Flexible Prüfzyklen beim Functional Safety Management

Durch Funktionsprüfungen und Abstellungen verursachte Kosten – Vergleich jährlicher und zweijähriger Turnus.Bild: Infraserv Gendorf

Dabei wünscht sich laut einer CHEMIE-TECHNIK-Umfrage zur funktionalen Sicherheit in der Prozessindustrie mehr als jeder zehnte Anlagenbetreiber Prüfintervalle in Abständen von mehr als fünf Jahren. Gleichzeitig gab mehr als die Hälfte der Befragten an, Sicherheitseinrichtungen jährlich zu prüfen, bei 12 % waren die Abstände sogar noch kürzer. Die Gründe für eine Verlängerung der Produktionsphasen liegen auf der Hand: Produktionsstillstände, das An- und Abfahren einer kontinuierlich produzierenden Anlage und die damit verbundenen Risiken sowie der Aufwand durch die Tests selbst verursachen Kosten in Millionenhöhe. Diese werden in Zukunft noch steigen, da der Einbau von Sicherheitseinrichtungen stetig zunimmt.

Warum also wagen Anlagenbetreiber es nicht, die Prüftermine an ihre betrieblichen Belange anzupassen? Prüfintervalle sind nicht in Stein gemeißelt – weder in Namur-Empfehlungen noch in internationalen Regelwerken. Es gibt durchaus Spielraum, das vorhandene Equipment zu optimieren. Dass die für das Sicherheitsmanagement zuständigen EMSR-Ingenieure (zu) großen Respekt vor der Komplexität des Themas haben, ist verständlich. Wer zum Beispiel mithilfe der Namur-Empfehlung NE 106 versucht, die dargestellten Fehlermöglichkeiten der vorhandenen Sicherheitseinrichtungen aufzudecken, wird schnell feststellen, dass diese in der Praxis nur sehr schwer bewertbar sind.

Effizientes Functional Saftey Management

Abhilfe schafft allein eine systematische Vorgehensweise, wie sie zum Beispiel bei der Infraserv Gendorf entwickelt wurde. Dabei werden von vornherein pauschal alle potenziellen zufälligen Fehler angenommen. Systematische Fehler befinden sich von Anfang an im System, können sowohl in der Mechanik als auch in der Software stecken. Zufällige Fehler hingegen treten erst nach der Auslieferung und dem Einbau einer Schutzeinrichtung auf und verbergen sich in den meisten Fällen in der Elektrik oder Elektronik. Alle potenziellen Fehler überhaupt zu erkennen, klingt auf den ersten Blick nach einer Mammutaufgabe, erweist sich aber in der Praxis mit der richtigen Herangehensweise als sehr effizient.

Die Methode basiert darauf, dass alle Sicherheitseinrichtungen analysiert, in Typicals, also artgleiche Funktionen, kategorisiert und bewertet werden. Softwarebausteine werden so konfiguriert, dass intelligente Prüfungen im laufenden Betrieb stattfinden, die eine hohe Fehleraufdeckung garantieren. Redundanzen werden, wo es sinnvoll ist, erhöht. Am Ende ergeben sich automatisch Spielräume für eine Flexibilisierung der Prüfintervalle. Der Bewertungsaufwand pro Komponente kann durch diese systematische Analyse auf cirka 20 % gegenüber einer Einzelbetrachtung reduziert werden.

Erfahrungswissen spart Kosten

Um ein Beispiel zu nennen: Zwei Destillationskolonnen mit 50 Schutzfunktionen, darunter Sensoren für die Erfassung von Druck, Temperatur, Sauerstoff und Niveau sowie Aktoren wie Pumpen und Ventile, wurden bisher jährlich geprüft. Die Kosten allein durch die wiederkehrenden Prüfungen belaufen sich auf 9.000 Euro. Die Anlage wird für zehn Tage abgestellt, der Produktionsausfall liegt bei über 1.000.000 Euro. Bei dieser Anlage liegen ein implementiertes Funktional Safety Management (FSM) ebenso vor wie Erfahrungswerte mit dem Prozessanschluss. Das Verhalten von Komponenten, Materialien und Einsatzstoffen ist bekannt. Die eingesetzten Geräte haben sich in der Praxis bewährt.

Anders als bei einer Neuanlage ist die Ausfallwahrscheinlichkeit der Sicherheitskreise mit Geräten, die nicht nach IEC 61508 entwickelt wurden, rechnerisch nicht nachweisbar. Der Prüfzyklus konnte aber auch hier von ein- auf zwei Jahre erhöht werden, weil es bei den bisherigen Wiederholungsprüfungen keinen Hinweis auf systematische Probleme gab. Belegen ließ sich die Zuverlässigkeit anhand von Störstatistiken und Wartungsdatenbanken. Jede Sicherheitsfunktion wurde im Team, bestehend aus Betriebsverantwortlichen, EMSR-Ingenieur, Funktional-Safety-Experten, betrachtet und Maßnahmen festgelegt.

Eine Verlängerung des Prüfintervalls ohne Modifikation der Sicherheitseinrichtung wird in den meisten Fällen aber nicht zu begründen sein. Entweder muss in neue Messgeräte oder in den mechanischen Umbau investiert werden, um sowohl die Messsicherheit, die Diagnoseabdeckung und die Redundanzen zu erhöhen. In den Destillationskolonnen wurden zum Beispiel die Druckabschaltungen, die bisher als Monostruktur errichtet waren, in 2 von 3 umgebaut. Das bedeutet mehr Sicherheit und zugleich ein Mehr an Verfügbarkeit. Bei den Aktoren konnte durch Verwendung intelligenter Stellungsregler, die im Hintergrund Teilprüfungen durchführen, ebenfalls der Diagnosegrad erhöht werden. Die einmaligen Kosten dieser Analyse beliefen sich in dem Beispiel auf 25.000 Euro, für die Umsetzung der notwendigen Maßnahmen wie mechanische Umbauten und zusätzliche Messgeräte wurden 250.000 Euro ermittelt. Die Kosten hätten sich bereits mit der ersten vermiedenen Abstellung amortisiert.

In Neuanlagen von vornherein zweijährigen Prüfzyklus etablieren

Anders ist das Vorgehen bei einer Neuanlage. Hier wird im Idealfall ein FSM bereits in der Planungsphase konzipiert, um als Zielvorgabe von vornherein einen zweijährigen Prüfzyklus zu etablieren. Zum Aufdecken von Sicherheitsrisiken eignen sich am besten systematische Gefahrenanalysen wie etwa ein Hazop. Schritt für Schritt werden für jede einzelne Komponente und jedes Medium eines Prozesses alle möglichen Abweichungen angenommen und deren Auswirkungen analysiert. Das Prüfintervall ist abhängig vom festgelegten Sicherheitsintegritätslevel (SIL) und der Wahrscheinlichkeit des Auftretens eines unentdeckten Fehlers: Je geringer die Wahrscheinlichkeit und je geringer der geforderte SIL ist, umso länger kann das Prüfintervall sein. Es gilt also, möglichst Geräte mit einer hohen Fehleraufdeckung auszuwählen oder Redundanzen einzubauen.

Das Problem: Bei Neuanlagen liegen keine Erfahrungen mit dem Prozessanschluss vor. Zwar lassen sich mit den Angaben der Gerätehersteller die Ausfallwahrscheinlichkeiten der Sicherheitsfunktionen berechnen. Aber reine Stochastik hilft an diesem Punkt nur bedingt weiter. Um eine Sicherheitseinrichtung auf ihre funktionale Sicherheit hin bewerten zu können, muss die gesamte Verarbeitungskette vom Messobjekt über den Sensor bis zum Aktor und dem Energiestrom betrachtet werden. Das beste Messgerät wird ausgehebelt, wenn es etwa für den speziellen Anwendungsfall nicht geeignet ist, weil die Spezifikationsdaten der Medien nicht präzise angegeben wurden. Noch so viele Redundanzen erhöhen weder Sicherheit noch Verfügbarkeit, wenn die Grundlagen der Auslegung falsch sind. Hier müssen Planer und MSR-Ingenieure gemeinsam nach dem Vier-Augen-Prinzip eine Spezifikation für die Sicherheitssysteme erstellen und bereits zu diesem Zeitpunkt eng mit den Geräteherstellern zusammenarbeiten.

Erfahrungen aus ähnlichen Anwendungen heranziehen

Es gibt zahlreiche Faktoren, die die Funktion der eingesetzten Geräte negativ beeinflussen können, wie etwa Abrasion, Anbackungen, Temperatur, Vibrationen. Da der Betreiber bei Neuanlagen hier nicht auf Betriebserfahrung zurückgreifen kann, müssen Erfahrungen aus ähnlichen Anwendungen herangezogen werden. Alternativ kann mit kürzeren Prüfintervallen gestartet werden, um die Zuverlässigkeit der gewählten Komponenten besser einschätzen zu können.

Fazit: Rechnen allein schafft nur vermeintliche Sicherheit. Wichtig ist es, die richtigen Fragen zu stellen und bei der potenziellen Suche nach möglichen Fehlern systematisch vorzugehen. Dazu braucht es erfahrene Spezialisten, die ein entsprechendes Fachwissen mitbringen. Neben dem Tagesgeschäft sind solche Analysen kaum zu bewerkstelligen. Ein Expertenblick von außen wirkt einer Betriebsblindheit und einem vielleicht falschen Sicherheitsgefühl entgegen.

Homepage Infraserv Gendorf.