beispiel gefordert, nur bedingt. Für mechanische Komponenten zum Explosionsschutz gilt die Norm DIN/EN 15233, die Funktion wird in einer Baumusterprüfung nachgewiesen. Die funktionale Sicherheit wird nach DIN/EN 61508 bewertet, mechanische Komponenten gehören allerdings nicht zu deren Geltungsbereich. Um zu äquivalenten Kennzahlen zu kommen, die in einem SIL-Nachweis verwendet werden können, braucht man eine definierte Systematik.
CT: Und wie sieht diese im Fall der Druckentlastungseinrichtungen von Rembe aus?
Lottermann: Gemeinsam mit dem Institut für Qualitäts- und Zverlässigkeitsmanagement, IQZ, in Wuppertal haben wir uns darüber Gedanken gemacht. In die dabei entwickelte Methode gehen die Daten aus tausenden bei uns durchgeführten und archivierten zerstörenden Prüfungen von Berstscheiben ein. Denn für jede verkaufte Berstscheibe werden aus derselben Charge mindestens zwei Berstscheiben zerstörend geprüft und der Ansprechdruck ermittelt. Außerdem wurden großzügige Annahmen für Fehler bei der Probenahme getroffen. Aus all diesen Informationen wird dann die Ausfallwahrscheinlichkeit errechnet.
CT: Und diese PFD-Werte werden in der Praxis akzeptiert?
Lottermann: Ja. Das sind ja keine Pi-mal-Daumen-Schätzungen, sondern die Methodik wurde von renommierten Experten entwickelt und ist transparent und nachvollziebar. Wir sind stolz, dass wir mit dem Ansatz erstmalig Licht ins Dunkel bei der Bewertung der funktionalen Sicherheit des Gesamtanlagenschutzes bringen. In Neuseeland ist es einem Kunden in einem aktuellen Projekt genau dadurch gelungen, die von der zuständigen Behörde geforderten Genehmigungsunterlagen zeitnah fertigzustellen.
