Erfahrungsberichte zur Umsetzung einer Gefahren- und ... · PDF fileInhalt Funktionale...

Thomas Wollnik

5. Instandhaltungsworkshop Uniper Anlagenservice GmbH

Land Gut Höhne, Mettmann/Düsseldorf

28.11. – 01.12.2017

Erfahrungsberichte zur Umsetzung einer

Gefahren- und Risikobeurteilung für Kessel,

Turbine u. Nebenanlagen

Inhalt

Funktionale Sicherheit EN 61508

Definition Gefahren und Risiko

Methoden zur Gefahren- und

Risikobeurteilung

Durchführung einer Gefahren- und

Risikobeurteilung

2

Gefahren- u. Risikobeurteilung

Gefahren und Risiken

3

Die Einsicht

und

Erkenntnis

Gefahren und Risiken

zu erkennen

und

zu bewerten

ist

historisch

gewachsen

Funktionale Sicherheit nach IEC / EN 61508

Von verfahrenstechnischen Anlagen gehen unterschiedliche Gefahrenpotenziale

aus, die im Schadensfall schwere Auswirkungen auf Menschen, Umwelt und

Sachwerten verursachen können.

Damit Menschen, Umwelt und Anlagen vor Schäden geschützt sind, muss der

Anlagenbetreiber die Risiken seiner Anlage kennen bzw. ermitteln und mit der

Durchführung von geeigneten Schutzmaßnahmen eine Risikoreduzierung auf

ein akzeptables Restrisiko erreichen.

4

Die IEC/EN 61508 beschreibt die Vorgehensweise zur Risikominderung

durch Sicherheitseinrichtungen, die elektrische/elektronische /

programmierbare elektronische (E/E/PE-)Bauteile beinhalten.

Funktionale Sicherheit nach IEC / EN 61508

Ein wesentlicher Schwerpunkt der IEC/EN 61508 liegt in der Bestimmung der

Sicherheitsanforderungsstufe Safety Integrity Level – SIL 1 bis SIL 4.

Diese ist ein Maß für die notwendige bzw. erreichte risikomindernde

Wirksamkeit von Sicherheitsfunktionen im Anforderungsfall.

Elektrische, elektronische oder programmierbare elektronische Systeme

(Komponenten) die für die Ausführung von sicherheitstechnischen Funktionen

eingesetzt werden, müssen erhöhten Anforderungen in Bezug auf ihre

Fehlersicherheit entsprechen und werden anhand dieses

Sicherheitsintegritätslevels (SIL) 1-4 klassifiziert.

5

Funktionale Sicherheit nach IEC / EN 61508

Definition Sicherheits-Integritäts-Level / SIL

SIL ist ein relatives Maß für die sicherheitsbezogene Leistungsfähigkeit oder

Zuverlässigkeit einer elektronischen oder elektrischen Sicherheitseinrichtung.

Eine Sicherheitseinrichtung hat das Ziel, das Risiko an einer Maschine oder

Anlage zu reduzieren.

Je größer der Sicherheits-Integritäts-Level einer Sicherheitseinrichtung, umso

größer ist die Risikoreduzierung.

Jeweilige Risikoreduzierung um den Faktor 10 mit steigender SIL Einstufung

6

Sicherheitseinrichtung Faktor Risikoreduzierung der Anlage

SIL 1 10 bis 100

SIL 2 100 bis 1000

SIL 3 1000 bis 10000

SIL 4 10000 bis 100000

Funktionale Sicherheit nach IEC / EN 61508

Ausfallwahrscheinlichkeit (PFD)

7

Die Grundlage der Funktionalen Sicherheit SIL basiert auf einer

Berechnung der Ausfallwahrscheinlichkeit, d.h. die Wahrscheinlichkeit das

eine Sicherheitsfunktion genau zum Anforderungszeitpunkt versagt.

iDUTPFD 2

11001

PFDa (low demand mode)

Mittlere Ausfallwahrscheinlichkeit im

Anforderungsfall für eine Betriebsart

mit niedriger Anforderungsrate

(maximal einmal im Jahr)

PFH (high demand mode)

Mittlere Ausfallwahrscheinlichkeit im

Anforderungsfall pro Stunde für eine

Betriebsart mit hoher oder

kontinuierlicher Anforderungsrate

Funktionale Sicherheit nach IEC / EN 61508

Ausfallwahrscheinlichkeit

8

Auszüge gemäß EN 61508

SIL PFH

4 ≥ 10 𝑏𝑏𝑏 < 10

3 ≥ 10 𝑏𝑏𝑏 < 10

2 ≥ 10 𝑏𝑏𝑏 < 10

1 ≥ 10 𝑏𝑏𝑏 < 10

SIL PFDavg

4 ≥ 10 𝑏𝑏𝑏 < 10

3 ≥ 10 𝑏𝑏𝑏 < 10

2 ≥ 10 𝑏𝑏𝑏 < 10

1 ≥ 10 𝑏𝑏𝑏 < 10

Gefahrenpotentiale müssen erkannt und

bewertet werden

9

Von Anlagen oder Anlagenteile gehen unterschiedliche Risiken aus. Die sicherheitstechnischen Anforderungen müssen immer anlagen- bzw. projektspezifisch beurteilt werden. Die Gegebenheiten am Standort, Betriebsweisen und der Umfang der Umbaumaßnahme verlangen nach einer differenzierten Betrachtungsweise der Anlage.

Gefährdung und Risiko ?

10

Risiko = Wahrscheinlichkeit x Schadensausmaß

11

RISIKO

AUSMASS

des

möglichen

Schadens,

der durch

eine

Gefährdung

verursacht

werden kann

WAHRSCHEINLICHKEIT DES

EINTRITTES

dieses Schadens

Häufigkeit und Dauer der

Gefährdungssituation

Eintrittswahrscheinlichkeit eines

Gefährdungsereignisses

Möglichkeit zur Vermeidung oder

Begrenzung des Schadens

= X

Risikominimierung

12

Notwendige Risikoreduzierung

Risiko

Tatsächliche Risikoreduzierung

Pro

ze

sste

ch

nis

che

s R

isik

o

ve

rble

ibe

nd

es R

isik

o

Gefahr„Sicherheit“

Gre

nzri

sik

o

Unterschiedliche Methoden

13

PAAG FMEA

Ereignisbaum-analyse

Fehlerbaum-analyse

HAZOP FMEDA

Risikograph

Sicherheits-betrachtung

LOPA

Gefahren- und Risikobeurteilung

Realisierung

Grundvoraussetzung für die Durchführung einer Gefahren- und

Risikobeurteilung ist die Bildung eines Teams aus qualifizierten Fachkräften,

Betriebspersonal, Wartungs- und Instandhaltungskräfte und Experten.

Dieses Team muss über die entsprechende Befugnisse und Kompetenzen

verfügen, d.h. Ausbildung, Fachwissen, Erfahrung und Qualifikationen sollten für

die jeweilige Anwendung angemessen sein.

Es empfiehlt sich ggf. die zuständige Überwachungs-Stelle frühzeitig in die

Sicherheitsbetrachtung mit einzubinden.

14

Gefahren- und Risikobeurteilung

Technische Unterlagen

15

R&I

Funktionspläne Schutzkreise

Stromlaufpläne Schutzkreise

Messstellenliste, Grenzwertliste

Betriebshandbuch,

Verfahrenstechnische Beschreibung

Gefahren- und Risikobeurteilung

Technische Unterlagen

16

Ursachen-Wirkungs-Matrix

Gefahren- und Risikobeurteilung

Normative Anforderungen beachten

Anforderungen an Rost- und Wirbelschichtfeuerungsanlagen gemäß der DIN EN 12952-16

17

9.2.1 Rostfeuerungsanlagen sind mit einem Begrenzer für

den Feuerraumdruck und mit einer Sauerstoffmess-

einrichtung im Rauchgas auszurüsten.

Wirbelschichtfeuerungsanlagen sind mit Begrenzern für die

Fluidisierung entsprechend 8.1.4, für die minimale

Wirbelbettemperatur, für den Feuerraumdruck und mit einer

Sauerstoffmesseinrichtung im Rauchgas auszurüsten.

Quelle EN 12952

Gefahren- und Risikobeurteilung

18

Quelle VGB S008

VGB Standard S008

Empfehlungen zur SIL

Einstufung von

Sicherheitsfunktionen in

Dampfkesselanlagen

Gefahren- und Risikobeurteilung

Methode Risikograph

19

Gefahren- und Risikobeurteilung

Methode Risikograph

Der Risikograph beruht auf dem Prinzip, dass das Risiko proportional zu der

Auswirkung und der Häufigkeit des gefährlichen Ereignisses ist.

20

Quelle EN 50156

Anwendung Risikograph

Bei der Abschätzung des von der PLT-Schutzeinrichtung abzudeckenden

Risikos ist von dem Risiko auszugehen, das ohne Vorhandensein der zu

betrachtenden PLT-Schutzeinrichtung anzunehmen ist. ( Jedoch typische nicht

sicherheitstechnische Systeme wie PLT-Betriebs- und PLT-Überwachungs-

einrichtungen vorhanden sind).

21

Bewertung von vier Risikoparameter

1. Auswirkung des gefährlichen Ereignisses

2. Aufenthaltshäufigkeit und Dauer im gefährlichen Bereich

3. Möglichkeit, der Abwendung des gefährlichen Ereignisses

4. Eintrittswahrscheinlichkeit des unerwünschten Ereignisses

Risikograph

1. Auswirkung des gefährlichen Ereignisses

C1: Leichte Verletzung einer Person; schädliche Umwelteinflüsse,

die z. B. nicht unter die Störfallverordnung fallen.

C2: Schwere, irreversible Verletzung von einer oder mehreren Personen

oder Tod einer Person;

vorübergehende größere schädliche Umwelteinflüsse,

z. B. nach Störfall-Verordnung.

C3: Tod mehrerer Personen; lang andauernde größere schädliche

Umwelteinflüsse, z. B. nach Störfall-Verordnung.

C4: Katastrophale Auswirkung, sehr viele Tote.

22

Risikograph

2. Aufenthaltshäufigkeit und Dauer im gefährlichen Bereich

Unter diesem Parameter wird folgendes Kriterium betrachtet:

Aufenthalt im Gefahrenbereich (zeitliche, Dauer, Häufigkeit):

• selten

• öfter

• sehr oft/permanent

F1: Seltener bis öfterer Aufenthalt im Gefahrenbereich.

F2: Häufiger bis dauernder Aufenthalt im Gefahrenbereich.

23

Risikograph

3. Möglichkeit, der Abwendung des gefährlichen Ereignisses

P1: Möglich unter bestimmten Bedingungen

P2: Kaum möglich

24

Risikograph

Eintrittswahrscheinlichkeit des unerwünschten Ereignisses

W1: Sehr geringe Wahrscheinlichkeit des unerwünschten Ereignisses bedeutet,

dass bei dem betrachteten Prozess oder gegebenenfalls vergleichbaren

Prozessen (ohne Vorhandensein einer PLT Schutzeinrichtung) nur sehr wenige

unerwünschte Ereignisse zu erwarten sind.

W2: Geringe Wahrscheinlichkeit des unerwünschten Ereignisses bedeutet,

dass bei dem betrachteten Prozess oder gegebenenfalls vergleichbaren

Prozessen (ohne Vorhandensein einer PLT Schutzeinrichtung) wenige

unerwünschte Ereignisse zu erwarten sind.

W3: Relativ hohe Wahrscheinlichkeit des unerwünschten Ereignisses bedeutet,

dass bei dem betrachteten Prozess oder gegebenenfalls vergleichbaren

Prozessen (ohne Vorhandensein einer PLT Schutzeinrichtung) häufiger

unerwünschte Ereignisse zu erwarten sind.

25

Risikograph gemäß der DIN EN 50156

26

Folgen des gefährlichen Ereignisses:o lC1: leichte Verletzung

o lC2: schwere irreversible Verletzungeiner oder mehrerer Personen;Tod einer Person

o lC3: Tod mehrerer Personen

o lC4: sehr viele ToteH ä uf igk e it und D a ue r de s A uf e n t ha lt s im G e f a hre nbe re ic h

o lF1: selten bis öfter

o lF2: häufig bis dauerndM ö glic hk e it de r A bwe ndung de s ge f ä hrlic he n E re ign is s e s

o lP1: möglich unter bestimmten Bedingungen

o lP2: kaum möglich

Eintrittswahrscheinlichkeito lW3: relativ hohe Wahrscheinlichkeit

o lW2: geringe Wahrscheinlichkeit

o lW1: sehr geringe Wahrscheinlichkeit

a keine besonderen Sicherheitsanforderungen

Gefahren- und Risikobeurteilung

SIL Klassifizierung - Beispiel-

27

Ergebnis einer

Gefahren – und

Risikobeurteilung

für eine Anlage mit

Wirbelschicht-

feuerung

VGB-Standard S-008

28

Gefahren- und Risikobeurteilung

Anwendung einer HAZOP

HAZOP (Hazard and Operability analysis)

29

Bei der HAZOP werden mögliche Systemabweichungen von der

Sollfunktion sowie deren Ursachen und Auswirkungen ermittelt .

Systemabweichungen werden mit Hilfe von Schlüsselwörtern

(Leitwörtern) und Parameter definiert.

Strukturierte und detaillierte Untersuchung eines Prozesses

Kann qualitativ sowie quantitativ ausgeführt werden

HAZOP

Leitwort:

Wort, welches eine Abweichung von der Sollfunktion definiert.

Abweichung:

Die Abweichung von der Sollfunktion wird als Kombination eines Leitwortes mit

einem Parameter des Systems gebildet.

30

Leitwort

Mehr

Weniger

kein

Parameter

Druck

Füllstand

Durchfluss

Abweichung

Mehr Druck (Druck zu hoch)

Weniger Füllstand (Stand min)

Kein Durchfluss

HAZOP

31

Behälter wird

überfüllt

Nr. Leitwort Abweichung Ursache Auswirkung Maßnahmen

1. hoch Füllstand hoch fehlerhafte

Füllstandsmessung

Behälter wird

überfüllt

Überfüllschutz-

einrichtung

2. hoch Füllstand hoch Einlaufventil

defekt

Überfüllschutz-

einrichtung

HAZOP

Umsetzung der sicherheitstechnischen Maßnahme

32

Behälter wird

überfüllt

Nr. Leitwort Abweichung Ursache Auswirkung Maßnahmen

1. hoch Füllstand hoch fehlerhafte

Füllstandsmessung

Behälter wird

überfüllt

Überfüllschutz-

einrichtung

2. hoch Füllstand hoch Einlaufventil

defekt

Überfüllschutz-

einrichtung

Gefahren- und Risikobeurteilung

HAZOP

33

Gefahren- und Risikobeurteilung

Beurteilung einer Turbine

34

Gefahren- und Risikobeurteilung

VDMA Einheitsblatt

35

Gefahren- und Risikobeurteilung

VDMA Einheitsblatt

36

Gefahren- und Risikobeurteilung Turbine

37