Systematisch abgesichert

SIL-Nachweis bei mechanischen Sicherheitseinrichtungen

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

24.09.2019 Ist eine SIL-Berechnung zulässig? Die Antwort lautet: Nein. Zur Fehleranalyse von rein mechanischen Sicherheitsbauteilen ist ein rechnerischer SIL-Nachweis, der auf einem probabilistischen Fehlermodell basiert, nicht geeignet.

Entscheider-Facts

  • Entscheidend für die Bewertung von Schutzeinrichtungen ist die Wahl der richtigen, technologiespezifischen Sicherheitsstrategie. Probabilistische Ansätze und Ausfallwahrscheinlichkeiten sind für die Bewertung mechanischer Komponenten und ihrer systematischen Fehler nicht zielführend.
  • Werden sie dennoch angewandt, vermittelt der rechnerische Nachweis auf Basis generischer Werte ein falsches Gefühl von Sicherheit, weil gleichzeitig übersehen wird, dass das Sicherheitsbauteil unter Umständen für die geplante Anwendung oder den angenommenen Fehler und den Rechenweg nicht geeignet sind.

Construction worker use safety harness and safety line working on a new construction site project.

Bild: kittikorn – AdobeStock

Die SIL-Berechnung soll den Ausfall von elektrischen, elektronischen und programmierbaren elektronischen Komponenten (E/E/PE-Systeme) durch zufällige Fehler quantifizieren. Bei mechanischen Bauteilen treten jedoch ausschließlich systematische Fehler auf. Zur Zuverlässigkeitsbewertung können daher nur deterministische Analysen belastbare Aussagen liefern. In der Praxis geraten diese Zusammenhänge immer wieder aus dem Blick. Doch warum schließen Planer, Konstrukteure und Hersteller teilweise mechanische Bauteile in den rechnerischen SIL-Nachweis mit ein? Selbst Experten mit langjähriger Erfahrung im Anlagenbau verkennen bisweilen, dass ein Ausfall mechanischer Bauteile stets auf systematische Fehler zurückzuführen ist und der Zufall keine Rolle spielt (s. Kasten).

Mechanische Sicherheitseinrichtungen und systematische Fehler

Allein systematische Fehler treten ausschließlich bei rein mechanischen Teilen einer Sicherheitseinrichtung auf. Dies gilt nicht für assoziierte elektronische Komponenten. Die häufige hybride Bauweise könnte den Blickwinkel auf die mechanischen Sicherheitseinrichtungen verändert haben, weil verschiedene Subsysteme unter Umständen schwer voneinander abzugrenzen sind. Ein weiterer Grund für die versuchte SIL-Bewertung mechanischer Komponenten könnte sein, dass die häufigere semiquantitative Risikobeurteilung in der Industrie Angaben über deren Zuverlässigkeit erfordert. Bei rein mechanischen Schutzeinrichtungen ist dies jedoch nicht zielführend: Schützt beispielsweise eine Lichtschranke als Abschalteinrichtung vor dem Eingriff in ein rotierendes Maschinenteil, so muss diese Schutzeinrichtung zuverlässig funktionieren. Abhängig von der Schwere der möglichen Verletzung kann nur eine bestimmte maximale Ausfallrate zugebilligt werden. Versieht man jedoch die Maschine mit einer feststehenden mechanischen Abdeckung, so wird dieser Schutz ebenfalls erreicht, und diese mechanische Schutzeinrichtung wird nie zufällig versagen.

Jedes Bauteil einzeln bewerten

Eine mögliche Ursache könnte in der unzutreffenden Interpretation einiger missverständlicher Formulierungen innerhalb der Einführungskapitel der Regelwerke IEC 61508-1 und IEC 61511-1 liegen. Dort räumen die Verfasser der Norm die Möglichkeit ein, die Anforderungen auch über die Bewertung von E/E/PE-Systeme hinaus anzuwenden. Damit ist der Weg offen, die genannten Normen auf andere Technologien wie Mechanik oder Hydraulik bei der Führung des Eignungsnachweises anzuwenden. Doch im selben Absatz der IEC 61508-1 fordern die Verfasser der Norm ebenfalls, die Sicherheitsstrategie stets technologiespezifisch auszurichten. Das bedeutet, dass die auftretenden Fehlerarten (systematisch oder zufällig) einer Technologie bekannt sein müssen. Darauf basierend ist für jedes einzelne Element oder Teilsystem zu bewerten, ob eine normative Anforderung angewandt werden kann.

Notfall

Schematische Darstellung betrieblicher Schutzebenen. Bilder: TÜV Süd
Chemie Service

So bestehen MSR-Sicherheitseinrichtungen in der Regel sowohl aus E/E/PE- als auch mechanischen Komponenten. Während bei E/E/PE-Komponenten und Teilsystemen sowohl zufällige als auch systematische Fehler zu einem Ausfall führen können, fallen mechanische Komponenten hingegen nur aufgrund von systematischen Fehlern aus. Deshalb sind ausschließlich deterministische Fehlermodelle zielführend, um die Eignung eines Bauteils in einer bestimmten Anwendung nachzuweisen.

Probabilistische Bewertungsmethoden wurden entwickelt, um quantitative Aussagen zur Sicherheit, Zuverlässigkeit und Ausfallwahrscheinlichkeit komplexer E/E/PE-Systeme treffen zu können. Dazu zählen beispielsweise Komponenten wie Transistoren, Halbleiter, Platinen und andere Bauteile der Schutzkreise, die analoge oder digitale Schaltprozesse durchführen. Zufällige Fehler beziehungsweise fehlerhafte Schaltprozesse in diesen Bauteilen sind prinzipiell nicht vorhersehbar, nicht reproduzierbar und gehören zu den immanenten Eigenschaften von E/E/PE-Systemen. Damit handelt es sich um Fehler, die prinzipiell nicht vermeidbar sind. Die probabilistischen Fehlermodelle helfen, diese Fehler mittels Wahrscheinlichkeitsberechnungen zu quantifizieren, die Möglichkeit des Bauteilversagens von Anfang an einzuplanen und die Auswirkungen eines Ausfalls durch weitere Schutzvorkehrungen zu begrenzen.

Mechanische Bauteile fallen hingegen immer aufgrund von kausalen Zusammenhängen aus. Die systemischen Fehler haben also stets nachvollziehbare, ermittelbare Ursache und treten immer dann auf, wenn bestimmte Rahmen- oder Betriebsbedingungen erfüllt sind. Somit ist ein Versagen auch stets auf menschliches Fehlverhalten bzw. Fehlplanungen zurückzuführen. Die Auswirkungen davon lassen sich bereits im Vorfeld klar vorhersagen. Dies zeigen zwei Beispiele typischer Ausfälle aus dem Bereich der chemischen Anlagentechnik.

Ursache und Wirkung

Ventil_Bild1

Von außen macht dieses Sicherheitsventil einen guten Eindruck, …

Ventil_Bild2

… innen zeigen sich jedoch massive Korrosionsschäden der beweglichen Teile aufgrund von systematischen Fehlern bei der Werkstoffauswahl, Installation und Wartung. Dieses Ventil hätte im Betrieb nicht mehr beim vorgesehenen Absicherungsdruck angesprochen.

Beispiel 1: In einem Behälter kommt es zu einer Zunahme des Drucks über ein sicherheitskritisches Maß hinaus. Eine automatische Drucküberwachung soll in diesem Fall durch das Öffnen eines Ventils das Bersten des Behälters verhindern. Die Sicherheitseinrichtung besteht aus einem Drucksensor, einer programmierbaren Sicherheitssteuerung sowie einer Sicherheitsabsperrarmatur. Obwohl nun der Grenzwert für das Ansprechen der automatischen Drucküberwachung deutlich überschritten wurde, bleibt die Sicherheitsabsperrarmatur geschlossen. Experten untersuchen den Vorfall und kommen zu dem Schluss, dass durch die Einwirkung des Prozessmediums über einen längeren Zeitraum die Dichtflächen verklebt sind.

Beispiel 2: Eine Sicherheitsabsperrarmatur soll die Zuleitung zu einem Reaktionsbehälter verschließen, um die dort ablaufende chemische Reaktion zu stoppen. Dies funktioniert jedoch nicht, und die Reaktion wird unkontrollierbar. Der Grund: Das Edukt hat das für diesen Einsatzzweck nicht geeignete Material des Schiebers stellenweise korrodiert, sodass der Schieber den Zulauf nicht vollständig schließt.

Die beiden Beispiele zeigen typische Ausfallszenarien mechanischer Sicherheitseinrichtungen, die oft auf Korrosion, Verkleben, Undichtigkeiten, Überlastungen und falsche Materialwahl oder Materialfehler zurückzuführen sind. In diesem Kontext ist jedoch hervorzuheben, dass Standzeiten (z. B. geplant im Rahmen des Designs) und die Ausfallszenarien (z. B. ungeplant durch Fehler im Design) von Bauteilen nicht miteinander verwechselt werden dürfen.

Systematische Fehler sind vermeidbar

Wie die Beispiele zeigen, mussten die Komponenten unter den jeweiligen Betriebsbedingungen zwangsläufig versagen, da Werkstoffe und Betriebsmedien nicht langzeitkompatibel waren. Sachkundige Experten hätten bereits im Vorfeld erkennen können, dass die Dichtflächen verkleben beziehungsweise das reaktive Edukt den Werkstoff des Schiebers korrodieren werden. Damit war das Versagen vorhersehbar und hätte durch geeignete Werkstoffauswahl vermieden werden können. Auch durch angepasste Wartungsintervalle mit einem rechtzeitigen Austausch oder einer Reinigung der sicherheitsrelevanten Bauteile hätten sie zuverlässig funktioniert.

Dieser Zusammenhang ist insbesondere dann wichtig, wenn für MSR-Sicherheitseinrichtungen die Ausfallwahrscheinlichkeit zur Beurteilung der Zuverlässigkeit ermittelt wird und diese sowohl aus E/E/PE-Systemen und mechanischen Komponenten bestehen. Denn dann steht stets die Frage im Raum, welche Werte für die rein mechanischen Subsysteme im rechnerischen SIL-Nachweis einzusetzen sind. Die Antwort fällt leicht, wenn zweifelsfrei feststeht, dass die mechanische Komponente für die Anwendung und die Umgebungsbedingungen geeignet ist: Im rechnerischen SIL-Nachweis kann λDU = 0 eingesetzt werden, da ein Ausfall ausgeschlossen werden kann.

Hilfreiche Regelwerke und Normen

Eine sorgfältige Prüfung der mechanischen Komponente, ob und unter welchen Betriebsbedingungen sie für die konkrete verfahrenstechnische Anwendung geeignet ist, bildet somit die Basis, um systematische Fehler zu vermeiden. Dies wird unter anderem durch Systeme zur Qualitätssicherung entlang der Lieferkette, Baumusterprüfungen und auch Einzelprüfungen unterstützt. Ebenso können auch langjährige Betriebserfahrung unter identischen Rahmenbedingungen („Prior Use“) für den Nachweis herangezogen werden. In Verbindung mit einem Managementsystem der funktionalen Sicherheit kann der Betreiber einer verfahrenstechnischen Anlage dann systematische Fehler über den gesamten Sicherheitslebenszyklus wirksam vermeiden.

In den oben genannten Normen und Regelwerken zur funktionalen Sicherheit kommen all diese Aspekte zu kurz, da sie sich in erster Linie mit dem Design elektrischer Schutzkreise befassen. Hersteller und Betreiber sind deshalb gut beraten, wenn sie auch andere Normen beachten, die ähnliche und auf den Sachverhalt übertragbare Anforderungen formulieren.

So gibt die DIN EN 4126 beispielsweise vor, wie Betreiber gewährleisten können, dass Sicherheitseinrichtungen gegen unzulässigen Überdruck stets zuverlässig funktionieren. Unter anderem müssen die Komponenten gemäß der Kategorie IV gemäß der Druckgeräterichtlinie RL 2014/68/EU mit den dafür zulässigen Modulen für das Qualitätssicherheitsverfahren im Rahmen der Herstellung in Verkehr gebracht werden. Ähnlich beschreibt die DIN EN 161 Anforderungen an automatische Absperrventile für Gasbrenner und Gasgeräte: Wurde das Absperrventil gemäß den Vorgaben hergestellt und geprüft, lässt sich laut Normensetzer ein Ausfall mit Gefährdungspotenzial innerhalb der festgelegten Lebensdauer dann ausschließen, wenn alle Herstellerangaben und Vorgaben zu Wartung und Einsatzbedingungen eingehalten werden.

Heftausgabe: Oktober/2019

Über den Autor

Rainer Semmler, Process Safety Management, TÜV Süd Chemie Service; Christian Eberle, Leiter Kompetenzzentrum Funktionale Sicherheit, TÜV Süd Industrie Service
Loader-Icon