- Neu ist, dass in Maschinen und Anlagen steuerungsverursachte Risiken nicht nur qualitativ betrachtet, sondern auch quantitativ bewertet und klassifiziert werden müssen. Diese neuen Betrachtungsweisen haben weitreichende Konsequenzen auf das Durchführen der Risikoanalysen von Maschinen und Anlagen.
- Am Ende führt der Risikobaum zu einer Kenngröße für die betrachtete Gefährdungssituation, dem sogenannten Performance Level Plr (DIN EN ISO 13849) bzw. dem Safety Integrity Level SIL (DIN EN IEC 61508).
- Die Steuerung muss so aufgebaut sein, dass sie zum Beherrschen dieser Gefährdung den entsprechenden PLr oder SIL erfüllt.
- Künftig ist man gut beraten, schon beim Grobentwurf für neue Verfahrensführungen auf einfache, transparente und am Ende eigensichere Prozesse zu achten.
- Damit trägt man dem strategischen Hintergrund der Normen Rechnung, dass Gefährdungssituationen mit erster Prämisse vermieden und nur in zweiter Linie durch Steuerungen entschärft werden sollen.
Neu sind allerdings die Hinweise, wie die geforderte Sicherheit von Steuerungen zu erreichen sei. Bisher konnte Bezug genommen werden auf DIN EN 954. Steuerungen mit bewährten Bauteilen und Software, die mit dem Wissen und der Erfahrung kompetenter Ingenieurspraxis programmiert wurde, konnten für die meisten Sicherheitsfunktionalitäten ohne Bedenken benutzt werden.
Was auf die Maschinen- und Anlagenhersteller mit Ersatz der DIN EN 954 durch DIN EN ISO 13849 zukommen würde, konnten viele Unternehmen kaum einschätzen; möglicherweise wollten sie es auch nicht wahr haben. Die Übergangsfrist, in der die beiden Normen parallel anwendbar waren, wurde deswegen auch noch bis Ende 2011 um ein letztes Jahr verlängert. Sie ist aber definitiv ab Januar 2012 abgelaufen, und die neuen Normen müssen angewandt werden.
Worin bestehen die Neuerungen? Man kann das auf einen sehr einfachen Nenner bringen, der auch gleich die Gründe für die schwierige Akzeptanz der neuen Situation deutlich macht: Software wird als grundsätzlich unsicher betrachtet. Somit ist es auch nicht mehr möglich, ein Softwareversagen mit einem weiteren Softwareelement oder gar einer weiteren Steuerung in potenziell ebenso unsicherer Ausführung abzufangen. Die Argumentation „Doppelversagen müssen wir nicht betrachten“ gilt in dem Moment nicht mehr, indem man den ersten Fehler bereits als Normalzustand behandeln muss. Software kann nur dann sicher werden, wenn sie nach ganz strengen Regeln programmiert und auf nach strengen Kriterien designter Hardware läuft. Nur wenige Spezialfirmen sind in der Lage, solche Sicherheitssteuerungen zu konzipieren und zu programmieren.
Neu ist schließlich auch, dass Risiken nicht nur qualitativ betrachtet, sondern auch quantitativ bewertet und klassifiziert werden. Das gilt nicht nur für die für Maschinen zuständige Norm DIN EN ISO 13849, sondern auch für die für verfahrenstechnische Anlagen zuständige DIN EN IEC 61508.
Auswirkungen auf Risikoanalysen
Diese neuen Betrachtungsweisen haben weitreichende Konsequenzen auf das Durchführen der Risikoanalysen von Maschinen und Anlagen. Bei jeder Gefährdungsanalyse muss nun genau betrachtet werden, wie eine Gefahrensituation quantitativ zu bewerten ist, die durch einen Fehler der Steuerung verursacht werden könnte. Dazu geben die beiden neuen Normen genaue Hinweise. In einem sogenannten Risikobaum wird jede Gefährdungssituation betrachtet: Zunächst wird die Schwere des möglichen Schadens bewertet: von leichter Verletzung einer Person bzw. Beeinträchtigung der Natur bis hin zu katastrophaler Auswirkung mit sehr vielen Toten. Die zweite Verästelung des Baumes berücksichtigt die Aufenthaltsdauer gefährdeter Personen im Gefahrenbereich: Besteht die Gefährdung nur beim wöchentlichen Kontrollgang, wiegt das geringer, als wenn sie den ständigen Bediener einer Maschine betrifft. Schließlich wird betrachtet, ob sich die Gefährdung erkennen lässt und somit vom Betroffenen Abwehrmaßnahmen getroffen werden können: Kündigt sich eine Gefährdung beispielsweise durch Geräusch oder Geruch an, so dass man eine Notabschaltung auslösen oder weglaufen kann, oder kommt sie zum Beispiel bei einer Explosion plötzlich. Bei DIN EN IEC 61508 wird zusätzlich auch noch die Eintrittswahrscheinlichkeit als vierter Ast in die Bewertung mit aufgenommen.
Am Ende führt der Risikobaum schließlich zu einer Kenngröße für die betrachtete Gefährdungssituation, dem sogenannten Performance Level PLr (DIN EN ISO 13849) bzw. dem Safety Integrity Level SIL (DIN EN IEC 61508). Die Steuerung muss so aufgebaut sein, dass sie zum Beherrschen dieser Gefährdung den entsprechenden PLr oder SIL erfüllt. Dabei ist die Gesamtheit aller beteiligten elektronischen und elektrischen Komponenten zu betrachten, zusätzlich zur Steuerung also auch alle beteiligten Sensoren, wie etwa Temperaturfühler, Durchflussmessgeräte etc., und Aktoren, wie beispielsweise Magnetventile, Stellmotoren etc.
Zur Bewertung der Eignung von Komponenten zum Aufbau sicherheitsrelevanter Steuerungskreise spielen Produkt- und Materialkenngrößen wie genau bekannte Ausfallwahrscheinlichkeiten eine große Rolle. Und hier befinden wir uns im Moment noch in einem großen Dilemma. Viele Komponentenlieferanten fangen jetzt erst an, sich der Thematik zu stellen. Für die meisten Bauteile fehlen einfach noch die entsprechenden Informationen, aus denen sich die Einstufung nach PLr oder SIL errechnen ließe.
Doch selbst wenn die entsprechenden Komponenten verfügbar wären, ergäben sich für viele Maschinen- und Anlagenbauer fast unüberwindbare Probleme. Die mit der Entwicklung und der Produktion von Sicherheitssteuerungen verknüpften Kosten sprengen die Kapazitäten vieler Hersteller und würden darüber hinaus auch dazu führen, dass über Jahrzehnte bewährte und sinnvolle Verfahrensführungen für den Anwender unrentabel und nicht mehr verwendbar würden.
Risikolos ohne Sicherheitssteuerung
Eine echte Zwickmühle also? Einerseits ja, andererseits ergeben sich aber auch ganz spannende Herausforderungen zur Umgehung der neuen Regeln. Künftig sind wir gezwungen, schon beim Grobentwurf für neue Verfahrensführungen auf einfache, transparente und am Ende eigensichere Prozesse zu achten. Das ist kein fauler Trick, sondern trägt dem strategischen Hintergrund der Normen Rechnung, dass Gefährdungssituationen mit erster Prämisse vermieden und nur in zweiter Linie durch Steuerungen entschärft werden sollen.
In einem in der Wasseraufbereitung weit verbreitetem Anlagentyp werden konzentrierte Natriumchloritlösung und Salzsäure zusammen mit Verdünnungswasser in einen Reaktor dosiert, in dem sich das für die Wasserdesinfektion eingesetzte Chlordioxid bildet. Das Hauptrisiko besteht im Versagen der Dosierpumpe für das Verdünnungswasser, da sich dann nämlich eine explosive Chlordioxidkonzentration im Reaktor bilden würde.
Sicher nach DIN EN 954
Im Einklang mit DIN EN 954 wurde das Risiko bisher durch mehrere Sicherheitseinrichtungen entschärft. Zum Einen befindet sich in der Steuerung eine interne softwarebasierte Verriegelung, die ein Dosieren der Chemikalien nur im Verbund mit der Wasserdosierung ermöglicht. In zweiter Instanz überwachen Durchflusssensoren, dass die von der Steuerung veranlassten Dosierhübe auch tatsächlich ausgeführt werden.
Schließlich werden die Signale der Durchflusssensoren mithilfe einer zweiten Steuerung separat ausgewertet; dies führt bei fehlender Plausibilität zur sofortigen, sicheren Abschaltung der ganzen Anlage.
Nach alter Betrachtung stellt das bereits eine Sicherheitsstufe mehr dar als nötig. Nach neuer Betrachtung muss berücksichtigt werden, dass alle genannten Überwachungsstufen steuerungsbasiert sind und somit nach DIN EN ISO 13849 ausgeführt sein müssten. Da der Aufwand für das Erstellen einer Sicherheitssteuerung samt sicherer Durchflussüberwachung aus Kostengründen nicht darstellbar war, mussten andere Wege gefunden werden.
Sicher auch ohne Anwendung der DIN EN ISO 13849
Die Lösung wurde in der Konstruktion einer rein hydraulisch-mechanisch funktionierenden Vorverdünnungsstation gefunden, mit der die konzentrierte Salzsäure auf rund 5 % verdünnt wird. Das Hauptrisiko, nämlich dass durch einen Steuerungsfehler beide konzentrierten Chemikalien ohne Verdünnungswasser vermischt werden könnten, besteht durch die neue Verfahrensführung nicht mehr. Die Risikoanalyse weist keine Gefährdung mehr auf, zu deren Handhabung DIN EN ISO 13849 berücksichtigt werden müsste. Dem Anwender entsteht durch das separate Vorverdünnen darüber hinaus der Nutzen, dass er die Chlordioxidanlage nun auf unterschiedliche Salzsäure-Ausgangskonzentrationen anpassen kann. Für die Sicherheitsbetrachtung des Aufstellungsorts wirkt sich positiv aus, dass beide konzentrierten Chemikalien auch räumlich strikt voneinander getrennt werden können.
Das Beispiel zeigt, dass eine Verschärfung von Richtlinien und Normen nicht nur zu Behinderungen führen muss. Vielmehr kann sie als Chance verstanden werden, althergebrachte Verfahren infrage zu stellen und daraus neue bessere Lösungen zu generieren.