• Die Normen IEC 61511 und 61508 beziehen sich ursprünglich auf sicherheitsbezogene elektrische bzw. elektronische Systeme.
  • Der SIL-Nachweis von PLT-Schutzeinrichtungen muss für die gesamte Einrichtung (Loop) geführt werden, Einzelzertifikate für K0mponenten wie z.B. Armaturen oder Armaturenantriebe des Loops reichen nicht. Vielmehr müssen Betreiber anhand von Kennzahlen der Komponenten den Sicherheitsnachweis selbst führen.


Für Hersteller von Maschinen
  • Der VDMA beschreibt in seinem Leitfaden „Funktionale Sicherheit Armaturen und Armaturenantriebe“ verschiedene Ansätze, um Ausfallraten (Lambda-Werte) zu ermitteln.
  • Daneben enthält der Leitfaden hilfreiche Hinweise, wo die Norm DIN EN 61508 zur Anwendung kommt.

Die Seveso-Katastrophe von 1976 wirkt immer noch nach: Aus einer Fabrik des italienischen Chemiekonzerns Icmesa entwich damals hochgiftiges Dioxin. Die Anlage verfügte weder über automatische Kühlsysteme noch über Warneinrichtungen oder Alarmpläne. Als Folge dieses Unfalls wurde die Verschärfung der Gesetze und Verordnungen zum Schutz von Menschen, Lebewesen und Umwelt beschlossen. Dazu gehören die IEC 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer programmierbarer Systeme“ und IEC 61511 „Funktionale Sicherheit“, „Sicherheitstechnische Systeme in der Prozessindustrie“ (PLT-Schutzeinrichtungen).

Längst hat die Diskussion um Schutzkonzepte sowie die Anwendung der genannten Normen auch die Hersteller und Betreiber mechanischer Komponenten für Schutzeinrichtungen erreicht. Vor allem Anlagenbetreiber versuchen, die für PLT-Schutzeinrichtungen entwickelte Methode auch auf Aktoren wie Armaturen und Armaturenantriebe zu übertragen. Und so wurde eine Diskussion über den Anwendungsbereich und die Relevanz der genannten Normen in diesen Bereichen in Gang gesetzt. Doch gegenüber rein elektronischen Komponenten wie Sensoren besteht die Schwierigkeit bei mechanischen Komponenten wie Armaturen und Pumpen darin, dass die Ausfallwahrscheinlichkeit in hohem Maße von der Anwendung und den Einsatzbedingungen abhängt.
Über die Situation im Segment Pumpen und Kompressoren haben wir in CHEMIETECHNIK 12 berichtet (Artikel „SIL für Pumpen?“, abrufbar unter www.chemietechnik.de). Im November 2008 hat nun der Fachverband Armaturen im VDMA einen Leitfaden verabschiedet, mit dem Klarheit zur SIL-Thematik geschaffen werden soll.
Der Begriff „SIL“ steht für „Safety Integrity Level“. SIL ist ein Maß für die sicherheitsbezogene Leistungsfähigkeit oder Zuverlässigkeit einer elektronischen oder elektrischen Steuerungseinrichtung. Die genannten IEC-Normen markieren einen Wandel bei der sicherheitsrelevanten Auslegung von Anlagenkomponenten: Weg von der bislang geltenden Deterministik (Ereignisse laufen nach feststehenden Gesetzen ab und durch diese vollständig bestimmt) und hin zur Probabilistik, einer Wahrscheinlichkeitsbetrachtung, die ohne die Kenntnis streng kausaler Zusammenhänge auskommt.

Das SIL-Zertifikat einer Komponente ist für den Betreiber wertlos

Wichtig für Betreiber ist in dem Zusammenhang, dass es nicht damit getan ist, SIL-zertifizierte Komponenten einzusetzen. Er muss zunächst anhand einer Gefährdungs- und Risikoanalyse die Gefahren ermitteln, die von einer Anlage ausgehen. Daraus ergibt sich, ob funktionale Sicherheit erforderlich ist. Falls ja, wird ein Safety Integrity Level (SIL) zwischen 1 und 4 festgelegt – ähnlich wie bei der Zoneneinteilung im Explosionsschutz.

Wenn dieses Risiko mit einer PLT-Schutzeinrichtung beherrscht werden soll, muss für diese eine der SIL-Einstufung gemäße Ausfallwahrscheinlichkeit im Anforderungsfall (PFD) nachgewiesen werden. Da Schutzeinrichtungen in der Regel aus mehreren Geräten, z.B. einem Sensor, einer Steuerung und einem Aktor (z.B. Stellventil) aufgebaut werden, reicht es nicht, für die einzelnen Komponenten entsprechende SIL-Zertifikate zu dokumentieren, sondern der SIL-Nachweis muss für den kompletten Steuerkreis (Loop) geführt werden.
Um diesen Nachweis zu führen, benötigt der Betreiber Kennzahlen, die ihm zum Teil von den Herstellern der Komponenten des Sicherheitskreises zur Verfügung gestellt werden müssen. „In einer Bescheinigung des Armaturenherstellers ist daher lediglich die Angabe der Kennzahlen, nicht der SIL-Klasse selbst möglich“, heißt es dazu im VDMA-Leitfaden. Das heißt im Klartext:Ein SIL-Zertifikat für eine Armatur ist für den Betreiber wertlos.
In einer Tabelle des Leitfadens werden die auf Stellgeräte anwendbaren Kennzahlen und deren Ermittlungsmöglichkeiten beschrieben. Dazu gehören zum Beispiel die vom Anwender festzulegende Hardware-Fehler-Toleranz, der Anteil ungefährlicher Ausfälle (SFF), die Wahrscheinlichkeit Gefahr bringender Ausfälle im Anforderungsfall (verschiedene PFD-Werte), die angenommene mittlere Zeit bis zum Gefahr bringenden Ausfall (MTTF), Performance Level sowie die verschiedenen Ausfallraten (Lambda-Werte).
Besonders die verschiedenen Möglichkeiten, Lambda-Werte zu ermitteln, werden für Armaturenhersteller im Leitfaden beschrieben. Diese sind:

  • die Verwendung vorhandener Datenbestände und Erfahrungen im Markt aktiver Institutionen;
  • die Methodik nach DIN EN ESO 13849;
  • der generelle Eignungsnachweis für eine Sicherheitsanforderungsklasse SIL;
  • Prüfschritte für die Eignungsuntersuchung von Stellgeräten nach DIN EN61508-ff.

 

Abschließend beschreibt der Leitfaden Möglichkeiten der Veränderung der SIL-Klasse des Sicherheitssystems durch den Betreiber (DIN EN 61511-ff).

Wo gilt die Norm?

Zum Anwendungsbereich der Norm DIN EN 61508 wird im Leitfaden festgestellt:

  • Armaturen, die nicht in sicherheitsgerichtete Systeme eingebunden werden können (z.B. Handarmaturen ohne Rückmeldung/Endschalter) stehen außerhalb des Anwendungsbereichs der Norm.
  • Dasselbe gilt für selbsttätige Sicherheitsventile, da diese nie Bestandteil der „normalen Betriebsprozesse“ sind, deren funktionale Sicherheit nach SIL überprüft werden soll.
  • Schließlich ist auch für Stellgeräte und deren Einzelkomponenten als mechanischen Bauteilen (z.B. Armaturen, Armaturenantriebe, Stellungsregler) eine Klassifizierung gemäß SIL nach DIN EN 61508-ff nicht unmittelbar möglich. Jedoch können Kennzahlen (z.B. Ausfallraten, Hardware-Fehler-Toleranzen) definiert werden, die zu einer Bestimmung des SIL des kompletten sicherheitsrelevanten Systems verwendet werden können.
  • Aber hierbei gilt: Die DIN EN 61508 ist nicht unter einer für Armaturen relevanten EU-Richtlinie harmonisiert, d.h. eine automatische Vermutungswirkung zur Erfüllung der Schutzziele einer Richtlinie geht von ihr nicht aus. Ihre Einhaltung ist daher freiwillig und somit unverbindlich im Sinne der EU-Richtlinien. Es bleibt also jedem Armaturenhersteller im Dialog mit seinem Kunden überlassen, ob und inwieweit sinnvollerweise Kennzahlen definiert werden, die im Rahmen einer SIL Klassifizierung als Grundlage zur Bewertung der Komponente „Armatur“ Berücksichtigung finden sollen.

 

Direkt umsetzbare Hilfestellung für die Ermittlung von konkreten Kennzahlen sollten sich Anwender und Hersteller von dem Leitfaden allerdings nicht erwarten. Denn, wie bereits oben beschrieben, hängt die Ausfallwahrscheinlichkeit mechanischer Komponenten entscheidend von den Einsatzbedingungen ab. Und diese differieren von Anwendung zu Anwendung in der Regel enorm. Und auch einem weiteren Vorwurf ist der Leitfaden ausgesetzt: Er enthält keine Hinweise zur Qualitätssicherung bei der Entwicklung, Konstruktion und Herstellung. Aspekte, die beispielsweise von Sensor-Herstellern anhand der Normen IEC 61508 und IEC 61511 als wesentlich erachtet werden. Der VDMA verweist dazu auf die existierende Qualitätssicherung in der Armaturenbranche. „Mit den Mindestanforderungen des VDMA-Papiers wird Herstellern mit niedrigen Qualitätsstandards der Weg zum Missbrauch (SIL-Zertifikat) geebnet – und das widerspricht den Sicherheitsanforderungen“, befürchtet Lothar Grutesen vom Armaturenhersteller Arca im CT-Interview in dieser Ausgabe. Denn, obwohl ein Anlagenbetreiber für den SIL-Nachweis seiner Schutzeinrichtungen Kennzahlen und keine Einzelzertifikate für Komponenten benötigt, werden „SIL-Zertifikate“ für Komponenten von manchen Herstellern als Gütesiegel verwendet.

Fazit: Zu den wichtigsten Feststellungen im Leitfaden „Funktionale Sicherheit, Safety Integrity Level SIL“ des VDMA-Fachverbandes Armaturen gehört, dass in einer Bescheinigung des Armaturenherstellers lediglich Kennzahlen, nicht aber eine SIL-Klasse angegeben werden können.

 

Sie möchten gerne weiterlesen?

Unternehmen

VDMA - Verband Deutscher Maschinen-und Anlagenbau e. V.

Lyoner Straße 18
60528 Frankfurt/Main
Germany