Druckmessumformer Pascal CI4 für höchste Messpräzision. (Bild: Sinnlichtarts – AdobeStock, Labom)
- Steigende Rohstoffpreise und Sicherheitsanforderungen machen zuverlässige Messgeräte in der Produktion unerlässlich.
- Regelmäßige Prüfungen und SIL2-qualifizierte Geräte werden empfohlen, um Ausfälle zu vermeiden und die Sicherheit zu gewährleisten.
- SIL-Anleitungen zu Messgeräten stellen zusätzlich wertvolle Informationen im Anforderungsfall bereit.
Die Abkürzung SIL steht für Safety Integrity Level. Die entsprechenden Geräte werden nach den Anforderungen für die Qualifizierung von Messgeräten dem SIL-Regelwerk DIN EN 61508 eingestuft. Diese erstrecken sich über den kompletten Lebenszyklus eines Gerätes – von der Entwicklung über die Produktion bis zur sorgfältigen Prüfung bei jeder Produktänderung. Dabei müssen sowohl zahlreiche organisatorische Maßnahmen als auch Kontrollmechanismen und Anforderungen an die gegebenenfalls vorhandene Software erfüllt werden. Hard- und Software müssen besonders robust gegen Ausfälle sein; die Software enthält zudem zahlreiche Überwachungsroutinen. So wird unter anderem laufend überprüft, ob alle Programmteile aktiv sind, und der Datenspeicher wird gespiegelt oder mit Checksummen versehen, um fehlerhafte Speicherstellen zu entdecken.
Warum eine SIL-Qualifizierung?
Eine dieser Überwachungsroutinen ist der sogenannte Watchdog, der „Wachhund im Messgerät“ – ein spezielles Werkzeug zur Ausfallerkennung. Der Watchdog in SIL2-Messgeräten überwacht einzelne Softwareeinheiten und zählt dabei zum Beispiel kontinuierlich von 100 auf null. Er springt im Anschluss nur dann wieder auf 100 zurück, wenn alle überwachten Teile ein Okay melden. Läuft der Zähler auf null, so meldet das Messgerät den Fehler der Steuerungseinheit – so kann etwa geprüft werden, ob die Temperaturüberwachung noch aktiv ist.
Aber warum überhaupt eine SIL-Qualifizierung? Mit der SIL-Qualifizierung kann sich der Betreiber auf eine hohe Ausfallsicherheit verlassen und er hat alle für seine Sicherheitsbetrachtung notwendigen Werte zur Hand. Die SIL-Anleitungen zu Messgeräten geben beispielsweise Informationen zur Reaktionszeit im Anforderungsfall. Jedes Messgerät und jeder Aktor braucht Zeit, um seine jeweilige Aufgabe zu erfüllen – manchmal nur Millisekunden, manchmal einige Sekunden. Der Betreiber einer Anlage muss sich dabei die Frage stellen, wieviel Zeit nach dem Ausfall eines wichtigen Systems für die Sicherheitskette bleibt, um zu reagieren sowie eine Gegenmaßnahme einzuleiten und umzusetzen. Ein Beispiel: Die Temperaturmessung misst, dass die Heizung eines Tanks zu heiß wird. Die Steuerungseinheit erkennt die Temperaturüberschreitung und schaltet die Heizung ab. Dieser Mechanismus muss greifen, bevor eine für den Tankinhalt kritische Temperatur erreicht ist. Die Messtechnik hat in der Regel kurze Reaktionszeiten und mit dem Wert für die Reaktionszeit gemäß der SIL-Anleitung hat der Betreiber die notwendige Information zur optimalen Auslegung der Anlage.
Grundsätzlich gibt es zwei Möglichkeiten zur Qualifizierung eines SIL-Geräts: Die Betriebsbewährung aufgrund langjähriger Erfahrung mit einer hohen Anzahl von Geräten im Feld oder SIL by Design über eine FMEDA (Failure Modes, Effects and Diagnostics Analysis) mit bestimmten Anforderungen bei der Entwicklung der Geräte.
Die Qualifizierung per Betriebsbewährung beruht auf einer hohen Anzahl von Geräten im Einsatz und deren konkreten Ausfällen. In der DIN EN 61508 ist festgelegt, wie viele Betriebsstunden oder Anforderungen der Sicherheitsfunktion mindestens erreicht sein müssen, um die Voraussetzungen für Betriebsbewährung zu erfüllen. Beobachtete Fehler werden in sicher und unsicher, erkannt und unerkannt unterteilt. Diese Daten sind dann die Basis für die Berechnung der Werte der funktionalen Sicherheit.
Bei der Methode „SIL by Design“ werden per FMEDA alle für die sichere Funktion relevanten Bauteile erfasst und einzeln auf ihre Auswirkung bei einem Ausfall geprüft. Zur Beurteilung der Wahrscheinlichkeit eines Ausfalls eines Bauteils kann auf entsprechend veröffentlichte Erfahrungswerte oder auf Angaben der Hersteller zurückgegriffen werden. So werden dann die Werte der funktionalen Sicherheit gemäß DIN EN 61508 berechnet – zum Beispiel der Raten der gefährlichen Ausfälle, die Wahrscheinlichkeit eines Ausfalls bei Anforderung oder der Anteil der sicheren Fehler.
Prüfung im laufenden Betrieb
Auch im laufenden Betrieb sollten SIL-Geräte in regelmäßigen Abständen Prüfungen unterzogen werden. Die SIL-Anleitungen enthalten Vorschläge, welche Aspekte zu prüfen sind, und der PTC-Wert (Proof Test Coverage-Wert) sagt dabei aus, wieviel Prozent der möglichen Fehler bei diesem Test erkannt werden. Bei einem PTC-Wert von 100 % wäre das Gerät nach dem Test in Bezug auf die Ausfallraten „wie neu“. Bei niedrigeren PTC-Werten steigt die Ausfallrate. Weitere Informationen können bei Bedarf in Namur NA106 nachgelesen werden. Abhängig davon, welche Ausfallrate der Anlagenbetreiber einhalten muss, beeinflusst der PTC-Wert also den Zeitpunkt, zu dem ein Gerät ausgetauscht werden muss.
Jede Kette ist so stark wie ihr schwächstes Glied: Um die Anforderungen für SIL3 zu erfüllen, muss eine entsprechende Kette – also Messgerät, Übertragungsschicht, SPS und Prozessleitung – normalerweise aus SIL3-Geräten aufgebaut sein. Eine Möglichkeit, mit SIL2-Geräten SIL3-Anforderungen zu erreichen, ist jedoch, SIL2-Messgeräte redundant einzusetzen. Grundsätzlich betrachtet dabei der Anlagenbetreiber das Gesamtsystem und berechnet für dieses eine Ausfallwahrscheinlichkeit. Dafür notwendig sind zwei SIL2-Geräte ohne Software, zum Beispiel ein Manometer oder ein analoges Druckmessgerät, zwei SIL2-Geräte mit SIL3-geeigneter Software oder für diverse Redundanz zwei unterschiedliche SIL2-Geräte wie etwa die Labom-Geräte Pascal CI4 und Pascal CV3.
Der Pascal CV3 ist ein Druckmessumformer mit smarten Funktionsmodulen zum Anzeigen, Schalten und Kommunizieren. Die Module können vor Ort durch einfache „plug and measure-Technologie“ – ohne Neuabgleich und ohne das Gerät aus dem Prozess zu nehmen – ausgetauscht oder ergänzt werden. Bei einer Kombination mit dem Schaltkontaktmodul kann dadurch auf eine weitere Steuerungseinheit verzichtet werden, da das Gerät direkt das Schaltsignal an den Aktor, beispielsweise die zu stoppende Pumpe, weitergeben kann. Dies ist ein Vorteil für den Betreiber, denn neben den zusätzlichen Kosten unterliegen Steuerungseinheiten relativ hohen Ausfallwahrscheinlichkeiten und sind ein weiteres zu betrachtendes Glied in der Sicherheitskette.
Um Ausfälle bei der Produktion zu vermeiden und den Anlagenbetrieb möglichst sicher für Mensch und Umwelt zu gestalten, empfiehlt sich also unbedingt der Einsatz SIL2-qualifizierter Messgeräte. Die Firma Labom hat dafür nicht nur eine ganze Reihe SIL-geeigneter Druck- und Temperaturmessgeräte im Portfolio – sie entwickelt bei Bedarf auch individuelle Lösungen.
