SAFEBK-RM-3A-DE-P, PROZESS-SAFEBOOK 1 - … · Kapitel 8 LOPA-Analyse ... mit Techniken erläutert werden, mit deren Hilfe sich diese Anforderungen erfüllt lassen. Haftungsausschluss

PRO

ZESS

-SAF

EBO

OK

1

Funktionale Sicherheit in derProzessindustrieGrundsätze, Normen und Realisierung

Hauptverwaltung für Antriebs-, Steuerungs- und InformationslösungenAmerika: Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204 USA, Tel: +1 414 382 2000, Fax: +1 414 382 4444Europa/Naher Osten/Afrika: Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgien, Tel: +32 2 663 0600, Fax: +32 2 663 0640 Asien/Australien/Pazifikraum: Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, China, Tel: +852 2887 4788, Fax: +852 2508 1846

Deutschland: Rockwell Automation GmbH, Parsevalstraße 11, 40468 Düsseldorf, Tel: +49 (0)211 41553 0, Fax: +49 (0)211 41553 121Schweiz: Rockwell Automation AG, Industriestrasse 20, CH-5001 Aarau, Tel: +41(62) 889 77 77, Fax: +41(62) 889 77 11, Customer Service – Tel: 0848 000 277Österreich: Rockwell Automation, Kotzinastraße 9, A-4030 Linz, Tel: +43 (0)732 38 909 0, Fax: +43 (0)732 38 909 61

www.rockwel lautomation.com

Publikation: SAFEBK-RM003A-DE-P – März 2013 © 2013 Rockwell Automation, Inc. Alle Rechte vorbehalten. PRO

ZESS

-SA

FEBO

OK

1–

Funk

tiona

leSi

cher

heit

in d

er P

roze

ssin

dust

rie/G

rund

sätz

e, N

orm

en u

nd R

ealis

ieru

ng

Ebenfalls verfügbar:Safebook 4 – Sicherheitsbezogene Steuerungssystemefür Maschinen.In diesem praktischen Handbuch sind die Grundsätze derMaschinensicherheit, Gesetzgebung, Theorie und Praxisbeschrieben.Publikation Nummer: SAFEBK-RM002B

Ein Exemplar dieses Handbuchs erhalten Sie bei IhremRockwell Automation-Vertreter oder unterwww.rockwellautomation.com

PROZESS-SAFEBOOK 1

Funktionale Sicherheit in der Prozessindustrie

1

Inhalt

Kapitel 1 Einführung in die Norm IEC 61511 ......................................................... 3

Kapitel 2 Sicherheitslebenszyklus ....................................................................... 11

Kapitel 3 Gefahren und Gefahrenerkennung ..................................................... 19

Kapitel 4 Risiko und Risikominimierung ............................................................. 32

Kapitel 5 ALARP-Prinzip ....................................................................................... 43

Kapitel 6 SIL-Bestimmung ................................................................................... 49

Kapitel 7 Risikodiagramme .................................................................................. 65

Kapitel 8 LOPA-Analyse ........................................................................................ 72

Kapitel 9 Zuordnung von Sicherheitsfunktionen .............................................. 85

Kapitel 10 SIS – Spezifikationen der sicherheitstechnischen Anforderungen ..................................................................................... 89

Kapitel 11 SIS – Entwicklung und Engineering ................................................... 91

Kapitel 12 Techniken für mehr Zuverlässigkeit ................................................... 93

Kapitel 13 SIL-Verifizierung ................................................................................. 128

Kapitel 14 SIF-Ausfallwahrscheinlichkeit ........................................................... 142

Kapitel 15 Installation, Inbetriebnahme und Validierung ................................ 155

Kapitel 16 Betrieb und Instandhaltung .............................................................. 158

Kapitel 17 Änderung und Außerbetriebnahme ................................................. 161

Kapitel 18 Funktionale Sicherheit, Beurteilung und Prüfung .......................... 163

Kapitel 19 Referenzen ......................................................................................... 170

Kapitel 20 Definitionen ....................................................................................... 171

Kapitel 21 Abkürzungen ...................................................................................... 178

2

PROZESS-SAFEBOOK 1


Vorwort

IEC 61508 deckt das Sicherheitsmanagement elektrischer, elektronischer und program -mierbarer elektronischer Systeme während ihrer gesamten Lebensdauer, vom Konzept biszur Außerbetriebnahme, ab. Die Norm stellt Sicherheitsgrundsätze für das Management vonSystemen sowie sicherheitstechnische Anforderungen für deren Entwicklung auf.

Das Grundprinzip der Norm: Sicherheitsziele werden auf Basis der Risikobeurteilung bei derSicherheitsplanung ausgegeben und müssen anschließend durch angemessenes Sicher -heitsmanagement und passende Prozesse erreicht werden. Die Norm orientiert sich somitvornehmlich an den Zielen und ist weniger vorschreibend. Die bloße Einhaltung der Normbefreit also die Anwender beim Auftreten eines Sicherheitsproblems nicht von der Haftung.

Die Norm ist sowohl als Grundlage für die Vorbereitung spezifischer Normen als auch für deneigenständigen Einsatz gedacht. Allerdings wird Ersteres bevorzugt, denn der eigenständigeEinsatz erfordert die Anpassung der Norm, ein umfassendes Verständnis der Norm durch dasManagement und eine aufwändige Planung ihrer Einführung und Verwendung.

Es hat sich herausgestellt, dass viele Probleme haben, die Norm zu verstehen. Trotzdemhatte sie bereits enormen Einfluss. Sie war und wird auch weiterhin die Grundlage modernerSicherheitsnormen und Rechtsstrukturen sein. Daher ist es wichtig, dass sich alle Verant -wortlichen in jeder Phase des Lebenszyklus eines sicherheitsbezogenen Systems bemühen,die Norm in ihrer gesamten Tragweite zu verstehen.

Dieses Dokument soll in die funktionale Sicherheit einführen und eine Anleitung für dieAnwendung von IEC 61511, der für die Prozessindustrie spezifischen Implementierung vonIEC 61508, geben. Auch wenn die amerikanische Norm ANSI/ISA-84.00.01 auf IEC 61511basiert, ist sie im Grunde genommen ähnlich, weshalb diese Anleitung für beide gilt.

Mit diesem Dokument sollen Informationen und Anleitungen bereitgestellt werden, damit dieNormen besser verstanden und ihre Anforderungen erfüllt werden können. Das Doku mentverwendet einfache Formulierungen, die mit Praxisbeispielen aus tatsächlichen Projektenillustriert sind. Dadurch können die grundlegenden Prinzipien und Anforderungen zusammenmit Techniken erläutert werden, mit deren Hilfe sich diese Anforderungen erfüllt lassen.

Haftungsausschluss

Zwar wurden die hier dargestellten Techniken erfolgreich eingesetzt, um die Konformitättatsächlicher Projekte zu veranschaulichen. Es muss jedoch klar sein, dass die Konformität,die Techniken, die zur Veranschaulichung der Konformität verwendet werden, und dieZusammenstellung unterstützender Nachweise Sache des jeweils Verantwortlichen sind.

In eckigen Klammern [ ] angegebene Begriffe geben einen Querverweis auf einen Abschnittinnerhalb dieses Dokuments an.

PROZESS-SAFEBOOK 1

Einführung in die Norm IEC 61511

3

1. Einführung in die Norm IEC 61511

1.1. Was sind IEC 61508 und IEC 61511?

IEC 61508 ist eine internationale Norm, die von der Internationalen Elektrotechnik-Kommission (IEC) veröffentlicht wurde. Primäres Ziel dieser Norm ist die Definitionvon Aspekten, die beachtet werden müssen, wenn elektrische, elektronische oderprogrammierbare elektronische Systeme (E/E/PE-Systeme) zum Ausführen vonSicherheitsfunktionen verwendet werden.

IEC 61508 [19.1] ist eine generische Norm, die für alle sicherheitsrelevanten E/E/PE-Systemegilt, ganz gleich, wofür sie eingesetzt werden. Der Titel dieser Norm lautet:

IEC 61508:2010 Funktionale Sicherheit sicherheitsbezogenerelektrischer/elektronischer/programmierbarer elektronischer Systeme.

Die Norm basiert auf dem primären Prinzip, dass ein Prozess vorliegt, der für die Sicherheitoder die Umgebung möglicherweise ein Risiko darstellt, falls hinsichtlich des Prozessesoder der Einrichtung ein Problem auftritt. Die Norm zielt also auf Prozessstörungen undSystemausfälle und nicht auf Gefahren für die Gesundheit und Sicherheit ab, wie z. B.Ausfälle. Sie ermöglicht das Management der Prozesssicherheit auf systematische undrisikoabhängige Weise.

Die Norm geht davon aus, dass Sicherheitsfunktionen bereitgestellt werden, um solcheRisiken zu minimieren. Sicherheitsfunktionen können in ihrer Gesamtheit ein sicherheits -technisches System (SIS – Safety Instrumented System) bilden. Daher muss ihr Aufbau undBetrieb auf der Beurteilung und dem Verständnis der bestehenden Risiken basieren.

Ein sekundäres Ziel der Norm IEC 61508 ist es, die Entwicklung von sicherheitsrelevantenE/E/PE-Systemen zu ermöglichen, bei denen eventuell keine Normen für den Anwen dungs -sektor bestehen. Eine solche nachrangige Richtlinie in der Prozessindustrie wird von derinternationalen Norm IEC 61511 [19.2] abgedeckt. Der Titel dieser Norm lautet:

IEC 61511:2004 Funktionale Sicherheit – Sicherheitstechnische Systeme für dieProzessindustrie.

IEC 61511 ist keine Konstruktionsnorm, sondern eine Norm für das Management derSicherheit während des gesamten Lebenszyklus eines Systems – vom Konzept bis zurAußerbetriebnahme. Diesem Ansatz liegt der gesamte Sicherheitslebenszyklus zugrunde,der die Aktivitäten beschreibt, die sich auf die Spezifikation, Entwicklung, den Betrieb oderdie Instandhaltung eines SIS beziehen.

4

PROZESS-SAFEBOOK 1


1.2. Was ist funktionale Sicherheit?

IEC 61511-1, 3.2.25 enthält die folgenden Definitionen.

„Teil der Gesamtsicherheit, der sich auf den Prozess und das BPCS bezieht und der vonder bestimmungsgemäßen Funktion des SIS und anderer Sicherheitsebenen abhängt“

Einfacher gesagt, die funktionale Sicherheit ist die Risikominimierung, die von denFunktionen bereitgestellt wird, die implementiert wurden, um den sicheren Betriebdes Prozesses zu gewährleisten.

1.3. Internationale Elektrotechnische Kommission (IEC)

Die Internationale Elektrotechnik-Kommission wurde 1906 gegründet und hat ihren Sitzin Genf (Schweiz). Der britische Wissenschaftler Lord Kelvin war ihr erster Vorsitzender.Sie arbeitet internationale Normen für Elektrotechnologie (also Elektro-, Elektronik- undähnliche Technologien) aus und veröffentlicht diese.

Die IEC unterstützt die Sicherheit und ökologische Leistung der Elektrotechnologie, fördertdie Energieeffizienz und erneuerbare Energiequellen und verwaltet die Beurteilung derKonformität von Einrichtungen, Systemen oder Komponenten gemäß den internationalenNormen.

Die Norm und alle anderen IEC-Publikationen sind geschützt und unterliegen denBedingungen des Urheberrechts. Sie können jedoch käuflich erworben oder von der IEC-Website heruntergeladen werden [http://www.iec.ch].

1.4. Aufbau der Norm

Die Norm besteht aus drei Teilen, wie Abbildung 1 zeigt.

PROZESS-SAFEBOOK 1


5

Technische Anforderungen

Unterstützende Teile

Teil 1IEC 61511-1, 8: Entwicklung der gesamten Sicherheitsanforderungen (Konzept, Umfang, Risiko- und Gefährdungs-Beurteilung)

Teil 1IEC 61511-1, 9, 10: Zuordnung der Sicherheitsanforderungen zu sicherheitstechnischen Funktionen und Erstellung der Spezifikation der Sicherheitsanforderungen

Teil 1IEC 61511-1, 11, 12

Entwurf der sicherheitstechnischen Systeme

Erstellung der SIS-Software

Teil 1IEC 61511-1, 13, 14, 15: Werksendprüfung, Montage, Inbetriebnahme und Validierung des SIS

Teil 1IEC 61511-1, 16, 17, 18: Betrieb, Instandhaltung, Änderung und Rückbau, Außerbetriebnahme oder Demontage des SIS

Teil 1IEC 61511-1, 2: VerweiseIEC 61511-1, 3: Begriffeund AbkürzungenIEC 61511-1, 4: KonformitätIEC 61511-1, 5: Management der funktionalen SicherheitIEC 61511-1, 6: Anforderungen an den SicherheitslebenszyklusIEC 61511-1, 7: VerifikationIEC 61511-1, 19: Anforderungen an die DokumentationIEC 61511-1, Anhang A: UnterschiedeTeil 2IEC 61511-2: Anleitung zur Anwendung von Teil 1Teil 3IEC 61511-3: Anleitung für die Ermittlung der erforderlichen SIL

Abbildung 1: Struktur der Norm

6

PROZESS-SAFEBOOK 1


Teil 1 beschreibt, welche Anforderungen für die Konformität erfüllt sein müssen. Es werdenProjektplanung, Management, Dokumentation und Anforderungen hinsichtlich derKompetenz sowie die technischen Voraussetzungen für das Erreichen von Sicherheitwährend des gesamten Lebenszyklus definiert.

Im Allgemeinen ist Teil 1 „standardbezogen“, d. h. er definiert bestimmte Anforderungenhinsichtlich der Konformität und weist eine konsistente Struktur auf, um die KonformitätAbschnitt für Abschnitt zu veranschaulichen.

Teil 2 enthält Anweisungen zur Anwendung von Teil 1.

Teil 3 enthält ausgearbeitete Beispiele für die Risikobeurteilung, anhand der die Sicherheits-Integritätslevel [4] zugeordnet werden.

Die Teile 2 und 3 sind „informativ“ und enthalten eine Anleitung zu normativenAnforderungen.

1.5. Konformität mit IEC 61511

1.5.1. Anforderungen des Gesetzes zur Gesundheit und Sicherheit am Arbeitsplatz (Healthand Safety at Work Act) von 1974

Der Health and Safety at Work Act von 1974 (HASAW oder HSW) ist das primäre Gesetz, dasdie Gesundheit und Sicherheit am Arbeitsplatz in Großbritannien betrifft. Die HSE (Healthand Safety Executive) ist dafür verantwortlich, dass das Gesetz und andere Gesetze sowieandere Rechtsverordnungen für Arbeitsumgebungen eingehalten werden.

Hinweis: In anderen Ländern der Welt gelten ähnliche Gesetze oder Richtlinie wie der Healthand Safety at Work Act 1974 (UK). Gehen Sie in diesem Dokument bei Erwähnung des Healthand Safety at Work Acts zur Vereinfachung davon aus, dass in Ihrem Land auch andererelevante Gesetze und Richtlinie gelten können.

Den vollständigen Text des Gesetzes können Sie beim Office of Public Sector Information(OPSI) anfordern oder kostenlos herunterladen. Benutzer der rechtlichen Informationenmüssen bestimmte Vorsichtsmaßnahmen treffen. Gedruckte oder Online-Dokumente sindeventuell nicht auf dem aktuellen Stand, weshalb Benutzer sich unabhängigen rechtlichenRat einholen oder die HSE-Infoline konsultieren sollten[http://www.hse.gov.uk/contact/index.htm].

Einfach ausgedrückt definiert der Health and Safety at Work Act, dass es die Pflicht jedesArbeitgebers ist, die Gesundheit, Sicherheit und das Wohlergehen aller seiner Mitarbeiter beider Arbeit sicherzustellen, sofern dies auf einigermaßen praktikable Weise möglich ist. Hierzugehört die Bereitstellung und Wartung sicherer und für die Gesundheit unbedenklicherAnlagen und Arbeitssysteme, sofern dies auf einigermaßen praktikable Weise möglich ist.

PROZESS-SAFEBOOK 1


7

Außerdem ist es die Pflicht jedes Mitarbeiters, seinen Verpflichtungen so nachzukommen,dass Personen, die nicht bei ihm beschäftigt sind, jedoch betroffen sein könnten, nicht denGesundheits- oder Sicherheitsrisiken ausgesetzt werden, sofern dies auf einiger maßenpraktikable Weise möglich ist.

1.5.2. Anforderungen hinsichtlich der Konformität

IEC 61511 definiert, dass zur Beanspruchung der Konformität demonstriert werden muss,dass die Anforderungen der Norm hinsichtlich der erforderlichen Kriterien erfüllt wurdenund dass alle Ziele der einzelnen Abschnitte oder Unterabschnitte erreicht wurden.

In der Praxis ist es in der Regel schwierig, die vollständige Konformität mit jedem Abschnittund jedem Unterabschnitt der Norm zu beweisen. Daher ist eine Beurteilung erforderlich,um bestimmen zu können, wie konsequent die Einhaltung der Anforde rungen durchgesetztwird. Typischerweise hängt der Grad der erforderlichen Konsequenz von verschiedenenFaktoren ab wie z. B.:

• Art der Gefahren• Schwere der Konsequenzen• Erforderliche Risikominimierung• Anzuwendende Lebenszyklusphase• Involvierte Technologie• Aktualität des Aufbaus

In anderen Worten: Es muss eine risikobasierte Entscheidung getroffen werden. WennErfahrungen fehlen, würde die Einbindung von externen Beteiligten die Glaubwürdigkeitder Inanspruchnahme bekräftigen.

1.5.3. Konsequenzen der Nichteinhaltung

Da die Norm kein Gesetz ist, müssen Sie sich über die Konsequenzen der Nichteinhaltungim Klaren sein, ganz gleich, ob Sie die Anforderungen erfüllen oder nicht. Als Arbeitgeber,Verantwortlicher oder Risikoeigner sind Sie laut dem Health and Safety at Work Act dazuverpflichtet, die Risiken an Ihrer Arbeitsstätte zu verwalten.

Die Norm stellt ein systematisches Konzept für das Management aller Aktivitäten währenddes Sicherheitslebenszyklus für Systeme zur Verfügung, die zum Ausführen von Sicherheits -funktionen dienen. Aus diesem Grund ist die Norm eine gute Quelle für Informationen undTechniken. Falls etwas nicht nach Plan läuft, sodass eine Person verletzt oder krank wird undSie nicht die besten Informationen genutzt haben, die Ihnen zur Minimierung dieses Risikoszur Verfügung standen, würde dieser Vorfall nach dem Health and Safety at Work Actuntersucht und Sie würden strafrechtlich verfolgt.

8

PROZESS-SAFEBOOK 1


Die Informationen, die Sie zusammenstellen und die Analyse, die Sie zum Erfüllender Anforderungen von IEC 61511 erstellen, können Sie dann vor Gericht zu IhrerVerteidigung anführen, wenn der Ernstfall eintreten sollte.

1.5.4. Anforderungen hinsichtlich der Konformität bei einer neuen Anlage

Wenn Sie an einem beliebigen Teil des Sicherheitslebenszyklus beteiligt sind, sollten Sievernünftigerweise die besten Informationen nutzen, die Ihnen zur Verfügung stehen, umsicherzustellen, dass die Risiken, die von Ihrer Anlage ausgehen, auf ein tolerierbares Maßverringert werden. Es könnte argumentiert werden, dass die besten verfügbaren Infor -mationen in IEC 61511 zu finden sind. Aus diesem Grund könnte es Ihnen als Nachlässig keitausgelegt werden, wenn es zu einem Zwischenfall kommt.

1.5.5. Anforderungen hinsichtlich der Konformität bei einer bestehenden Anlage

Es gibt viele Anlagen, die konstruiert und gebaut wurden, bevor IEC 61511 formalveröffentlicht und allgemein verfügbar wurde. Dieser Umstand ändert jedoch nichts an IhrerVerantwortung. Und falls Sie an einem Sicherheitslebenszyklus einer älteren Anlage beteiligtsind, z. B. für deren Betrieb, Instandhaltung usw., bleiben die Verpflichtungen gemäß desHealth and Safety at Work Act bestehen und die Risiken müssen dennoch minimiert werden.Die Norm gilt daher auch für diese älteren Anlagen.

ANSI/ISA-84 bezieht sich insbesondere auf bestehende Systeme. Die Norm definiert, dassfür ein bestehendes SIS, das in Übereinstimmung mit den Vorschriften, Normen und gemäßder gängigen Praxis vor Veröffentlichung der Norm geplant und konstruiert wurde, derEigentümer/Bediener bestimmen muss, ob die Einrichtung auf sichere Art und Weisegeplant, gewartet, überprüft, getestet wurde und in Betrieb ist. Im Grunde müssen Siesicherstellen, dass Ihre bestehenden Systeme sicher sind und die besten Methodenverwenden, die Ihnen zur Verfügung stehen.

Tatsächlich haben Sie eventuell den Eindruck, dass Sie bei der bestehenden Anlage zu denfrühen Abschnitten des Sicherheitslebenszyklus zurückkehren und eine völlig neue HAZOP-Studie (HAZard and OPerability) zum Bestimmen von Gefahren und Bedienbarkeit erstellenmüssen. Wenn Sie zum Abschluss des Prozesses kommen, haben Sie möglicher weise Risikenerkannt, vor denen die bestehenden Sicherheitsfunktionen nicht ausreichend schützen. Undes liegt in Ihrer Verantwortung, diese Risiken zu minimieren.

Aller Wahrscheinlichkeit nach wird die Entwicklung neuer sicherheitstechnischer Funktionen(SIFs – Safety Instrumented Functions) für eine 20 Jahre alte Anlage nicht wirtschaftlich sein.Wenn allerdings Ihre Anlage bereits einen angemessenen Zeitraum lang sicher gearbeitethat, können die von Ihnen erkannten Risiken und ihre Eintrittswahrscheinlichkeiten eventuelltolerierbar sein, wenn die bestehenden Sicherheitsvorrichtungen berücksichtigt werden.

PROZESS-SAFEBOOK 1


9

Sie sind zumindest zur Dokumentation des Prozesses verpflichtet, um sicherzustellen, dassalle Gefahren erkannt, die Risiken beurteilt und die bereits bestehenden Schutzfunk tionenoder Sicherheitsvorrichtungen auf ihre Wirksamkeit hin überprüft wurden. In dieser Situationhaben Sie den Vorteil der nachträglichen Einsicht und Sie können Ihre Gefahrenhäufigkeitmithilfe Ihrer eigenen Protokolle und Aufzeichnungen exakter quantifizieren, als es bei einerneuen Installation der Fall wäre. Daher sollten Sie in der Lage sein, mithilfe von Analysennachzuweisen, dass die von Ihnen erkannten Risiken tolerierbar sind.

Schlimmstenfalls tritt eine Situation ein, in der Gefahren vorliegen, für die keine Sicher heits -maßnahmen existieren oder eine zusätzliche Maßnahme zur Risikominimie rung erforderlichist. Dann müssen Sie dies wissen und die erforderlichen Maßnahmen ergreifen.

1.5.6. Gründe für die Konformität mit IEC 61511

Neben der stillschweigenden rechtlichen Verpflichtung gemäß des Health and Safety at WorkAct kann es noch weitere Gründe geben, sich nach dieser Norm zu richten:

• Vertragliche Anforderungen• Optimierung der Konstruktionsarchitektur• Möglicher Marketing-Vorteil

Es könnte argumentiert werden, dass die erste Pflicht eines Unternehmens darin besteht, zuüberleben und dass sein Ziel nicht die Maximierung des Gewinns, sondern die Vermeidungvon Verlust sein sollte. Vor diesem Hintergrund müssen Sie sich fragen, ob Sie lieber aus denFehlern anderer lernen möchten oder diese Fehler alle selbst machen möchten.

1.6. Anwendung von IEC 61511

Funktionale Sicherheit kann nur auf vollständige Funktionen angewandt werden, die in derRegel aus einem Sensor, einem Computer oder einer SPS und einem angesteuerten Gerätbestehen. Es ergibt keinen Sinn, diesen Begriff auf Produkte anzuwenden:Einrichtungselemente wie Sensoren oder Computer.

Wenn daher ein Hersteller angibt, dass es sich bei seinem Produkt beispielsweise um einenDrucksensor gemäß SIL2 oder eine SPS gemäß SIL3 handelt, bedeutet dies in Wirklichkeit,dass der Drucksensor für den Einsatz in einer SIL2-Sicherheitsfunktion oder die SPS für denEinsatz in einer SIL3-Sicherheitsfunktion geeignet ist.

Der Hersteller muss die Angaben durch Warnhinweise und Einschränkungen zurVerwendung qualifizieren wie z. B. Anforderungen hinsichtlich der Fehlertoleranz [13.3.1]oder durch eine Wiederholungsprüfung [12.8], um den angegebenen SIL-Level zu erreichen.

10

PROZESS-SAFEBOOK 1


Doch selbst wenn die Anforderungen des Herstellers durch ein SIL-Zertifikat von einerunabhängigen Prüfstelle bestätigt wurden, bedeutet dies nicht, dass die Sicherheitsfunk tionim Anlieferungszustand SIL-konform ist. Das SIL-Zertifikat ist kein Ersatz für den Nachweis derKonformität und der Verantwortliche kann solche Produktangaben gemäß des Health andSafety at Work Act nicht zu seiner Entlastung verwenden.

1.7. Muss die Norm eingehalten werden?

1.7.1. Neue Anlage

Wie bereits erwähnt, besteht eine stillschweigende rechtliche Verpflichtung zur Einhaltungder Norm. Dies bedeutet, dass die Norm zwar kein Gesetz ist, doch dass das Gesetz fordert,dass der Verantwortliche, oder der Risikoeigner, das Risiko auf ein akzeptables Maßverringert. Die Norm stellt ein systematisches Konzept bereit, anhand dessen dieses Zielerreicht wird. Falls daher etwas nicht nach Plan läuft und Personen verletzt werden, könntedie versäumte Nutzung der besten verfügbaren Informationen als Nachlässigkeit angesehenwerden und zu einer strafrechtlichen Verfolgung führen.

1.7.2. Bestehende Anlage

Für eine bestehende Anlage gilt der Health and Safety at Work Act trotzdem, weshalbRisiken weiterhin erkannt und entsprechende Maßnahmen ergriffen werden müssen [1.5.5].IEC 61511 stellt dennoch ein anwendbares Modell zum Management von Risiken ältererAnlagen bereit, die vor Veröffentlichung der Norm geplant und in Betrieb genommenwurden.

PROZESS-SAFEBOOK 1

Allgemeiner Sicherheitslebenszyklus

11

2. Allgemeiner Sicherheitslebenszyklus

2.1. Sicherheitslebenszyklus

Der Sicherheitslebenszyklus umfasst alle erforderlichen Aktivitäten – von der Spezifika tion,Entwicklung, Inbetriebnahme bis hin zur Instandhaltung des SIS. Abhängig vom UmfangIhrer Aktivitäten betreffen Sie eventuell nur einige der Phasen, z. B. die Bedie nung undInstandhaltung. Dennoch sollten Sie mit dem gesamten Lebenszykluskonzept vertraut sein.

Der Sicherheitslebenszyklus ist in Abbildung 2 dargestellt.

2.2. Phasen des Lebenszyklus

Phase 1 definiert den Aufgabenbereich hinsichtlich physischer, sozialer und politischerGrenzen und informiert über die Sicherheitsauswirkungen, was Gefahren und die

Man

agem

ent u

nd Beu

rteilung

der

funk

tiona

len

Sich

erhe

it un

d Aud

its

10

Aufba

u un

d Plan

ung de

s Sich

erhe

itslebe

nszyklus

11

Verifi

katio

n

9Gefährdungs- undRisikobeurteilung

1

Zuordnung der Sicherheitsfunk-tionen zu den Schutzebenen

Entwurf undPlanung anderer Maßnahmen zurRisikominderung

2

Spezifikation der Sicherheits-anforderungen an das SIS3

Entwurf und Planung des SIS4

Montage, Inbetriebnahmeund Validierung5

Betrieb und Instandhaltung6

Modifikation7

Außerbetriebnahme8

Abbildung 2: IEC 61511 Sicherheitslebenszyklus

12

PROZESS-SAFEBOOK 1


Wahrnehmung von Risiken angeht. Dies ist für das Verständnis der Gefahren und Risiken, dieder Prozess mit sich bringt, von grundlegender Bedeutung.

Sobald die erforderliche Risikominderung bestimmt wurde, werden während der Zuordnungdie entsprechenden Maßnahmen bestimmt, Phase 2 und die allgemeinen sicherheitstech -nischen Anforderungen, Phase 3.

In Phase 4 werden die allgemeinen sicherheitstechnischen Anforderungen alsSicherheitsfunktionen ausgearbeitet. An dieser Stelle werden die Optimierung vonFunktionen, die Isolierung und weitere Konstruktionsfragen wie die Prüfphilosophieuntersucht, wobei die Planung dieser Aktivitäten als Teil von Phase 11 behandelt wird.

Die Phasen 5 bis 10 veranschaulichen, dass die Norm nicht auf die Entwicklung vonSystemen beschränkt ist, sondern auch das Management der funktionalen Sicherheitwährend der gesamten Lebensdauer eines Systems abdeckt.

Viele der Anforderungen in der Norm sind technischer Natur, doch das Lebenszyklus konzeptlegt gleich großen Wert auf effiziente Verwaltungsaktivitäten wie Planung, Dokumentation,Betrieb, Instandhaltung und Änderung, weshalb diese in alle Phasen integriert werdenmüssen. Dokumentations-, Verwaltungs- und Beurteilungsaktivitäten erfolgen parallel zuallen in Abbildung 2 dargestellten Lebenszyklusphasen und Aktivitäten und geltengleichermaßen für alle diese Phasen.

2.3. Anforderungen hinsichtlich der Konformität

Da die Norm keine Vorschriften festlegt, liegt dem Erreichen der Konformität kein gerad -liniger Ablauf zugrunde. Wie viel oder wenig Angaben Sie zur Konformität machen, ist Ihrepersönliche Entscheidung, doch Sie sollten guten Gewissens behaupten können, dass Siegenug unternommen haben. Es wird ein abschnittsweises Konformitätskonzept empfohlen,um sicherzustellen, dass Sie alles in Betracht gezogen haben, was in angemessener Weisevon Ihnen erwartet werden kann. Sie sollten, anders ausgedrückt, ein strenges Konzepteingeführt haben.

Die Konformität mit der Norm erfordert, dass Sie nachweislich ein systematisches Konzeptzum Risikomanagement übernommen haben und dass dieses Konzept auf alle entsprech -enden Teile des Lebenszyklus angewandt wurde. Dieses systematische Konzept wird von derNorm bereitgestellt und basiert auf dem Sicherheitslebenszyklus.

Um die Konformität mit der Norm zu erzielen, müssen Sie den Lebenszyklus verstandenhaben und die angegebenen Aktivitäten ausführen und dokumentieren. Die Verfolgung desLebenszyklus ist keine theoretische Übung, für die das Erstellen von Berichten, Dokumentenund Checklisten ausreicht. Die Konformität erfordert die Ausführung der Aktivitäten auf

PROZESS-SAFEBOOK 1


13

effiziente Weise und die Generierung von Informationen in jeder Phase, mit denen dienachfolgenden Phasen ausgeführt werden können.

Nur selten geht es um einen begrenzten Umfang von Aktivitäten, weshalb empfohlen wird,alle Phasen des Lebenszyklus zu berücksichtigen. Beispielsweise können Änderungenwährend der Betriebs- und Instandhaltungsphase für einen Bediener bedeuten, dass frühereEntscheidungen und Beurteilungen erforderlich sind, z. B. die erneute Erstellung einer HAZOP-Studie und Risikoanalyse, für die im Lebenszyklus weiter zurückgegangen werden muss.

2.4. Sicherheitslebenszyklus – Phase 1 und 2

Jede Phase des Lebenszyklus beschreibt eine Aktivität und jede Aktivität erfordert Informa -tionen, die als Ausgangsmaterial (als Eingabe) bereitzustellen sind. Jede Phase besteht auseiner Aktivität, für die dokumentierte Verfahren vorliegen sollten, aus denen sich Informa -tionen (als Ausgabe) ergeben, die in den nachfolgenden Phasen verwendet werden können.

Abbildung 3 zeigt die Aktivitäten und Informationsanforderungen für Phase 1 (Gefahren-und Risikobeurteilung) und Phase 2 (Zuordnung sicherheitstechnischer Anforderungen). DieAbbildung zeigt die Informationen, die als Eingabe (I/P) für die Aktivität erforderlich sind, unddie Informationen, die von der Aktivität generiert und in der nachfolgenden Phaseverwendet werden.

Beachten Sie, dass die Norm zwar die Phasen des Lebenszyklus und die Informationsan for de -rungen für jede Phase beschreibt, doch dass in der Praxis einige der Phasen und damit dieihnen zugeordneten Dokumente möglicherweise kombiniert werden können. Klarheit undEinfachheit sind von großer Bedeutung und die Aktivitäten müssen möglichst effizientausgeführt und Informationen möglichst eindeutig dargestellt werden.

Das Ergebnis von Phase 3 ist in der Regel eine HAZOP-Studie und eine Risikoanalyse, durchdie die Anforderungen der Sicherheitsfunktion und die Ziele für die Risikominde rungdefiniert werden.

Phase 4 beschreibt die Zuordnung der Sicherheitsfunktionen abhängig von densicherheitstechnischen Anforderungen, die in der vorherigen Phase bestimmt wurden.Die Zuordnung der sicherheitstechnischen Anforderungen befasst sich mit den einzelnensicherheitstechnischen Anforderungen und mit der Zuordnung der sicherheitstech nischenFunktionen. Hierbei handelt es sich um einen iterativen Prozess, bei dem der Prozess undandere Maßnahmen zur Risikominderung berücksichtigt werden, die verfügbar sind, umdie allgemeinen Anforderungen für die Sicherheitsintegrität zu erfüllen.

Beim Zuordnen der Sicherheitsfunktionen ist es zunächst wichtig, die bevorstehendenPhasen wie Installation, Inbetriebnahme und Validierung, Betrieb und Instandhaltungebenfalls zu planen (siehe auch Abbildung 5).

14

PROZESS-SAFEBOOK 1


Alle relevanten Informationen, die zum Erfüllen der Anforderungen des Unterabschnitts erforderlich sind.Vertrautheit mit Prozess, Steuerfunktionen, physischer Umgebung; Gefahren und Gefahrenquellen; Gefahren- informationen, z. B. Giftigkeit, Dauer und Gefahrenquellen; Gefahreninformationen, z. B. Giftigkeit, Dauer, Aussetzung; aktuelle Vorschriften; Gefahren als Ergebnis von Interaktio-nen mit anderen Systemen.

Informationen zum Prozess, zu seiner Umgebung und seinen Gefahren.Definieren der Grenzen zu Prozess, BPCS, anderen Systemen, Bediener; Physische Ausrüstung; Angabe der Umgebung, Berücksichtigung externer Ereignisse; Andere Systeme; Typen einleitender Ereignisse: prozessbedingte Fehler, menschliches Versagen, Ausfallmechanismen.

Beschreibung von und Informationen zur Gefährdungs- und Risikoanalyse.Gefährdungs- und Risikoanalyse: Gefahren; Einleitendes Ereignis Häufigkeiten; Sonstige Maßnahmen zur Minderung von Risiken; Konsequenzen; Risiko; Berücksichtigung des maximal tolerierbaren Risikos; Verfügbarkeit der Daten; Annahmen zur Dokumentation.

Spezifikation der allgemeinen sicherheitstechnischen Anforderungen hinsichtlich der Anforderungen an die Sicherheitsfunktionen und Anforderungen an die Sicherheitsintegrität. Hinweis: Sicherheits-funktionen sind nicht technologiespezifisch. SIL-Ziel muss die Zielzuverlässigkeit angeben.

Spezifikation von Sicherheitsfunktionen.Information zur Zuordnung der allgemeinen Sicherheitsfunk-tionen, ihrer Zielausfallmaßnahmen und der zugeordneten Sicherheits-Integritätslevel. Annahmen hinsichtlich anderer Risikominderungsmaßnahmen, die während des Lebens-zyklus des Prozesses verwaltet werden müssen.

Definieren des Umfangs der Gefahrenanalyse.

11. Planung

1. Gefährdungs-und Risiko- analyse

2. Zuordnung sicherheitstech-nischer Anforderungen.

I/P

O/P

I/P

O/P

Abbildung 3: Sicherheitslebenszyklus – Phase 1 und 2

PROZESS-SAFEBOOK 1


15

Spezifikation von Sicherheitsfunktionen.Information zur Zuordnung der allgemeinen Sicherheits-funktionen, ihrer Zielausfallmaßnahmen und der zugeordne-ten Sicherheits-Integritätslevel. Annahmen hinsichtlich anderer Risikominderungsmaßnahmen, die während des Lebenszyklus des Prozesses verwaltet werden müssen.

Spezifikation der sicherheitstechnischen Anforderungen für das SIS.Kann C&E umfassen.Muss Folgendes umfassen:a) Spezifikation des sicheren Zustandsb) Anforderungen an Beständigkeitsprüfungenc) Reaktionszeitd) Erforderliche Bedienerschnittstellene) Schnittstellen zu anderen Systemenf) Betriebsarteng) Verhalten beim Erkennen eines Fehlersh) Anforderungen für manuelle Abschaltungi) Anforderungen an die Anwendungssoftwarej) Maß für SIL und Zielzuverlässigkeitk) Arbeitszyklus und Lebensdauerl) Wahrscheinlich eintreffende Umgebungsbedingungenm) EMV-Grenzwerten) Einschränkungen aufgrund von CCFsIEC 61511-1, 10.3, enthält die vollständigen Anforderungen.

Realisierung jeder SIF gemäß der Spezifikation der SIS-Sicherheitsanforderungen

Realisierung aller anderen Maßnahmen zur Risikominderung gemäß den sicherheitstechnischen Anforderungen für diese Maßnahme

Planung und Entwicklung anderer Maßnahmen

3. Spezifikation der sicherheitstechnischen Anforderungen

4. Konstruktion und Engineering

I/P

O/P

I/P

O/P


16

PROZESS-SAFEBOOK 1



In Phase 3 geht es um die Spezifikation der sicherheitstechnischen Anforderungen (SRS –Safety Requirements Specification), die Voraussetzung für den Start der Konstruktions- undEngineering-Phase (Phase 4) ist (siehe Abbildung 4).

In Ihrer Organisation liegt möglicherweise eine Checkliste mit Elementen vor, die in eineKonstruktionsspezifikation integriert werden müssen. Auf diese Weise ist sichergestellt, dasssich aus jedem Projekt eine vollständige und ausführliche Spezifikation ergibt und dieAusfälle der Sicherheitsfunktion aufgrund von Spezifikationsfehlern minimiert werdenkönnen.

Phase 4 kann ausreichend in einer einzigen funktionalen Konstruktionsspezifikation (FDS –Functional Design Specification) oder in einem ähnlichen Dokument erfasst werden, indem die Szene beschrieben, der Prozess und die umwelt- sowie betriebstechnischenÜberlegungen definiert und der Aufgabenbereich der nachfolgenden Phasen festgelegtwerden.

2.6. Sicherheitslebenszyklus – Phase 5 bis 6

In den Phasen 5 und 6 werden die Anforderungen für die Installation, Inbetriebnahme,Validierung, den Betrieb und die Instandhaltung des SIS festgelegt (siehe Abbildung 5).


Die Eingaben, Ausgaben und Aktivitäten für Phase 7 – Änderung gelten im Grundegenommen auch für Phase 8 – Außerbetriebnahme. Eigentlich ist auch die Außerbetrieb -nahme eine Änderung, die am Ende des Lebenszyklus auftritt und mit denselben Kontrolleneingeleitet und mit denselben Sicherheitsmaßnahmen ausgeführt wird (siehe Abbildung 6).

PROZESS-SAFEBOOK 1


17

Ein Plan für die allgemeine Sicherheitsvalidierung des SIS.Ermöglicht die Planung der SIS-Sicherheitsvalidierung anhand der SRS und anderer Referenzinformationen, z. B. Ursache-Wirkung-Diagramme. Bei der Validierung werden alle relevanten Betriebsarten (Inbetriebnahme, Abschalten, Instandhaltung, anormale Bedingungen usw.), Verfahren, Techniken und einzusetzenden Maßnahmen, Zeitpläne, Mitarbeiter und verantwortliche Abteilungen berücksichtigt. Außerdem wird die Validierungsplanung für die Sicherheitsanwendungssoftware berücksichtigt.

Realisierung jeder SIF gemäß der Spezifikation der SIS-Sicherheitsanforderungen

Ein Plan für die Installation und Inbetriebnahme des SIS.Ermöglicht die Planung der Installations- und Inbetriebnahme- aktivitäten, Verfahren, zu verwendenden Techniken und Maßnahmen, Zeitpläne, Mitarbeiter und der verantwortlichen Abteilungen.

Bestätigung, dass das SIS die Spezifikation für die allgemeinen sicher-heitstechnischen Anforderungen hinsichtlich der SIF-Anforderungen und der Sicherheitsintegritätsanforderungen erfüllt, wobei die Zuordnung der sicherheitstechnischen Anforderungen berücksichtigt wird. Anforderungen an die Dokumentation: chronologische Validie-rungsaktivitäten; Version der sicherheitstechnischen Anforderungen; zu validierende Sicherheitsfunktion; Werkzeuge und Einrichtung; Ergebnisse; Prüfgegenstand, angewandtes Verfahren und Testumge-bung; Abweichungen; In der Folge getroffene Entscheidungen.

Ein Plan für den Betrieb und die Instandhaltung des SISErmöglicht die Planung für Routineaktivitäten und Aktivitäten bei anormalen Bedingungen; Beständigkeitsprüfung, Instandhaltungs-aktivitäten, Verfahren, zu verwendende Techniken und Maßnahmen, Zeitpläne, Mitarbeiter und verantwortliche Abteilungen, Verifizierungs-methoden anhand der Betriebs- und Instandhaltungsverfahren.

Vollständig installiertes und in Betrieb genommenes SIS:Dokumentinstallation; Verweis auf Ausfallberichte; Auflösung von Ausfällen.

Fortlaufendes Erreichen der erforderlichen funktionalen Sicherheit für das SIS. Es muss Folgendes implementiert werden: O&M-Plan; Betriebs-, Instandhaltungs- und Reparaturverfahren; Implementierung von Verfahren; Verfolgung von Instandhaltungs- plänen; Pflegen der Dokumentation; Ausführen regelmäßiger FS-Prüfungen; Dokumentänderungen; Chronologische Dokumentation des Betriebs und Instandhaltung des SIS;

5. Installation, Inbetriebnahme und Validierung

6. Betrieb, Instandhaltung und Reparatur

I/P

O/P

I/P

O/P


18

PROZESS-SAFEBOOK 1


Fortlaufendes Erreichen der erforderlichen funktionalen Sicherheit für das SIS. Es muss Folgendes implementiert werden:O&M-Plan;Betriebs-, Instandhaltungs- und Reparaturverfahren.Implementierung von VerfahrenVerfolgung von InstandhaltungsplänenPflege der DokumentationAusführen regelmäßiger FS-PrüfungenDokumentänderungenChronologische Dokumentation des Betriebs undder Instandhaltung des SIS.

Erreichen der erforderlichen funktionalen Sicherheit für das SIS, sowohl während als auch nach dem Verwalten der Änderungsphase. Änderung darf nur nach einer autorisierten Anforderung gemäß dem Verfahren für die FS-Verwaltung eingeleitet werden. Die Anforderung muss Folgendes umfassen: die eventuell betroffenen Gefahren, die vorgeschlagene Änderung (Hardware und Software), den Grund für die Änderung. Es muss eine Auswirkungsanalyse ausgeführt werden. Chronologische Dokumentation des Betriebs und der Instandhaltung des SIS.

7. Änderung8. Außerbetrieb-nahme

I/P

O/P


PROZESS-SAFEBOOK 1

Gefahren und Gefahrenerkennung

19

3. Gefahren und Gefahrenerkennung


In Abbildung 7 ist die anzuwendende Phase des Lebenszyklus dargestellt.

Mit dieser Phase soll, wie in IEC 61511-1, 8.1 definiert, Folgendes bestimmt werden:

• Gefahren/gefährliche Ereignisse des Prozesses und die entsprechendenEinrichtungen, die Reihenfolge der Ereignisse, die zur Gefahr führen und diedamit zusammenhängenden Prozessrisiken [3.2–3.7]

• Anforderungen für die Risikominderung [5 und 6]• Sicherheitsfunktionen, die zum Erreichen der erforderlichen Risikominderung

[7 und 8] erforderlich sind

Man

agem

ent u

nd B

eurt

eilu

ng d

er fu

nktio

nale

nSi

cher

heit

und

Aud

its

10

Auf

bau

und

Plan

ung

des

Sich

erhe

itsle

bens

zykl

us

11

Verifi

katio

n


1


Entwurf undPlanung andererMaßnahmen zurRisikominderung

2



Montage, Inbetriebnahme und Validierung5


Modifikation7

Außerbetriebnahme8

Abbildung 7: Lebenszyklusphase 1

20

PROZESS-SAFEBOOK 1


3.2. Gefahren

Die Bedeutung des Worts „Gefahr“ kann irreführend sein. Oft ist in Wörterbüchern keinespezielle Definition zu finden oder es wird eine Kombination mit dem Begriff „Risiko“angegeben, z. B. „eine Gefahr oder ein Risiko“. Dies erklärt, warum diese Begriffe häufigsynonym gebraucht werden.

Im Kontext der funktionalen Sicherheit sind Gefahren Ereignisse, die möglicherweiseSchäden verursachen können wie beispielsweise Verletzungen von Personen,Umweltschäden oder Schäden für das Unternehmen.

Beispiele für Gefahren zu Hause:

• Glasscherben, da diese Schnittwunden verursachen können• Wasserbecken, da Personen ausrutschen und hineinfallen könnten• Zu viele Stecker in einer Steckdose könnten diesen überlasten und zu einem Brand

führen

Beispiele für Gefahren bei der Arbeit:

• Laute Geräusche, da sie zum Verlust des Gehörs führen können• Einatmen von Asbeststaub, da dies Krebs auslösen kann.

Gefahren in der Prozessindustrie:

• Der Flüssigkeitspegel in einem Behälter: Ein hoher Pegel kann zum Überlaufen derFlüssigkeit in Gasströme oder zum Überlaufen einer gefährlichen Chemikalie odereiner brennbaren Flüssigkeit führen. Ein niedriger Pegel kann dazu führen, dassPumpen trockenlaufen oder Gas ungewollt in nachfolgende Behälter strömt.

• Der Druck einer Flüssigkeit in einem Behälter: Ein hoher Druck kann zum Verlustder Eindämmung, zu Lecks oder zum Bersten des Behälters führen.

Der erste Schritt bei der Beurteilung von Risiken ist die Bestimmung der Gefahren. Es gibtverschiedene Techniken, die für die Bestimmung von Gefahren verwendet werden, doch diegängigste Methode ist die HAZOP-Studie (Hazard and Operability).

3.3. Verwendung von HAZOP-Studien in der Industrie

HAZOP-Studien wurden ursprünglich in Großbritannien von ICI nach dem Flixborough-Unglück im Jahr 1974 entwickelt und fanden in der Prozessindustrie nach und nach großenAnklang.

Am Samstag, den 1. Juni 1974 wurde ein Chemiewerk der Firma Nypro in Flixborough durcheine starke Explosion schwer beschädigt, bei der 28 Arbeiter ums Leben kamen und weitere

PROZESS-SAFEBOOK 1


21

36 verletzt wurden. Es wurde festgestellt, dass die Anzahl der Opfer weitaus größer gewesenwäre, wenn sich der Vorfall unter der Woche ereignet hätte, denn das Hauptbürogebäudewar zum Zeitpunkt des Unglücks leer. Es wurden 53 Verletzungen Dritter gemeldet und auchGebäude im Umkreis des Chemiewerks wurde beschädigt.

Die 18 Todesopfer in der Steuerzentrale starben aufgrund berstender Fensterscheiben unddes einstürzenden Dachs. Es konnte niemand aus dem Gebäude fliehen. Das Feuer wütetemehrere Tage lang und erschwerte die Rettungsarbeiten während der darauf folgenden zehnTage.

Von der Chemieindustrie ausgehend, wurden HAZOP-Studien durch den allgemeinenAustausch von Ideen und Mitarbeitern auch von der Erdölindustrie übernommen, in der esein ähnliches Potenzial für schwerwiegende Zwischenfälle gibt. Sie wurden auch von denNahrungsmittel- und Getränkeindustrien übernommen, in denen das Gefahren potenzialebenso hoch ist, in der es jedoch eher um die Gefahren von Verunreinigungen anstatt vonExplosionen oder um die Freisetzung von Chemikalien geht.

3.4. Gründe für die Verwendung von HAZOP-Studien

Auch wenn die Entwicklung der Anlage von der Anwendung von Vorschriften und Normenabhängig ist, ermöglicht das HAZOP-Verfahren die Ergänzung dieser Vorschriften undNormen durch eine imaginative Annahme der Abweichungen, die beispielsweise aufgrundvon Prozessbedingungen oder -störungen, Fehlfunktionen der Einrichtung oder Bediener -fehler auftreten.

Darüber hinaus kann der Druck bei der Projektplanung zu Fehlern oder dazu führen, dasswichtige Umstände übersehen werden. Die HAZOP-Studie ermöglicht die Korrektur dieserFehler, bevor solche Änderungen zu kostspielig werden. Da sie einfach zu ver stehen sind undan beliebige Prozesse oder Unternehmen angepasst werden können, sind HAZOP-Studienzur am häufigsten eingesetzten Methode zur Gefahrenerkennung geworden.

3.5. Abweichung vom bestimmungsgemäßen Betrieb

Allen Prozessen, gesteuerten Einrichtungen oder industriellen Anlagen liegt ein bestim -mungsgemäßer Betrieb zugrunde. Dies könnte beispielsweise die Erreichung einerbestimmten Produktionskapazität sein, angegeben als Tonnage einer bestimmtenChemikalie pro Jahr oder einer bestimmten Anzahl gefertigter Artikel.

Ein wichtiger sekundärer bestimmungsgemäßer Betrieb könnte die Bedienung des Prozessesauf sichere und effiziente Weise sein, weshalb jedes Einrichtungselement effizient funktio -nieren muss. Und genau dieser Aspekt könnte als bestimmungsgemäßer Betrieb desjeweiligen Einrichtungselements ausgelegt werden.

22

PROZESS-SAFEBOOK 1


Beispielsweise könnte im Rahmen unserer Anforderungen an die Anlagenproduktion eineKühlwassereinrichtung mit einem Kühlwasserkreislauf und einer Umwälzpumpe sowieeinem Wärmetauscher erforderlich sein, wie in Abbildung 8 dargestellt.

Der bestimmungsgemäße Betrieb dieses kleinen Abschnitts der Anlage könnte diekontinuierliche Umwälzung von Kühlwasser bei einer Temperatur von x ºC und mit einerGeschwindigkeit von xxx Litern pro Stunde sein. Die HAZOP-Studie konzentriert sich in derRegel auf diese Ebene des bestimmungsgemäßen Betriebs. Die Verwendung des Worts„Abweichung“ ist nun einfacher zu versehen. Eine Abweichung vom bestimmungs gemäßenBetrieb im Falle der Kühleinrichtung wäre beispielsweise eine Verringerung des Umlaufs odereine Erhöhung der Wassertemperatur.

Beachten Sie den Unterschied zwischen einer Abweichung und ihrer Ursache. Im obenbeschriebenen Fall wäre der Ausfall einer Pumpe eine Ursache, jedoch keine Abweichung.

In diesem Beispiel würde die Erhöhung der Wassertemperatur eine Gefahr darstellen, dadurch sie Schäden wie Verletzungen von Personen, Umweltschäden oder Schäden für dasUnternehmen entstehen könnten.

3.6. HAZOP-Technik

HAZOPs dienen zum Erkennen möglicher Gefahren und Betriebsprobleme, die durchAbweichungen vom bestimmungsgemäßen Betrieb neuer und bestehender Prozessanlagenentstehen. Sie werden im Allgemeinen regelmäßig während der Lebensdauer der Anlageausgeführt. Mit Sicherheit sollte eine anfängliche oder Vorab-HAZOP-Studie bereits frühzeitigin der Konstruktionsphase ausgeführt werden. Der Prozess sollte mit fortschreitender

Wärmetauscher

Kühlversorgung

Pumpe

Tank

Gerätelüfter

Abbildung 8: Bestimmungsgemäßer Betrieb

PROZESS-SAFEBOOK 1


23

Entwicklung, bei Vorhaben im Zusammenhang mit größeren Änderungen und schließlicham Ende der Entwicklung überprüft werden, um sicherzustellen, dass vor der Bauphasekeine Risiken verbleiben.

Eine HAZOP-Studie wird in einem Meeting-Forum zwischen interessierten Parteien mitausreichenden Kenntnissen zum und Erfahrungen mit dem Betrieb und der Instandhal tungder Anlage ausgeführt. Das Meeting ist eine strukturierte Brainstorming-Sitzung, in der durchLeitwörter Vorstellungen zu den möglichen Gefahren angeregt werden sollen. In denProtokollen des Meetings werden die Diskussionen aufgezeichnet und Informatio nen zumöglichen Gefahren, ihren Ursachen und Konsequenzen zusammengestellt.

3.6.1. Team der HAZOP-Studie

Es ist wichtig, dass ein HAZOP-Team aus Mitarbeitern besteht, die ein optimalesGleichgewicht aus Know-how und Erfahrung zum jeweiligen Anlagentyp in die Studieeinbringen. Ein typisches HAZOP-Team setzt sich wie folgt zusammen:

Name Rolle

Vorsitzender Erläutern des HAZOP-Verfahrens, Leiten von Diskussionen undErleichtern der HAZOP-Studie. Sollte Erfahrung mit HAZOP-Studienhaben, doch nicht direkt an der Konstruktion beteiligt sein, umsicherzustellen, dass die Methode sorgfältig umgesetzt wird.

Sekretär Erfassen der Diskussion des HAZOP-Meetings und Bereitstellen einesProtokolls der Diskussionen. Protokollieren der Empfehlungen oderAktionen.

Prozessingenieur In der Regel der Ingenieur, der für das Prozessflussdiagramm und dieEntwicklung der Rohrleitungs- und Instrumentierungspläne (P&IDs)verantwortlich ist.

Anwender/Bediener Beratung hinsichtlich der Verwendung und Durchführbarkeit desProzesses und der Auswirkung von Abweichungen.

C&I-Spezialist Eine Person mit relevantem technischen Know-how zu Steuerung undInstrumentierung.

Instandhaltungs -mitarbeiter

Eine Person, die sich um die Verwaltung des Prozesses kümmert.

Ein Vertreter desKonstruktionsteams

Beratung hinsichtlich Konstruktionsdetails oder Bereitstellung weitererInformationen.

24

PROZESS-SAFEBOOK 1


3.6.2. In der HAZOP-Studie verwendete Informationen

Das HAZOP-Team muss auf folgende Informationen zurückgreifen können:

• Rohrleitungs- und Instrumentierungspläne (P&IDs) für die Einrichtung• Verfahrensbeschreibung oder Dokumente zur Philosophie• Bestehende Betriebs- und Instandhaltungsverfahren• Tabellen zu Ursache und Wirkung• Layout-Zeichnungen der Anlage

3.6.3. HAZOP-Verfahren

Das HAZOP-Verfahren umfasst eine vollständige Beschreibung des Prozesses und diesystematische Hinterfragung bei jedem Bestandteil, ob und wie sich Abweichungenvom bestimmungsgemäßen Betrieb negativ auf den sicheren und effizienten Betriebder Anlage auswirken können.

Das Verfahren wird vom HAZOP-Team strukturiert angewandt und ist abhängig von dessenFähigkeit, alle denkbaren Gefahren zu ermitteln.

In der Praxis sind zahlreiche Gefahren offensichtlich, beispielsweise ein Temperaturanstieg.Die Stärke der Technik liegt jedoch darin, auch weniger offensichtliche Gefahren zuerkennen, ganz gleich, wie unwahrscheinlich sie zunächst erscheinen mögen.

3.6.4. Leitwörter

Das HAZOP-Verfahren verwendet Leitwörter, um die Aufmerksamkeit des Teams aufAbweichungen vom bestimmungsgemäßen Betrieb, deren mögliche Ursachen undKonsequenzen zu konzentrieren. Diese Leitwörter sind in zwei Untergruppen unterteilt:

• Primäre Leitwörter, durch die die Aufmerksamkeit auf einen bestimmten Aspektdes bestimmungsgemäßen Betriebs oder auf zugeordnete Prozessbedingungenoder Parameter gelenkt wird, wie z. B. Durchfluss, Temperatur, Druck, Pegel usw.

• Sekundäre Leitwörter, die in Kombination mit einem primären Leitwort aufmögliche Abweichungen schließen lassen, also eine höhere Temperatur, einniedrigerer Pegel, kein Druck, Flussumkehr usw.

Die gesamte Technik hängt von der effizienten Verwendung dieser Leitwörter ab, sodass ihreBedeutung und Verwendung vom Team eindeutig verstanden worden sein muss.

Es ist zu beachten, dass die Verwendung von Leitwörtern einfach dazu dient, die Vor stellunganzuregen, was passieren könnte. Nicht alle Leitwörter sind dabei aussagekräftig und nichtalle Gefahren werden nachvollziehbar sein. In diesen Fällen wird empfohlen, die von einem

PROZESS-SAFEBOOK 1


25

Team erkannten Ereignisse ohne nachvollziehbare Bedeutung als solche zu protokollieren,sodass das Team nicht unnötig viel Zeit darauf verwendet.

3.6.5. Betriebsarten

Da eine HAZOP-Studie eine Gefahren- und Funktionsfähigkeitsstudie ist, müssen nicht nurder normale Betrieb des Prozesses, sondern auch anormale Betriebsarten berücksichtigtwerden, zu denen Inbetriebnahme, Abschaltung, Befüllung, Leerung, Überbrückung undWiederholungsprüfung zählen.

Hierfür können alle Betriebsarten, die im Aufgabenbereich angegeben wurden, als sepa rateAufgaben angesehen werden, für die jeweils eigene HAZOP-Analysen auszuführen sind.Alternativ hierzu können für relativ einfache Systeme die Arbeitsblätter um eine zusätzlicheSpalte ergänzt werden, in der die Betriebsart angegeben wird. Auf diese Weise können miteiner einzelnen HAZOP-Analyse alle Betriebsarten berücksichtigt werden.

3.6.6. Protokollieren der HAZOP-Studie

Es stehen verschiedene Software-Tools zur Verfügung, die Sie durch das HAZOP-Verfahrenführen. Alternativ kann auch eine einfache Kalkulationstabelle erstellt werden, in die Sie dieDiskussionen und Erkenntnisse eintragen. Kalkulationstabellen ermöglichen die einfacheSortierung und Kategorisierung und ermöglichen die übersichtliche und nachvollziehbareAnordnung der Einträge, damit Querverweise zu anderen Analysen aufrechterhalten werdenkönnen.

Es wird empfohlen, alle Kombinationen aus Ereignis und Leitwort zu dokumentieren.Sofern zutreffend kann Folgendes notiert werden: „Keine glaubwürdige Ursache“, „KeineKonsequenz“ oder „Keine Gefahr“. Dies gilt als vollständige Protokollierung und führt zueinem HAZOP-Bericht, der veranschaulicht, dass eine umfassende und präzise Studieausgeführt wurde. Bei der Beurteilung der Sicherheit und Durchführbarkeit spätererAnlagenänderungen wird dies von unschätzbarem Wert sein.

Außerdem werden die sekundären Wörter „Alle“ und „Verbleibend“ häufig verwendet.Beispielsweise kann erkannt werden, dass einige Kombinationen des primären Leitwortsglaubwürdige Ursachen haben, wie z. B. Durchfluss/Nein, Durchfluss/Umkehr. Für andereKombinationen (Durchfluss/Weniger, Durchfluss/Mehr, Durchfluss/Sonstige), bei denen keineglaubwürdigen Ursachen erkannt wurden, kann die Kombination „Durchfluss/ Verbleibend“verwendet werden.

26

PROZESS-SAFEBOOK 1


3.6.7. Erkennen von Gefahren – Überschriften der HAZOP-Arbeitsblätter

Die folgende Tabelle enthält ein Beispiel für das HAZOP-Arbeitsblatt für eine Dekompres -sions kammer. Beachten Sie, dass das Beispiel allein der Veranschaulichung dient und keintatsächliches System darstellen soll.

Referenz

Es lohnt sich immer, eine Referenzspalte einzufügen, damit auf jeden Eintrag von anderenAnalysen aus verwiesen werden kann. Zudem ist so die Verfolgbarkeit auf nachfolgendeAnalysen wie z. B. LOPA [8] gewährleistet.

Leitwörter

Es müssen primäre und sekundäre Leitwörter verwendet werden. Im Internet stehenzahlreiche Listen mit Leitwörtern zur Verfügung, die sich auf unterschiedliche Unternehmenund Industrien beziehen.

Abweichung

Unter „Abweichung“ versteht man die Nichteinhaltung des bestimmungsgemäßen Betriebs,die durch die primären und sekundären Leitwörter angegeben wird und die erkannte Gefahrdarstellt.

Ursache

Mögliche Ursachen, die zu der Abweichung führen würden. Es ist wichtig, bestimmteInformationen zur Ursache anzugeben. Wenn es beispielsweise um einen Anstieg derSauerstoffkonzentration ginge, die durch den Ausfall eines O2-Sensors verursacht würde,könnte der Sensor auf unterschiedliche Weise ausfallen, doch nur die Anzeige einerfälschlicherweise niedrigen O2-Konzentration würde zu der gefährlichen Bedingung führen.

Konsequenz

Die Konsequenzen, die sich aus der Auswirkung der Abweichung und – sofern zutreffend –aus der Ursache selbst ergäben. Zeichnen Sie die Konsequenzen stets detailliert auf. GehenSie nicht davon aus, dass der Leser zu einem späteren Zeitpunkt versteht, um welche Gefahres geht oder wie sich die Konsequenzen entwickeln.

Beim Dokumentieren der Konsequenzen muss Ihnen stets bewusst sein, dass die HAZOP-Studie zum Bestimmen des Risikos verwendet werden kann. Daher ist eine vollständige undumfassende Beschreibung der Art und Weise, wie sich die Gefahr entwickeln und zuKonsequenzen führen kann, von grundlegender Bedeutung. Beispielsweise könnenKonsequenzen wie folgt beschrieben werden:

PROZESS-SAFEBOOK 1


27

„Möglicher Überdruck führt zum Bersten der Gasleitungen, sodass Gas freigesetzt wird. GroßeMengen von ausströmendem Gas können sich am heißen Auslass der Maschine entzünden, waszu einer Explosion oder zu einem sich schnell verbreitenden Feuer mit möglichen Todesopfern vonbis zu zwei Instandhaltungsmitarbeitern führen kann. Kompressorschaden von bis zu2 Millionen € und Produktionsausfall für bis zu 1 Jahr.“

Bei der Beurteilung der Konsequenzen ist es wichtig, die bereits in die Konstruktionintegrierten Schutzsysteme oder -instrumente nicht zu berücksichtigen.

Schutzvorrichtungen

Alle vorhandenen Schutzeinrichtungen, die entweder die Ursache verhindern oder vor denKonsequenzen schützen, würden in diese Spalte eingetragen. Schutzvorrichtungen müssennicht auf Hardware beschränkt sein. Sofern zutreffend, können auch verfahrensorientierteAspekte wie regelmäßige Überprüfungen der Anlage berücksichtigt werden (sofern Siesicher sind, dass diese tatsächlich ausgeführt werden UND dass diese entweder zurVerhinderung oder zum Schutz geeignet sind).

3.7. Beispiel für eine HAZOP-Studie

3.7.1. Trennbehälter

Das folgende Beispiel zeigt eine vereinfachte Abbildung eines Trennbehälters in einemProzess. In dem Behälter wird die Prozessflüssigkeit aufgefangen, die durch einen Gasbrennererwärmt wird. Das Gas wird von der Prozessflüssigkeit getrennt und für die Ausleitungfreigesetzt. Die verbleibende, konzentrierte Flüssigkeit wird nach Abschluss der Reaktionvom Boden des Behälters entfernt (Abbildung 9).

Der Behälter ist mit einem Prozessleitsystem ausgestattet, mit dem Flüssigkeitspegel,Gasdruck und Temperatur gesteuert werden.

28

PROZESS-SAFEBOOK 1


In der folgenden Abbildung ist eine HAZOP-Beispielstudie für diesen Trennbehälterdargestellt.

Flüssig-keitsaus-leitung

Heizgasversorgung

Flüssig-keitsein-leitung

Gasausleitung

XV101

LL101

TT100

FCV100

FCV100 XV100

T

P

Brenner

LH101

FCV102

XV102

PT102

LH

LL

Abbildung 9: Trennbehälter

PROZESS-SAFEBOOK 1


29

3.7.2. HAZOP-Studie für einen TrennbehälterRe

fPr

imär

es L

eitw

ort

Seku

ndär

es L

eitw

ort

Abw

eich

ung

Gef

ahr

Kons

eque

nz

01.0

1St

arke

r Flu

ss d

er P

roze

ssflü

ssig

keit

in d

en B

ehäl

ter.

Eine

hoh

e Zu

fuhr

in d

en B

ehäl

ter k

önnt

e zu

ein

em

hohe

n Pe

gel u

nd z

ur E

insc

hlep

pung

der

Flü

ssig

keit

in d

ie G

asau

slei

tung

führ

en.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n de

n A

usta

usch

de

s Be

hälte

rs, v

erur

sach

en K

oste

n vo

n et

wa

10 M

io. €

und

erf

orde

rn

eine

Pro

zess

absc

haltu

ng fü

r 6 M

onat

e.

01.0

2St

arke

r Flu

ss d

er P

roze

ssflü

ssig

keit

aus

der F

lüss

igke

itsau

slei

tung

des

Beh

älte

rs.

Ein

zu h

oher

Abfl

uss

aus

dem

Beh

älte

r kön

nte

zu e

inem

nie

drig

en P

egel

un

d da

zu fü

hren

, das

s G

as in

die

Flü

ssig

keits

ausl

eitu

ng e

inge

schl

eppt

wird

.Sc

häde

n an

der

nac

hfol

gend

en E

inric

htun

g er

ford

ern

die

Rein

igun

g de

s Be

hälte

rs, v

erur

-sa

chen

Kos

ten

von

etw

a 2

Mio

. € u

nd e

rfor

dern

ein

e Pr

ozes

sabs

chal

tung

für 6

Woc

hen.

01.0

3St

arke

r Gas

stro

m a

us d

er

Gas

ausl

eitu

ng d

es B

ehäl

ters

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

01.0

4G

erin

ger F

luss

der

Pro

zess

flüss

ig-

keit

in d

en B

ehäl

ter.

Ein

zu n

iedr

iger

Flu

ss in

den

Beh

älte

r kön

nte

zu e

inem

nie

drig

en P

egel

un

d da

zu fü

hren

, das

s G

as in

die

Flü

ssig

keits

ausl

eitu

ng e

inge

schl

eppt

wird

.Sc

häde

n an

der

nac

hfol

gend

en E

inric

htun

g er

ford

ern

die

Rein

igun

g de

s Be

hälte

rs, v

erur

-sa

chen

Kos

ten

von

etw

a 2

Mio

. € u

nd e

rfor

dern

ein

e Pr

ozes

sabs

chal

tung

für 6

Woc

hen.

01.0

5G

erin

ger F

luss

der

Pro

zess

flüss

ig-

keit

aus

der A

usle

itung

des

Be

hälte

rs.

Ein

gerin

ger A

bflus

s vo

m B

ehäl

ter k

önnt

e zu

ein

em

hohe

n Pe

gel u

nd z

ur E

insc

hlep

pung

der

Flü

ssig

keit

in d

ie G

asau

slei

tung

führ

en.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n de

n A

usta

usch

de

s Be

hälte

rs, v

erur

sach

en K

oste

n vo

n et

wa

10 M

io. €

und

erf

orde

rn

eine

Pro

zess

absc

haltu

ng fü

r 6 M

onat

e.

01.0

6G

erin

ger G

asst

rom

aus

de

r Gas

ausl

eitu

ng d

es B

ehäl

ters

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

01.0

7U

mge

kehr

tN

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

01.0

8A

uch

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

01

.09

And

ere

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

01

.10

Meh

rH

oher

Dru

ck im

Beh

älte

r. B

erst

en d

es B

ehäl

ters

und

Fre

iset

zung

von

Gas

. D

as fr

eige

setz

te G

as e

ntzü

ndet

sic

h am

Bre

nner

und

an

heiß

en O

berfl

äche

n.

Mög

liche

rwei

se z

wei

Tod

esfä

lle b

eim

Inst

andh

altu

ngsp

erso

nal.

Der

Sch

aden

an

der E

inric

htun

g er

ford

ert d

en A

usta

usch

des

Beh

älte

rs, v

erur

sach

t Kos

ten

von

10 M

io. €

und

erf

orde

rt e

ine

Proz

essa

bsch

altu

ng fü

r 1 Ja

hr.

Ger

inge

Fre

iset

zung

in d

ie U

mge

bung

.

01.1

1W

enig

erN

iedr

iger

Dru

ck im

Beh

älte

r. B

erst

en d

es B

ehäl

ters

und

Fre

iset

zung

von

Gas

. D

as fr

eige

setz

te G

as e

ntzü

ndet

sic

h am

Bre

nner

und

an

heiß

en O

berfl

äche

n.

Mög

liche

rwei

se z

wei

Tod

esfä

lle b

eim

Inst

andh

altu

ngsp

erso

nal.

Der

Sch

aden

an

der E

inric

htun

g er

ford

ert d

en A

usta

usch

des

Beh

älte

rs, v

erur

sach

t Kos

ten

von

10 M

io. €

und

erf

orde

rt e

ine

Proz

essa

bsch

altu

ng fü

r 1 Ja

hr.

Ger

inge

Fre

iset

zung

in d

ie U

mge

bung

. 01

.12

Um

geke

hrt

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

01

.13

Auc

hN

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

01.1

4A

nder

eN

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

01.1

5M

ehr

Hoh

e Te

mpe

ratu

r im

Beh

älte

r.H

ohe

Tem

pera

tur f

ührt

zu

hohe

m D

ruck

, zum

Be

rste

n de

s Be

hälte

rs u

nd z

ur F

reis

etzu

ng v

on G

as.

Das

frei

gese

tzte

Gas

ent

zünd

et s

ich

am B

renn

er u

nd a

n he

ißen

Obe

rfläc

hen.

M

öglic

herw

eise

zw

ei T

odes

fälle

bei

m In

stan

dhal

tung

sper

sona

l. D

er S

chad

en a

n de

r Ein

richt

ung

erfo

rder

t den

Aus

taus

ch d

es B

ehäl

ters

, ver

ursa

cht K

oste

n vo

n 10

Mio

. € u

nd e

rfor

dert

ein

e Pr

ozes

sabs

chal

tung

für 1

Jahr

. G

erin

ge F

reis

etzu

ng in

die

Um

gebu

ng.

01.1

6W

enig

erN

iedr

ige

Tem

pera

tur i

m B

ehäl

ter.

Mög

liche

s G

efrie

ren

(Ver

fest

igen

) von

Flü

ssig

keit,

Be

rste

n de

s Be

hälte

rs u

nd A

usla

ufen

von

Fl

üssi

gkei

t.

Schä

den

an d

er E

inric

htun

g er

ford

ern

den

Aus

taus

ch d

es B

ehäl

ters

, ver

ur-

sach

en K

oste

n vo

n et

wa

10 M

io. €

und

erf

orde

rn e

ine

Proz

essa

bsch

altu

ng fü

r 6

Mon

ate.

Die

Fre

iset

zung

in d

ie U

mw

elt m

uss

gem

elde

t wer

den.

01.1

7U

mge

kehr

tN

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

01.1

8A

uch

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

01

.19

And

ere

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

01

.20

Meh

rH

oher

Peg

el im

Beh

älte

r.Ei

n ho

her P

egel

im B

ehäl

ter k

önnt

e da

zu fü

hren

, da

ss F

lüss

igke

it in

die

Gas

ausl

eitu

ng e

inge

schl

eppt

w

ird.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n de

n A

usta

usch

de

s Be

hälte

rs, v

erur

sach

en K

oste

n vo

n et

wa

10 M

io. €

und

erf

orde

rn

eine

Pro

zess

absc

haltu

ng fü

r 6 M

onat

e.

01.2

1W

enig

erN

iedr

iger

Peg

el im

Beh

älte

r.Ei

n ni

edrig

er P

egel

im B

ehäl

ter k

önnt

e da

zu fü

hren

, das

s G

as in

die

Flü

ssig

keits

ausl

eitu

ng e

inge

schl

eppt

wird

.Sc

häde

n an

der

nac

hfol

gend

en E

inric

htun

g er

ford

ern

die

Rein

igun

g de

s Be

hälte

rs, v

erur

-sa

chen

Kos

ten

von

etw

a 2

Mio

. € u

nd e

rfor

dern

ein

e Pr

ozes

sabs

chal

tung

für 6

Woc

hen.

01.2

2U

mge

kehr

tN

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

01.2

3A

uch

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

01

.24

And

ere

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

Pege

l

Flus

sM

ehr

Wen

iger

Dru

ck

Tem

pera

tur

30

PROZESS-SAFEBOOK 1


3.7.3. Ergebnisse der HAZOP-Studie

Zusammenfassung der erkannten Gefahren:

Aus der Liste der erkannten Gefahren wird ein Gefahrenprotokoll für das System erstellt. DasGefahrenprotokoll bleibt während des gesamten Systemlebenszyklus ein Live-Dokument,das nach Abschluss weiterer Studien ergänzt oder überarbeitet werden kann.

Gefahr Konsequenz

Ein hoher Pegel imBehälter könnte dazuführen, dass Flüssigkeitin die Gasausleitungeingeschleppt wird.

Schäden an der nachfolgenden Einrichtung erfordern den Austauschdes Behälters, verursachen Kosten von etwa 10 Mio. € und erforderneine Prozessabschaltung für 6 Monate.

Hoher Druck führt zumBersten des Behälters undzur Freisetzung von Gas.

Das freigesetzte Gas entzündet sich am Brenner und an heißenOberflächen. Möglicherweise zwei Todesfälle beim Instandhaltungs -personal. Der Schaden an der Einrichtung erfordert den Austauschdes Behälters, verursacht Kosten von 10 Mio. € und erfordert eineProzessabschaltung für 1 Jahr. Geringe Freisetzung in dieUmgebung.

Hohe Temperatur führtzu hohem Druck, zumBersten des Behälters undzur Freisetzung von Gas.


Ein niedriger Pegel imBehälter könnte dazuführen, dass Gas in dieFlüssigkeitsausleitungeingeschleppt wird.

Schäden an der nachfolgenden Einrichtung erfordern die Reinigungdes Behälters, verursachen Kosten von etwa 2 Mio. € und erforderneine Prozessabschaltung für 6 Wochen.

Niedriger Druck führt zumBersten des Behälters undzur Freisetzung von Gas.


Niedrige Temperatur,mögliches Einfrieren derFlüssigkeit (Verfestigung),Bersten des Behälters,Auslaufen von Flüssigkeit.

Schäden an der Einrichtung erfordern den Austausch des Behälters,verursachen Kosten von etwa 10 Mio. € und erfordern eineProzessabschaltung für 6 Monate. Die Freisetzung in die Umweltmuss gemeldet werden.

PROZESS-SAFEBOOK 1


31

Jede erkannte Gefahr könnte sicherheitsrelevante, umwelttechnische oder geschäftlicheKonsequenzen haben. Doch um unseren Verpflichtungen im Rahmen des Health and Safetyat Work Act [1.5.1] nachzukommen, müssen wir die Risikowahrscheinlichkeit bestimmen, diemit jeder Gefahr einhergeht [4].

32

PROZESS-SAFEBOOK 1


4. Risiken und Risikominderung

4.1. Risikokonzept

Ein Risiko ist die Wahrscheinlichkeit, dass eine Gefahr eine messbar ungünstige Auswirkung hat.

Daher handelt es sich um ein zweiteiliges Konzept, von dem Sie sinnvollerweise beide Teileberücksichtigen müssen. Wahrscheinlichkeiten können auf unterschiedliche Weiseausgedrückt werden, z. B. als Eintrittswahrscheinlichkeit: 1 aus 1000; als Häufigkeit oder Rate:1000 Fälle pro Jahr; oder mit einer qualitativen Angabe: vernachlässigbar oder signifikant.

Es gibt zahlreiche unterschiedliche Möglichkeiten, die Auswirkung zu beschreiben. Beispiel:

• Ein einzelner Mitarbeiter wird schwer verletzt oder getötet• Mehrere unbeteiligte Personen werden verletzt• Die Öffentlichkeit wird giftigen Gasen ausgesetzt

Das jährliche Risiko eines Mitarbeiters, einen tödlichen Unfall [Auswirkung] bei der Arbeitdurch den Kontakt mit beweglichen Maschinenteilen [Gefahr] zu erleiden, liegt bei wenigerals 1 aus 100 000 [Eintrittswahrscheinlichkeit].

Das Risiko muss daher in zwei Dimensionen quantifiziert werden. Die Auswirkung oderdie Konsequenzen der Gefahr müssen beurteilt werden und die Wahrscheinlichkeit desEintretens ist zu evaluieren. Bewerten Sie der Einfachheit halber alle Konsequenzen auf einerSkala von 1 bis 4 wie in Abbildung 10 veranschaulicht. Je größer die Zahl, desto größer ist dieAuswirkung oder die Eintrittswahrscheinlichkeit. Generell kann durch den Einsatz einersolchen Risikomatrix eine Priorität festgelegt und das Risiko evaluiert werden.

Schwere der Konsequenz

Niedrig

1

1

2

3

4

2 3 4

Hoch

Mittel Kritisch

Wah

rsch

einl

ichk

eit d

esA

uftr

eten

s

Abbildung 10: Risikomatrix

PROZESS-SAFEBOOK 1

Risiken und Risikominderung

33

Wenn die Eintrittswahrscheinlichkeit hoch und die Schwere der Konsequenzen gering ist,kann es sich um ein mittleres Risiko handeln. Wenn auf der anderen Seite die Schwere derKonsequenzen hoch und die Eintrittswahrscheinlichkeit gering ist, kann das Risiko als „Hoch“eingestuft werden. Typischerweise sollte einem katastrophalen Ereignis, das nur mit einergeringen Wahrscheinlichkeit eintritt, höhere Aufmerksamkeit gewidmet werden als einergeringfügigen Störung, die häufig auftritt.

Bis jetzt haben sich die Beispiele für die Risiken nur auf die Mitarbeitersicherheit bezogen,doch es gibt keinen Grund, warum dasselbe Konzept nicht für Umweltrisiken, Unterneh -mens risiken (wenn diese zu Umsatz- oder Kapazitätseinbußen führen) oder Risiken für denRuf des Unternehmens, Risiken für die Versorgungssicherheit (die vor allem für Energiever -sorgungsunternehmen gelten) übernommen werden kann.

4.2. Gefahrenanalyse

Eine erste Risikobeurteilung kann in der Regel im Rahmen der HAZOP-Studie erfolgen, auchGefahrenanalyse (HAZAN – Hazard Analysis) genannt. Wie in Abbildung 10 veranschaulicht,kann jede Gefahr abhängig von ihrer Schwere (in der Regel von 1 bis 4, wobei 4 der maxi -malen Schwere entspricht) und Eintrittswahrscheinlichkeit (1 bis 4, wobei 4 der höchstenWahrscheinlichkeit entspricht) kategorisiert werden.

Das HAZOP-Beispiel [3.7.2] kann weiterentwickelt werden und die Multiplikation derSchwere- und Häufigkeitskategorien miteinander ergibt ein vorläufiges Maß für das Risiko inForm der Risikoprioritätsnummer RPN), die zum Festlegen der Aktionen zur Risikominderungverwendet werden kann [4.3].

4.3. HAZAN-Studie für einen Trennbehälter

In der Spalte „Aktion“ haben Sie die Möglichkeit, Empfehlungen zum Einleiten erforderlicherMaßnahmen anzugeben, beispielsweise die Überprüfung, welche zusätzlichen Schutzein -richtungen implementiert werden können.

Die möglichen Aktionen werden in zwei Gruppen unterteilt:

• Aktionen zum Beseitigen der Ursache• Aktionen zur Minderung der Konsequenzen

Die Beseitigung der Gefahrenursache ist stets die bevorzugte Lösung. Nur wenn dies nichtmöglich ist, sollten Sie über Maßnahmen zur Minderung der Konsequenzen nachdenken.

4.3.1. HAZOP-Aktionen

Auf den HAZOP-Arbeitsblättern werden Aktionen notiert, die näher überprüft werdenmüssen. In diesem Beispiel wurden die folgenden Aktionen erkannt.

34

PROZESS-SAFEBOOK 1


Ref

Abw

eich

ung

Gef

ahr

Kons

eque

nzSc

hw.k

at.

Häu

f.kat

.RP

NSc

hutz

-vo

rric

htun

gen

Akt

ion

01.0

1St

arke

r Flu

ss d

er P

roze

ss-

flüss

igke

it in

den

Beh

älte

r.Ei

ne h

ohe

Zufu

hr in

den

Beh

älte

r kön

nte

zu e

inem

hoh

en P

egel

und

zur

Ein

schl

eppu

ng

der F

lüss

igke

it in

die

Gas

ausl

eitu

ng fü

hren

.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n de

n A

usta

usch

des

Beh

älte

rs, v

erur

sach

en K

oste

n vo

n et

wa

10 M

io. €

un

d er

ford

ern

eine

Pro

zess

absc

haltu

ng fü

r 6 M

onat

e.

32

6Pe

gels

teue

rung

.Es

sol

lte e

in A

larm

fü

r hoh

e Pe

gel

inst

allie

rt w

erde

n.

01.0

2St

arke

r Flu

ss d

er P

roze

ssflü

ssig

keit

aus

der F

lüss

igke

itsau

slei

tung

des

Beh

älte

rs.

Ein

zu h

oher

Abfl

uss

aus

dem

Beh

älte

r kön

nte

zu e

inem

ni

edrig

en P

egel

und

daz

u fü

hren

, das

s G

as in

die

Flü

ssig

keits

-au

slei

tung

ein

gesc

hlep

pt w

ird.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n di

e Re

inig

ung

des

Behä

lters

, ver

ursa

chen

Ko

sten

von

etw

a 2

Mio

. € u

nd e

rfor

dern

ein

e Pr

ozes

sabs

chal

tung

für 6

Woc

hen.

21

2Pe

gels

teue

rung

.Es

sol

lte e

in A

larm

für n

iedr

ige

Pege

l ins

talli

ert w

erde

n.

01.0

3St

arke

r Gas

stro

m a

us d

er

Gas

ausl

eitu

ng d

es B

ehäl

ters

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.

01.0

4G

erin

ger F

luss

der

Pro

zess

-flü

ssig

keit

in d

en B

ehäl

ter.

Ein

zu n

iedr

iger

Flu

ss in

den

Beh

älte

r kön

nte

zu e

inem

ni

edrig

en P

egel

und

daz

u fü

hren

, das

s G

as in

die

Flü

ssig

keits

-au

slei

tung

ein

gesc

hlep

pt w

ird.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n di

e Re

inig

ung

des

Behä

lters

, ver

ursa

chen

Ko

sten

von

etw

a 2

Mio

. € u

nd e

rfor

dern

ein

e Pr

ozes

sabs

chal

tung

für 6

Woc

hen.

22

4Pe

gels

teue

rung

.Es

sol

lte e

in A

larm

für n

iedr

ige

Pege

l ins

talli

ert w

erde

n.

01.0

5G

erin

ger F

luss

der

Pro

zess

-flü

ssig

keit

aus

der F

lüss

igke

its-

ausl

eitu

ng d

es B

ehäl

ters

.

Ein

gerin

ger A

bflus

s vo

m B

ehäl

ter k

önnt

e zu

ei

nem

hoh

en P

egel

und

zur

Ein

schl

eppu

ng

der F

lüss

igke

it in

die

Gas

ausl

eitu

ng fü

hren

.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n de

n A

usta

usch

des

Beh

älte

rs, v

erur

sach

en K

oste

n vo

n et

wa

10 M

io. €

un

d er

ford

ern

eine

Pro

zess

absc

haltu

ng fü

r 6 M

onat

e.

31

3Pe

gels

teue

rung

.Es

sol

lte e

in A

larm

fü

r hoh

e Pe

gel

inst

allie

rt w

erde

n.

01.0

6G

erin

ger G

asst

rom

aus

der

G

asau

slei

tung

des

Beh

älte

rs.

Kein

e de

nkba

re G

efah

rKe

ine.

Ke

ine.

01.0

7N

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.01

.08

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

Ke

ine.

01.0

9N

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.01

.10

Hoh

er D

ruck

im B

ehäl

ter.

Bers

ten

des

Behä

lters

und

Fr

eise

tzun

g vo

n G

as.

Das

frei

gese

tzte

Gas

ent

zünd

et s

ich

am B

renn

er u

nd a

n he

ißen

Obe

rfläc

hen.

M

öglic

herw

eise

zw

ei T

odes

fälle

bei

m In

stan

dhal

tung

sper

sona

l. D

er S

chad

en a

n de

r Ein

richt

ung

erfo

rder

t den

Aus

taus

ch d

es B

ehäl

ters

, ver

ursa

cht K

oste

n vo

n 10

Mio

. € u

nd e

rfor

dert

ein

e Pr

ozes

sabs

chal

tung

für 1

Jahr

. G

erin

ge F

reis

etzu

ng in

die

Um

gebu

ng.

42

8

Dru

ckre

gelu

ng.

Es s

ollte

ein

Ala

rm

für h

ohe

Pege

l in

stal

liert

wer

den.

01.1

1N

iedr

iger

Dru

ck im

Beh

älte

r.Be

rste

n de

s Be

hälte

rs u

nd

Frei

setz

ung

von

Gas

. D

as fr

eige

setz

te G

as e

ntzü

ndet

sic

h am

Bre

nner

und

an

heiß

en O

berfl

äche

n.

Mög

liche

rwei

se z

wei

Tod

esfä

lle b

eim

Inst

andh

altu

ngsp

erso

nal.

Der

Sch

aden

an

der E

inric

htun

g er

ford

ert d

en A

usta

usch

des

Beh

älte

rs, v

erur

sach

t Kos

ten

von

10 M

io. €

und

erf

orde

rt e

ine

Proz

essa

bsch

altu

ng fü

r 1 Ja

hr.

Ger

inge

Fre

iset

zung

in d

ie U

mge

bung

.

41

4

Dru

ckre

gelu

ng.

Es s

ollte

ein

Ala

rm

für n

iedr

ige

Pege

l in

stal

liert

wer

den.

01.1

2N

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.01

.13

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

Ke

ine.

01.1

4N

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.01

.15

Hoh

e Te

mpe

ratu

r im

Beh

älte

r.H

ohe

Tem

pera

tur f

ührt

zu

hohe

m

Dru

ck, z

um B

erst

en d

es B

ehäl

ters

un

d zu

r Fre

iset

zung

von

Gas

.

Das

frei

gese

tzte

Gas

ent

zünd

et s

ich

am B

renn

er u

nd a

n he

ißen

Obe

rfläc

hen.

M

öglic

herw

eise

zw

ei T

odes

fälle

bei

m In

stan

dhal

tung

sper

sona

l. D

er S

chad

en a

n de

r Ein

richt

ung

erfo

rder

t den

Aus

taus

ch d

es B

ehäl

ters

, ver

ursa

cht K

oste

n vo

n 10

Mio

. € u

nd e

rfor

dert

ein

e Pr

ozes

sabs

chal

tung

für 1

Jahr

. G

erin

ge F

reis

etzu

ng in

die

Um

gebu

ng.

41

4

Tem

pera

turr

egel

ung.

Es s

ollte

ein

Ala

rm

für h

ohe

Tem

pera

tur

inst

allie

rt w

erde

n.

01.1

6N

iedr

ige

Tem

pera

tur i

m

Behä

lter.

Mög

liche

s G

efrie

ren

(Ver

fest

igen

) vo

n Fl

üssi

gkei

t, Be

rste

n de

s Be

hälte

rs

und

Aus

lauf

en v

on F

lüss

igke

it.

Schä

den

an d

er E

inric

htun

g er

ford

ern

den

Aus

taus

ch d

es B

ehäl

ters

, ver

ursa

chen

Ko

sten

von

etw

a 10

Mio

. € u

nd e

rfor

dern

ein

e Pr

ozes

sabs

chal

tung

für 6

Mon

ate.

D

ie F

reis

etzu

ng in

die

Um

wel

t mus

s ge

mel

det w

erde

n.

31

3Te

mpe

ratu

rreg

elun

g.Es

sol

lte e

in A

larm

für

nied

rige

Tem

pera

tur

inst

allie

rt w

erde

n.

01.1

7N

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.01

.18

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

Ke

ine.

01.1

9N

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.01

.20

Hoh

er P

egel

im B

ehäl

ter.

Ein

hohe

r Peg

el im

Beh

älte

r kön

nte

dazu

führ

en, d

ass

Flüs

sigk

eit i

n di

e G

asau

slei

tung

ein

gesc

hlep

pt w

ird.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n de

n A

usta

usch

des

Beh

älte

rs, v

erur

sach

en K

oste

n vo

n et

wa

10 M

io. €

und

erf

orde

rn e

ine

Proz

essa

bsch

altu

ng fü

r 6 M

onat

e.

32

6Pe

gels

teue

rung

.Es

sol

lte e

in A

larm

fü

r hoh

e Pe

gel

inst

allie

rt w

erde

n.

01.2

1N

iedr

iger

Peg

el im

Beh

älte

r.Ei

n zu

nie

drig

er F

luss

in d

en B

ehäl

ter k

önnt

e zu

ein

em

nied

rigen

Peg

el u

nd d

azu

führ

en, d

ass

Gas

in d

ie F

lüss

igke

its-

ausl

eitu

ng e

inge

schl

eppt

wird

.

Schä

den

an d

er n

achf

olge

nden

Ein

richt

ung

erfo

rder

n di

e Re

inig

ung

des

Behä

lters

, ver

ursa

chen

Ko

sten

von

etw

a 2

Mio

. € u

nd e

rfor

dern

ein

e Pr

ozes

sabs

chal

tung

für 6

Woc

hen.

2

12

Pege

lste

ueru

ng.

Es s

ollte

ein

Ala

rm fü

r nie

drig

e Pe

gel i

nsta

llier

t wer

den.

01.2

2N

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.01

.23

Nic

ht d

enkb

ar.

Kein

e de

nkba

re G

efah

rKe

ine.

Ke

ine.

01.2

4N

icht

den

kbar

.Ke

ine

denk

bare

Gef

ahr

Kein

e.

Kein

e.

PROZESS-SAFEBOOK 1


35

Ref Gefahr Konsequenz Aktion ZugeordneteAktion

Abschluss -datum

01.01 Eine hohe Zufuhr in denBehälter könnte zu einemhohen Pegel und zurEinschleppung der Flüssigkeit indie Gasausleitung führen.

Schäden an nachfolgendenEinrichtungen.

Es sollte ein Alarmfür hohe Pegelinstalliert werden.

S SmithC&I_Abteil.

14. Apr 12

01.02 Ein zu hoher Abfluss aus demBehälter könnte zu einemniedrigen Pegel und dazu führen,dass Gas in die Flüssigkeits aus -leitung eingeschleppt wird.


Es sollte ein Alarmfür niedrige Pegelinstalliert werden.

S SmithC&I_Abteil.

14. Apr 12

01.04 Ein zu niedriger Fluss in denBehälter könnte zu einemniedrigen Pegel und dazu führen,dass Gas in die Flüssigkeitsaus -leitung eingeschleppt wird.



S SmithC&I_Abteil.

14. Apr 12

01.05 Ein geringer Abfluss vomBehälter könnte zu einemhohen Pegel und zur Einschlep -pung der Flüssigkeit in dieGasausleitung führen.



S SmithC&I_Abteil.

14. Apr 12

01.10 Bersten des Behälters undFreisetzung von Gas.

Möglicherweise Todesfällebeim Instandhaltungs -personal. Schäden an derEinrichtung. Freisetzung indie Umwelt.

Es sollte ein Alarmfür hohen Druckinstalliert werden.

J JonesProzessabteil.

21. Apr 12

01.11 Bersten des Behälters undFreisetzung von Gas.


Es sollte ein Alarmfür niedrigen Druckinstalliert werden.

J JonesProzessabteil.

21. Apr 12

01.15 Hohe Temperatur führt zuhohem Druck, zum Bersten desBehälters und zur Freisetzungvon Gas.


Es sollte ein Alarmfür hohe Temperaturinstalliert werden.

V White C&I-Abteil.

21. Apr 12

01.16 Mögliches Gefrieren vonFlüssigkeit, Bersten desBehälters und Auslaufen vonFlüssigkeit.

Schäden an der Einrichtung.Freisetzung in die Umwelt.

Es sollte ein Alarmfür niedrigeTemperaturinstalliert werden.

V White C&I-Abteil.

21. Apr 12

01.20 Ein hoher Pegel im Behälterkönnte dazu führen, dassFlüssigkeit in die Gasausleitungeingeschleppt wird.



S SmithC&I_Abteil.

14. Apr 12

01.21 Ein niedriger Pegel im Behälterkönnte dazu führen, dass Gas indie Flüssigkeitsausleitungeingeschleppt wird.



S SmithC&I_Abteil.

14. Apr 12

36

PROZESS-SAFEBOOK 1


4.4. Beispiele für die Kategorisierung der Risikomatrix

In Abbildung 11 sind ähnliche Informationen dargestellt wie in der einfachen Risikomatrix,die weiter oben verwendet wurde. Die Schwere der Konsequenzen wurde durch einfache,generische Beschreibungen klassifiziert, wie z. B. gelegentlich, geringfügig, schwer, katastro -phal. Wenn eine HAZOP-Studie ausgeführt wurde, sind die möglichen Konsequenzen dererkannten Gefahren wahrscheinlich bekannt, sodass diese gruppiert und kategorisiertwerden können.

Die Quantifizierung der Eintrittswahrscheinlichkeit ist dagegen schwieriger. In Abbildung 11ist ein Konzept dargestellt, bei dem die Eintrittswahrscheinlichkeit anschaulich kategorisiertwird und von „sehr häufig“ (z. B. die Gefahr tritt mehrmals pro Jahr am Standort auf) bis„äußerst selten“ (z. B. ist in der Branche noch nie aufgetreten oder ist in keiner Branche jeaufgetreten) reicht. Mit einer solch qualitativen Beschreibung der Eintrittswahrscheinlichkeitkönnen jeder Kategorie Häufigkeitsspannen zugeordnet werden.

Die daraus resultierende Tabelle ermöglicht somit eine Kategorisierung der Risiken von„äußerst niedrig“ (VL – very low) über „niedrig“ (L – low), „mittel“ (M), „hoch“ (H) und „sehrhoch“ (VH – very high) gemäß der Schwerekategorie und der Häufigkeit.

PROZESS-SAFEBOOK 1


37

Noc

h in

kei

ner

Indu

strie

/bei

kei

nem

A

rbei

tsty

p au

fget

rete

n

Noc

h ni

e in

der

In

dust

rie/b

ei d

iese

m

Arb

eits

typ

aufg

etre

ten

Bere

its in

der

In

dust

rie/b

ei d

iese

m

Arb

eits

typ

aufg

etre

ten

Inne

rhal

b de

s U

nter

nehm

ens

aufg

etre

ten

Meh

rmal

s in

nerh

alb

des

Unt

erne

hmen

s au

fget

rete

n

Tritt

am

St

ando

rt a

ufTr

itt m

ehrm

als

am S

tand

ort a

uf

Tritt

meh

rmal

s im

Jahr

am

St

ando

rt a

uf

AB

CD

EF

GH

Kata

stro

phal

10-6

/Jah

r

Schw

er

10-5

/Jah

r

Sehr

sch

wer

10-4

/Jah

r

Mitt

el

10-3

/Jah

r

Leic

ht

10-2

/Jah

r

Gel

egen

tlich

10-1

/Jah

r

<10-6

/Jah

r 10

-6–1

0-5

/Jah

r 10

-5–1

0-4

/Jah

r10

-4–1

0-3

/Jah

r10

-3–1

0-2

/Jah

r10

-2–1

0-1

/Jah

r 10

-1–1

/Jah

r >1

/Jah

r

VL

Like

lihoo

d („

Wah

rsch

einl

ichk

eit“

)

Schw

ere

6M

HV

HV

LL

VH

VH

VH

5L

MH

VH

VH

VH

4V

LL

MH

VH

VH

3V

LL

MH

VH

2V

LL

MH

1V

LL

M

Abbildung 11: Risikomatrix

38

PROZESS-SAFEBOOK 1


4.5. Risikoquantifizierung

Die Tolerierbarkeit eines Risikos wurde bisher aus rein qualitativer Perspektive betrachtet. DieQuantifizierung der Tolerierbarkeit von Risiken für die persönliche Sicherheit hängt von denerkannten Risiken ab. Dies kann von verschiedenen Faktoren beeinflusst werden. Beispiele:

• Persönliche Erfahrung gegenteiliger Auswirkungen• Soziale oder kulturelle Hintergründe und Überzeugungen• Grad der Kontrolle, die jemand über ein bestimmtes Risiko hat• Ausmaß, mit dem Informationen aus verschiedenen Quellen (z. B. den Medien)

zusammengestellt werden können

Natürlich sind einige Risiken so hoch, dass sie offensichtlich inakzeptabel sind, z. B. Rauchenwährend der Schwangerschaft, und andere, bei denen das Risiko so gering ist, dass esvernachlässigbar ist, wie z. B. das Kochen von Milch in einem Topf. Natürlich befindet sichder für Diskussionen interessanteste Teil in dem grauen Bereich für tolerierbare Risiken, derdazwischen liegt. Die Aufgabe besteht daher darin, die beiden Grenzbedingungen zudefinieren:

• Zwischen inakzeptablem und tolerierbarem Risiko• Zwischen tolerierbarem und akzeptablem Risiko

Das HSE-Leitdokument „Reducing Risks, Protecting People“ (R2P2) [19.3] schlägt vor, dass einindividuelles Todesfallrisiko von 1 aus 1 000 000 pro Jahr für Mitarbeiter und die Öffent -lichkeit ein sehr niedriges Risiko darstellt und als allgemein akzeptabler (vernachlässigbarer)Risikogrenzwert verwendet werden kann.

R2P2 schlägt dagegen vor, dass ein individuelles Todesfallrisiko von 1 aus 1000 pro Jahrdie Grenzwertbedingung zwischen einem gerade noch tolerierbaren Wert für eine wichtigeArbeiterkategorie und einen Großteil ihres Arbeitslebens und einem inakzeptablen Wert fürbeliebige Gruppen ist, die jedoch eher zu den Ausnahmen zählen. In Großbritannien soll beider Arbeitsgesundheit und -sicherheit ein Niveau erzielt werden, bei dem nahezu diegesamte Bevölkerung tagtäglich einer Gefahr ausgesetzt werden kann, ohne dass diesnachteilige Auswirkungen hat.

Für die Öffentlichkeit, die diesen Risiken ausgesetzt ist, wird dieser Grenzwert in einerGrößenordnung festgelegt, die bei unter 1 pro 10 000 pro Jahr liegt.

Die von der HSE übernommenen Kriterien können in einem Rahmenwerk, der so genanntenTolerierbarkeit des Risikos (TOR – Tolerability Of Risk) veranschaulicht werden (siehe Abbil -dung 12). Das maximal tolerierbare Einzelrisiko und das allgemein akzeptable Risikokriteriumwurden markiert.

PROZESS-SAFEBOOK 1


39

4.6. Tolerierbarkeit und Akzeptierbarkeit von Risiken

Beim Bestimmen des quantitativen Risikos, das durch Gefahren besteht, die z. B. in einerHAZOP-Studie erkannt werden, müssen Sie quantitative Risikokriterien festlegen und weitereArbeitsrisiken berücksichtigen, denen eine Einzelperson während des Arbeitstags ausgesetztist. Es kann durchaus davon ausgegangen werden, dass eine Einzelperson schätzungsweisezehn dieser Gefahren ausgesetzt sein wird. Die Tolerierbarkeit von Risikokriterien (Abbil -dung 12) kann anschließend unter diesen zehn Gefahren aufgeschlüsselt werden, wobei einmaximal tolerierbares, individuelles Todesfallrisiko von 1 aus 10 000 pro Jahr bestehen darf(Abbildung 13).

Der allgemein akzeptable Risikogrenzwert für das individuelle Todesfallrisiko vonMitarbeitern und Mitgliedern der Öffentlichkeit bleibt bei 1 aus 1 000 000 pro Jahr, da diesbereits als vernachlässigbar gilt. Die Tolerierbarkeit des Risikos kann wie in Abbildung 14dargestellt zusammengefasst werden.

Nicht akzep-tabler Bereich

Tolerierbarer Bereich

Allgemein akzeptabler Bereich

10-6 pro Jahr

10-3 pro Jahr

Risi

koer

höhu

ng

Abbildung 12: Tolerierbarkeit des Risikos

Nicht akzep-tabler Bereich

Tolerierbarer Bereich

Allgemein akzeptabler Bereich

10-6 pro Jahr

10-4 pro Jahr

Risi

koer

höhu

ng

Abbildung 13: Einzelne Risikokriterien

40

PROZESS-SAFEBOOK 1


Vom maximal tolerierbaren, individuellen Todesfallrisiko von 1 aus 10 000 pro Jahr können,abhängig von der Schwere und möglicherweise involvierter Dritter, weitere maximaltolerierbare Risikowerte bestimmt werden (Abbildung 15).

EINZELRISIKO pro Jahr

Konsequenz Geringfügig/Ernst Ernst/Tödlich Mehrere Todesfälle

Mitarbeiter 10-3 10-4 10-5

Öffentlichkeit 10-4 10-5 10-6

ALLGEMEIN AKZEPTIERTES RISIKO (Vernachlässigbar)



Abbildung 15: Tolerierbarkeit des Risikos – Zusammenfassung

EINZELRISIKO pro Jahr



Öffentlichkeit 10-4 10-5 10-6

ALLGEMEIN AKZEPTIERTES RISIKO (Vernachlässigbar)




PROZESS-SAFEBOOK 1


41

4.7. Tolerierbarkeit des Risikos

Die Zusammenfassung zur Tolerierbarkeit des Risikos [Abbildung 15] kann grafischdargestellt werden (siehe Abbildung 16).

MehrereTodesfälle

Maximal tolerierbaresRisiko für Mitarbeiter

Maximal tolerierbaresRisiko für Öffentlichkeit

Vernachlässigbares Risiko

10-6 10-5 10-4 10-3

Häufigkeit (/Jahr)

Schw

ere

der K

onse

quen

z

EinzelnerTodesfall

Verletzungen


42

PROZESS-SAFEBOOK 1


4.8. Anforderungen hinsichtlich der Konformität

Die Anforderungen für Sicherheits-Integritätslevel werden von der wahrscheinlichenHäufigkeit gefährlicher Ereignisse abgeleitet. Abhängig von den Konsequenzen einer Gefahrwird eine maximal tolerierbare Häufigkeit bestimmt und eine Sicherheitsfunktion entwickelt,um die Häufigkeit auf ein tolerierbares Maß zu reduzieren.

Die Risikominderung, die die Sicherheitsfunktion bewirken muss, stellt die erste Anforderunghinsichtlich der Konformität mit der Norm dar: Dies ist das numerische Zuverlässigkeitsmaß.

Die numerische Zuverlässigkeit wird durch den Wert in Gruppen oder Sicherheits-Integritätslevel (SILs) kategorisiert. Es gibt vier SILs, die auf dem Maß der Zielzuverlässigkeitbasieren. SIL4 stellt das höchste Maß an Sicherheit, die höchste Risikominderung und dasschwierigste Zuverlässigkeitsziel dar. SIL1 bietet das niedrigste Maß an Sicherheit und istdas am einfachsten zu erreichende Zuverlässigkeitsziel.

4.9. ALARP-Prinzip

Der oben angeführte Überblick über die Gefährdungs- und Risikoanalyse zeigt, wie dieProzessrisiken bestimmt und das maximal tolerierbare Risiko erreicht werden können.Allerdings müssen laut HSAWA zusätzliche Anstrengungen unternommen werden, umdas Risiko durch andere Maßnahmen weiter zu verringern, bis nachgewiesen werden kann,dass das Risiko so niedrig, wie vernünftigerweise möglich ist – As Low As ReasonablyPracticable (ALARP) – und eine weitere Risikominderung daher nicht wirtschaftlich wäre [5].

PROZESS-SAFEBOOK 1

ALARP-Prinzip

43

5. ALARP-Prinzip

5.1. Vorteile und Nachteile

Die Verwendung des Ausdrucks „wie vernünftigerweise praktikable“ definiert Ziele für dieVerantwortlichen, anstatt Vorschriften festzulegen. Diese Flexibilität ist ein großer Vorteil,da sie den Verantwortlichen die Auswahl der für sie optimalen Methode überlässt und soInnovation unterstützt. Sie hat jedoch auch Nachteile. Die Entscheidung, ob ein Risiko demALARP-Prinzip entspricht, kann eine große Herausforderung sein, da sowohl die Verantwort -lichen als auch die Risikoprüfer ihr Urteil abgeben müssen.

Bei den Hauptprüfungen, die im Zuge der Regulierung industrieller Risiken ausgeführtwerden, soll Folgendes bestimmt werden:

a) Ob das Risiko so groß ist, dass es insgesamt abgelehnt werden mussb) Ob das Risiko so klein ist oder gemacht wurde, dass es vernachlässigbar istc) Ob das Risiko zwischen die beiden oben unter a) und b) angegebenen Zustände

fällt und auf ein Maß verringert wurde, das „so niedrig, wie vernünftigerweisemöglich“ ist.

Der Ausdruck „vernünftigerweise möglich“ lässt sich nur schwer quantifizieren. Er besagt,dass eine Berechnung angestellt werden muss, in der die zusätzliche Risikominderung, dieerreicht werden kann, gegen den implizierten Nachteil (hinsichtlich Kosten, Zeit oderAufwand) beim Erreichen der Risikominderung abgewägt wird. Wenn zwischen beideminsgesamt ein Missverhältnis vorliegt, der Vorteil also beispielsweise unbedeutend imVergleich zu den Kosten ist, wird das Risiko als ALARP angesehen.

Daher umfasst das ALARP-Prinzip beim Nachweis, dass Risiken verringert wurden, dieBeurteilung von Folgendem:

• Zu vermeidendes Risiko• Nachteil (hinsichtlich Kosten, Zeit und Aufwand) beim Ergreifen von Maßnahmen

zur Vermeidung dieses Risikos• Ein Vergleich von beidem

Dieser Prozess kann in unterschiedlicher Präzision ausgeführt werden, die von Folgendemabhängt:

• Art der Gefahr• Ausmaß des Risikos• Einzuführende Kontrollmaßnahmen

44

PROZESS-SAFEBOOK 1


Allerdings dürfen die Verantwortlichen nicht überlastet werden, wenn eine solche Präzisionnicht gewährleistet ist. Je größer das zu berücksichtigende Anfangsrisiko, desto höher mussdie Präzision ein.

5.2. Unverhältnismäßigkeit

Eine Kosten-Nutzen-Analyse (CBA – Cost Benefit Analysis) kann einen Verantwortlichen beider Beurteilung unterstützen, ob weitere Maßnahmen zur Risikominderung gerechtfertigtsind. Zusätzliche Maßnahmen zur Risikominderung können als vernünftigerweise möglichangesehen werden, sofern die Kosten für die Implementierung der Maßnahmen im Großenund Ganzen im Vergleich zu den Vorteilen nicht unverhältnismäßig hoch sind. Einfachausgedrückt: Wenn Kosten/Nutzen > DF, wobei DF für den „Unverhältnismäßigkeitsfaktor“(Disproportion Factor) steht, dann kann die Ausführung der Maßnahme für die erreichteRisikominderung als nicht angemessen angesehen werden.

DFs, die als zu hoch gelten, variieren von 1 an aufwärts, abhängig von verschiedenenFaktoren, einschließlich der Schwere der Konsequenzen und der Häufigkeit des Auftretenssolcher Konsequenzen. Je größer also das Risiko, desto höher auch der DF.

5.3. Was ist eine hohe Unverhältnismäßigkeit?

Die HSE hat keinen Algorithmus formuliert, der verwendet werden kann, um zu bestimmen,wann das Maß der Unverhältnismäßigkeit als hoch beurteilt werden kann. Es gibt keinemaßgeblichen Anleitungen von den Gerichten, welche Faktoren berücksichtigt werdensollten, wenn es darum geht, ob Kosten in hohem Maße unverhältnismäßig sind. Daher musseine Beurteilung fallabhängig erfolgen und einige Hinweise oder Anleitungen können ausden Ermittlungen bei größeren Unfällen abgeleitet werden.

Bei den Ermittlungen von 1987 Sizewell B wurden die folgenden DFs verwendet:

• Für geringe Risiken für die Mitglieder der Öffentlichkeit wurde der Faktor 2verwendet

• Für die Risiken für Arbeiter wurde ein Faktor von max. 3 angewandt (also Kosten,die dreimal höher sind als die Vorteile)

• Für hohe Risiken wird der Faktor 10 verwendet

5.4. Kosten-Nutzen-Analyse

Bei vielen ALARP-Entscheidungen erwartet die HSE von den Verantwortlichen keinedetaillierte Kosten-Nutzen-Analyse, da ein einfacher Vergleich der Kosten und Vorteile meistausreicht.

PROZESS-SAFEBOOK 1

ALARP-Prinzip

45

Eine Kosten-Nutzen-Analyse sollte lediglich als Unterstützung für ALARP-Entscheidungenverwendet werden. Sie darf weder das einzige Argument einer ALARP-Entscheidung sein,noch zur Untergrabung bestehender Normen und allgemein anerkannter Praktikenverwendet werden. Eine Kosten-Nutzen-Analyse stellt an sich keinen ALARP-Fall dar undkann weder verwendet werden, um gegen gesetzliche Verpflichtungen zu argumentieren,noch können durch sie untragbare Risiken oder eindeutig schlechtes Engineeringgerechtfertigt werden.

Unter anderem können folgende berechtigte Kosten bei einer Kosten-Nutzen-Analyseberücksichtigt werden:

• Installationskosten• Betriebskosten• Schulungskosten • Kosten beliebiger zusätzlicher Instandhaltungsarbeiten• Unternehmensverluste, die aufgrund einer Abschaltung entstünden, die allein

zum Zweck der Umsetzung der Maßnahme erfolgt• Zinsen aufgrund einer verzögerten Produktion, z. B. Öl oder Gas, das in einem

Öl-/Gasfeld verbleibt, während Arbeiten an einer Plattform ausgeführt werden• Alle beanspruchten Kosten müssen durch den Verantwortlichen entstanden sein

(Kosten, die durch andere Parteien entstanden sind – beispielsweise Mitglieder derÖffentlichkeit – dürfen nicht berücksichtigt werden)

• Es dürfen nur solche Kosten berücksichtigt werden, die zum Zweck derImplementierung der Maßnahmen zur Risikominderung erforderlich sind (keineGoldauflagen oder Luxusmaßnahmen)

Berechtigte Vorteile, die in einer Kosten-Nutzen-Analyse beansprucht werden können,umfassen beispielsweise alle Vorteile der Implementierung einer Maßnahme zur Verbesse -rung der Sicherheit in ihrer Gesamtheit, sofern sie nicht unterschätzt werden. Die Vorteilesollten alle Risikominderungen für die Mitglieder der Öffentlichkeit, für Arbeiter und fürMitglieder der Öffentlichkeit beinhalten, wie etwa:

• Verhinderte Todesfälle• Verhinderte Verletzungen (schwere wie leichte)• Verhinderte Krankheiten• Verhinderte Umweltschäden, sofern relevant (z. B. COMAH).

Die angegebenen Vorteile können auch die Vermeidung der Implementierung vonNotfalldiensten und die Vermeidung von Gegenmaßnahmen wie Evakuierung undDekontamination, sofern erforderlich, nach einem Zwischenfall umfassen. Um die Vorteileder Implementierung einer Sicherheitsverbesserung mit den zugeordneten Kostenvergleichen zu können, muss der Vergleich auf einer gemeinsamen Grundlage ausgeführt

46

PROZESS-SAFEBOOK 1


werden. Durch eine einfache Methode für die Überprüfung von Maßnahmen werden Kostenund Vorteile auf das gemeinsame Format von „€ pro Jahr“ für die Lebensdauer einer Anlagegebracht.

Tabelle 1 zeigt einige typische Geldwerte, die verwendet werden könnten.

Tabelle 1: Typische Entschädigungssummen vor Gericht (2003)

5.5. Beispiel

Frage: Angenommen, es liegt ein Chemiewerk mit einem Prozess vor, der bei einer Explosionzu folgenden Schäden führen könnte:

• 20 Todesfälle• 40 dauerhaft verletzte Personen• 100 schwer verletzte Personen• 200 leicht verletzte Personen

Eine Analyse ergab, dass diese Explosion mit einer Häufigkeit von ungefähr 10-5 pro Jahrauftritt, was in etwa 1 aus 100 000 pro Jahr entspricht. Die Anlage hat eine geschätzteLebensdauer von 25 Jahren. Wie viel könnte die Organisation vernünftigerweise ausgeben,um das Risiko der Explosion zu eliminieren?

Todesfall € 1 336 800 (x 2 beiKrebs)

Verletzung Verletzung mit dauerhafter Behinderung.Einige dauerhafte Einschränkungen in derFreizeit und möglicherweise bei einigenArbeitsaktivitäten.

€ 207 200

Ernsthaft. Einige Einschränkungen bei derArbeit und/oder in der Freizeit für mehrereWochen/Monate.

€ 20 500

Leichte Verletzung wie geringfügige Schnitteund Blutergüsse mit einer schnellen undvollständigen Genesung.

€ 300

Krankheit Krankheit mit dauerhafter Behinderung. Siehe„Verletzung“.

€ 193 100

Andere Fälle von beeinträchtigter Gesundheit.Abwesend für über eine Woche. Keinedauerhaften gesundheitlichen Konsequenzen.

€ 2300 + € 180 pro Tagder Abwesenheit

Leicht Abwesenheit für max. eine Woche. Keinedauerhaften gesundheitlichen Konsequenzen.

€ 530

PROZESS-SAFEBOOK 1

ALARP-Prinzip

47

Antworten: Wenn das Risiko der Explosion zu eliminieren ist, können die Vorteile wie folgtbeurteilt werden:

Todesfälle: 20 x € 1 336 800 x 10-5 x 25 Jahre = € 6684Dauerhaft verletzte Personen: 40 x € 207 200 x 10-5 x 25 Jahre = € 2072Schwer verletzte Personen: 100 x € 20 500 x 10-5 x 25 Jahre = € 512Leicht verletzte Personen: 200 x € 300 x 10-5 x 25 Jahre = € 15Vorteile gesamt = € 9283

Die Summe von 9283 € entspricht dem geschätzten Vorteil, der durch die Eliminierung derschweren Explosion in der Anlage basierend auf der Vermeidung von Opfern entsteht. (Beidieser Methode werden weder Nachlässe noch die Inflationsrate berücksichtigt.)

Wenn eine Maßnahme als nicht vernünftigerweise möglich gilt, müssen die Kosten imVergleich zu den Vorteilen stark übertrieben sein. In diesem Fall sagt der DF aus, dass dieKonsequenzen solcher Explosionen hoch sind. Ein DF von mehr als 10 ist unwahrscheinlich,weshalb es vernünftigerweise möglich sein kann, eine Summe von maximal 93 000 €(9300 € x 10) auszugeben, um das Risiko einer Explosion zu eliminieren. Der Verantwort lichemüsste die Verwendung eines kleineren DF rechtfertigen.

Diese Art einer einfachen Analyse kann verwendet werden, um einige Maßnahmen durchKalkulation verschiedener alternativer Methoden zur Eliminierung oder Verminderung vonRisiken auszuschließen oder zu berücksichtigen.

Alternatives Konzept

Es ist wahrscheinlicher, dass eine Maßnahme zur Verbesserung der Sicherheit ein Risiko nichteliminiert, sondern das Risiko nur um einen bestimmten Faktor vermindert. Daher muss diebereitgestellte Risikominderung, die als Vorteil bereitgestellt wird, im Vergleich zu denImplementierungskosten beurteilt werden.

Typische Organisationen arbeiten mit einem Ziel, das die Kosten pro gerettetem Lebendefiniert (oder dem Wert für die Verhinderung eines statistischen Todesfalls, VPF – Value ofPreventing a statistical Fatality).

Die Kosten zur Verhinderung von Todesfällen während der Lebensdauer der Anlage werdenmit dem Ziel-VPF verglichen.

Die Verbesserungen werden implementiert, sofern die Kosten nicht stark unverhältnismäßigsind.

48

PROZESS-SAFEBOOK 1


5.6. Beispiel

Frage: Anwendung von ALARP

Ein Ziel von 2 Millionen € pro gerettetem Leben wird in einer bestimmten Industrieverwendet. Ein maximal tolerierbares Risikoziel von 10-5 pro Jahr wurde für eine bestimmteGefahr festgelegt, die wahrscheinlich 2 Todesfälle verursacht.

Das vorgeschlagene Sicherheitssystem wurde beurteilt und ein Risiko von 8,0 x 10-6 pro Jahrvorhergesagt. Vorausgesetzt, dass das allgemein akzeptable (vernachlässigbare) Risiko bei10-6 pro Jahr liegt, ist die Anwendung von ALARP erforderlich.

In diesem Beispiel werden für Kosten von 10 000 € eine zusätzliche Instrumentierung undRedundanz implementiert, sodass das Risiko auf 2,0 x 10-6 pro Jahr (gerade über demvernachlässigbaren Bereich) für die Lebensdauer der Anlage, also 30 Jahre, vermindert wird.

Sollte der Vorschlag übernommen werden?

Antwort: Die Anzahl der geretteten Leben im Vergleich zur Lebensdauer der Anlage wird wiefolgt ermittelt:

N = (Verminderung der Häufigkeit von Todesfällen) x Anzahl der Todesfälle pro Vorfall x Lebensdauer der Anlage

= (8,0 x 10-6 – 2,0 x 10-6) x 2 x 30= 3,6 x 10-4

Daher liegen die Kosten pro gerettetem Leben bei:

VPF = € 10 000/3,6 x 10-4

= € 27,8 Millionen

Der berechnete VPF entspricht mehr als dem 10-fachen des Kriteriums der Zielkosten progerettetem Leben von 2 Millionen €, weshalb der Vorschlag abgelehnt werden sollte.

PROZESS-SAFEBOOK 1

SIL-Bestimmung

49

6. SIL-Bestimmung

6.1. Sicherheitsfunktionen in der Anforderungsbetriebsart und in der Betriebsart mitkontinuierlicher Anforderung

Bei der Beurteilung eines Sicherheitssystems im Hinblick auf Funktionsausfälle gibt es, ab -hängig von der Betriebsart, zwei Hauptoptionen. Wenn ein Sicherheitssystem nur seltenangefordert wird, typischerweise weniger als einmal pro Jahr, arbeitet es in der Anforde -rungs betriebsart. Ein Beispiel für ein solches Sicherheitssystem ist der Airbag in einemFahrzeug.

Die Bremsen in einem Fahrzeug sind ein Beispiel für ein Sicherheitssystem, das in der Be triebs -art mit kontinuierlicher Anforderung arbeitet: sie werden (nahezu) ständig gebraucht. BeiSicherheitssystemen, die in der Anforderungsbetriebsart arbeiten, wird üblicherweise diemittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung (PFD – Pro -bability of Failure on Demand) berechnet, während die Wahrscheinlichkeit eines gefahrbrin -genden Ausfalls pro Stunde (PFH – Probability of a dangerous Failure per Hour) für Sicher -heitssysteme verwendet wird, die in der Betriebsart mit kontinuierlicher Anforderung arbeiten.

6.2. Sicherheitsfunktionen in der Anforderungsbetriebsart

Angenommen in einer Fabrik bricht durchschnittlich alle zwei Jahre ein Feuer aus undwenn nichts unternommen wird, würde das Feuer zu einem Todesfall führen. Es könnte einDiagramm mit der Häufigkeit von Todesfällen erstellt werden (Abbildung 17). Die Häufigkeitder Todesfälle liegt bei 0,5/Jahr.

50

PROZESS-SAFEBOOK 1


In diesem Fall ist wichtig, dass beim Ausarbeiten der Konsequenzen des Feuers keine bereitsbestehenden Sicherheitsmaßnahmen berücksichtigt werden. Es sollen die Konsequenzen imungünstigsten Fall ermittelt werden.

Durch die Installation eines Rauchalarms, der in neun von zehn Fällen funktioniert, würde beizehn Bränden in dem einen Fall, bei dem der Rauchalarm nicht auf Anforderung funktioniert,ein Todesopfer erwartet. In diesem Fall würde sich die Todesfallhäufigkeit von einem Todes -fall in zwei Jahren auf einen Todesfall in 20 Jahren verringern.

Feuer in Fabrik

Häufigkeit von Todesfällen

Häufigkeit der Gefahr

Einmal in 2 Jahren

Führt zu Todesfällen

Im Prozess inhärentes Risiko

Abbildung 17: Häufigkeit von Todesfällen

PROZESS-SAFEBOOK 1

SIL-Bestimmung

51

Wenn in diesem Beispiel der Rauchalarm bei neun von zehn Bränden funktionieren würde,liegt eine Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung (PFD) von1 aus 10 oder 10 % vor. In diesem Fall ist PFD = 0,1. Der Rauchalarm mit einer PFD von 0,1würde die Todesfallhäufigkeit um den Faktor 10 verringern und zu einem Risikominderungs -faktor (RRF – Risk Reduction Factor) von 10 führen.

Zusammenfassung: PFD = 1/RRF.

Es darf nicht vergessen werden, dass die PFD mathematisch eine Wahrscheinlichkeit unddaher eine dimensionslose Quantität mit einem Wert zwischen 0 und 1 ist.

6.3. Beispiel für eine SIL-Bewertung

Das Konzept für die Bestimmung einer SIL-Bewertung (Sicherheits-Integritätslevel) sieht dieBerechnung der erforderlichen Risikominderung vor, um die Häufigkeit der Konsequenzeneiner Gefahr auf ein tolerierbares Maß zu verringern.

Das empfohlene Konzept für die Bestimmung der Sicherheits-Integritätslevel sieht dieBeurteilung des Risikos vor, das von jeder Gefahr für die Anlage ausgeht. Bei der Ausführungeiner HAZOP-Studie für unsere Anlage und beim Erkennen einer Gefahr in dem Prozess, dermöglicherweise Schäden verursachen kann, sofern nichts dagegen unternommen wird,müssen die möglichen Konsequenzen evaluiert werden. Diese Konsequenzen imungünstigs ten Fall bestimmen dann die maximal tolerierbare Häufigkeit für diese Gefahr.

Feuer in Fabrik

Rauchalarm

Häufigkeit von Todesfällen

Häufigkeit der Gefahr

Einmal in 20 Jahren Einmal in 2 Jahren

Häufigkeit von Todesfällen: 1 in 20 Jahren

Führt zu Todesfällen


Rauchalarm funktioniert in 9 von 10 Fällen

Abbildung 18: Geringere Häufigkeit von Todesfällen

52

PROZESS-SAFEBOOK 1


Wenn die Gefahr zum Tod eines Mitarbeiters führen könnte, besteht basierend auf derTolerierbarkeit und Akzeptanz der Risikokriterien [4.6] die Möglichkeit, eine maximaltolerierbare Häufigkeit für die Gefahr zuzuordnen. Anders ausgedrückt, lässt sich für dieerkannte Gefahr ein maximal tolerierbares Risiko von 10 bis 4 Fällen pro Jahr angeben.

Durch die Analyse der auslösenden Ursachen der Gefahr kann die Eintrittswahrscheinlichkeitder Gefahr abgeschätzt werden. Dabei wird angenommen, dass keine anderen Maßnahmenergriffen werden, und es erfolgt ein Vergleich mit der angegebenen maximal tolerierbarenHäufigkeit. Es könnten beispielsweise einige Analysen durchgeführt werden, wobeibestimmt würde, dass unsere Gefahr, sofern sie nicht überprüft wird, einmal pro Jahrauftreten könnte. Dies stellt daher eine Risikolücke dar: etwas, das behoben werden muss(Abbildung 19).

Anschließend können eventuelle Sicherheitsmaßnahmen berücksichtigt werden, die mög -licherweise bereits vorhanden sind, um die Häufigkeit der Gefahr zu reduzieren, wie z. B. einAlarm (Abbildung 20). In diesem Fall verringert der Alarm die Häufigkeit der Gefahrenkonse -quenzen durch die PFD. Aus diesem Grund wird die Risikolücke verkleinert, doch dasverbleibende Gesamtrisiko, obwohl nun kleiner, ist noch immer größer als das maximaltolerierbare Risiko.

Prozessgefahr

Häufigkeit der Gefahr10-4/Jahr 1/Jahr

Risikolücke

Führt zuTodesfällen


TolerierbareRisikostufe

Abbildung 19: Risikolücke

PROZESS-SAFEBOOK 1

SIL-Bestimmung

53

Die Berücksichtigung weiterer Schutzstufen kann das verbleibende Risiko weiter verringern.Eventuell liegen mechanische Vorrichtungen wie ein Druckminderventil, eine Schutzwandoder ein Damm vor. Weitere Maßnahmen zur Risikominderung können die

AlarmeMechAndere

Prozessgefahr

Häufigkeit der Gefahr10-4/Jahr 10-3/Jahr 10-2/Jahr 0,1/Jahr 1/Jahr

Risikolücke




PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1

MittleresRisiko

Abbildung 21: Berücksichtigung anderer Schutzebenen

Alarme

Prozessgefahr

Häufigkeit der Gefahr10-4/Jahr 0,1/Jahr 1/Jahr

Risikolücke




PFD = 0,1

Abbildung 20: Berücksichtigung von Alarmen

54

PROZESS-SAFEBOOK 1


Prozesssteuerung, Instrumentierung oder Verfahrensvorschriften umfassen und jeweils zurVerringerung des verbleibenden Risikos (Abbildung 21) durch die entsprechenden PFDsbeitragen. In diesem Beispiel wurden alle zulässigen Faktoren für die verschiedenenSicherheitsvorrichtungen berücksichtigt, die an der Anlage vorhanden sind. Und trotzdemverbleibt eine Lücke mit einem Restrisiko. Es wird deutlich, dass zur Verringerung derGefahrenhäufigkeit auf einen Wert, der unter der maximal tolerierbaren Häufigkeit liegt, eineweitere Schutzstufe erforderlich ist, die eine PFD von unter 0,1 aufweist. Dies ist die Aufgabedes SIS, Abbildung 22. Diese Berechnung wird zwar grafisch ausgeführt, stellt jedoch die Ziel-PFD für das vorliegende SIS bereit und ermöglicht die Bestimmung der SIL-Bewertung. Eshandelt sich hierbei um eine Sicherheitsfunktion in der Anforderungsbetriebsart.

AlarmeMechAndere

Prozessgefahr

Häufigkeit der Gefahr10-4/Jahr 10-3/Jahr 10-2/Jahr 0,1/Jahr 1/Jahr

Risikolücke




Verblei-bendes

Risiko

PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1

MittleresRisiko

SIS

Abbildung 22: PFD-Ziel

PROZESS-SAFEBOOK 1

SIL-Bestimmung

55

6.4. Sicherheitsfunktionen

Abbildung 23 zeigt die typische Anordnung eines SIS und seines Prozesses.

Die sicherheitstechnische Funktion überwacht einige Prozessparameter und führt Aktionenaus, um den Prozess sicher zu gestalten, wenn bestimmte Grenzwerte überschritten werden.Ein einfaches Beispiel aus der Prozessindustrie ist in Abbildung 24 dargestellt.

In der Abbildung sehen Sie eine Gasleitung, die ein Kraftwerk versorgt. Das Gas strömt vonlinks nach rechts durch ein Abschaltventil, bevor es das Druckregelventil (PCV – Pressure

Druck- sender

Druck-regler

ESD-Logik

Magnet-ventil

Hydraulik-versorgung

Hydraulik-entlüftung

Gasleitungs-einlass

Gasleitungs-ausleitung

Abschalt-ventil

Druckregler-ventil

Ausgelegt für 139 bar Ausgelegt für 48 bar

PC

SPT

Abbildung 24: Beispiel für eine sicherheitstechnische Funktion

SISSicherheitstechnisches

System

Prozess

Abbildung 23: Sicherheitstechnisches System

56

PROZESS-SAFEBOOK 1


Control Valve) erreicht. Das Druckregelventil wird von einem Druckregler (PC – PressureController) geregelt, der den Druck des Gases unter 48 bar und damit innerhalb des sicherenBemessungswerts der Auslassleitung hält. Der Ausfall dieser Druckregelungsfunktion könntezu einem Überdruck in der nachfolgenden Leitung und damit möglicherweise zum Bersten,zur Entzündung und zu Todesfällen führen. Daher wurde eine Sicherheitsfunktion entwickelt,mit der dieses Szenario verhindert werden soll. Die Sicherheitsfunktion besteht aus einemseparaten Druckgeber (PT – Pressure Transmitter), einer Logik für die Notabschaltung (ESD –Emergency Shutdown) und einem Abschaltventil (SDV – Shutdown Valve), das durch einhydraulisches Magnetventil (SOV – Solenoid Operated Valve) aktiviert wird, um die Gaszufuhrzu unterbrechen, wenn der nachfolgende Druck einen vorab festgelegten Auslösungswertüberschreitet.

6.5. Beispiel für eine Sicherheitsfunktion in der Anforderungsbetriebsart

Im Folgenden wird ein Beispiel für eine Sicherheitsfunktion in der Anforderungsbetriebsartbeschrieben. Wichtige Merkmale einer Sicherheitsfunktion in der Anforderungsbetriebsart:

• Sie ist in der Regel vom Prozess getrennt• Ein Ausfall der Sicherheitsfunktion führt zu einem Verlust der Schutzfunktion, ist

jedoch an sich nicht gefährlich• Die Funktion wird selten angefordert, d. h. weniger als einmal pro Jahr

Druck- sender

Druck-regler

Prozess & BPCS

Sicherheitstechnische Funktion

ESD-Logik

Magnet-ventil



Gasleitungs-einlass


Abschalt-ventil

Druckregler-ventil


PC

SPT

Abbildung 25: Sicherheitsfunktionen in der Anforderungsbetriebsart

PROZESS-SAFEBOOK 1

SIL-Bestimmung

57

Sicherheitsfunktionen in der Anforderungsbetriebsart umfassen die Abschaltung des Prozesses(PSD – Process Shutdown), die Notfall-Abschaltung (ESE – Emergency Shutdown) undDruckschutzsysteme mit hoher Integrität (HIPPS – High Integrity Pressure Protection Systems).

Es ist oft verwirrend, dass der PT, der Teil der Sicherheitsfunktion ist, den Prozessdruck zwarkontinuierlich überwacht, dies jedoch nicht ausschließt, dass er in der Anforderungsbetriebs -art arbeitet. Der Begriff „Anforderungsbetriebsart“ bezieht sich auf die Häufigkeit der Anfor -derungen zur Ausführung einer Aktion, also die Häufigkeit von Hochdruckabweichungen.

6.6. Beispiel für eine Sicherheitsfunktion in der Betriebsart mit kontinuierlicherAnforderung

Abbildung 26 zeigt ein Beispiel für eine Sicherheitsfunktion in der Betriebsart mitkontinuierlicher Anforderung.

HeizgasHauptgas

Dämpfer

Verb

renn

ungs

luft

S

S

Brenner-Management-

System

TT004

TE003

TE002

TT001

TT406

TE405

TE405

XY101

S XY101

TY102

HC201

HC202

S XY104

Abbildung 26: Sicherheitsfunktionen in der Betriebsart mit kontinuierlicher Anforderung

58

PROZESS-SAFEBOOK 1


Die Abbildung veranschaulicht ein typisches Brenner-Management-System (BMS), das zurRegelung eines Ofens verwendet wird. Das System regelt die Zufuhr von Heizgas und Ver -brennungsluft zum Ofen und überwacht die Brennerflamme mithilfe von Flammen wächtern.

Wenn die Flamme erlischt, muss das BMS die Heizgaszufuhr unterbrechen, um eineGasansammlung und eine mögliche Explosion zu verhindern. Ähnlich muss vor demEntzünden der Brenner entleert werden, um sicherzustellen, dass sich kein durch dieVentile gesickertes Gas im Ofen angesammelt hat oder die Steuerung ausfällt.

Das BMS muss die Regelung über die Inbetriebnahmesequenz bereitstellen und den Ofenausreichend entleeren. Zudem muss der Betrieb nach der Entzündung überwacht werden.In diesem Beispiel besteht die Sicherheitsfunktion in der Betriebsart mit kontinuierlicherAnforderung aus dem BMS sowie allen zugeordneten Sensoren und Ventilen.

Wichtige Merkmale einer Sicherheitsfunktion in der Betriebsart mit kontinuierlicherAnforderung :

• Stellt in der Regel einige Regelungsfunktionen bereit• Der Ausfall der Sicherheitsfunktion führt normalerweise zu einer gefährlichen

Situation• Die Funktion wird häufig angefordert, d. h. öfter als einmal pro Jahr oder sogar

ständig

Sicherheitsfunktionen in der Betriebsart mit kontinuierlicher Anforderung umfassentypischerweise Brenner-Management- und Turbinensteuerungssysteme.

6.7. SIL-Bewertung für die Anforderungsbetriebsart

IEC 61511-1, 9.2.4 gruppiert PFD-Ziele in Bereiche oder Sicherheits-Integritätslevel (SILs). Imobigen Beispiel [6.3] liegt für die Sicherheitsfunktion ein PFD-Ziel von <10-1 vor, was zu einerSIL1-Anforderung führt (siehe Tabelle 2).

Tabelle 2: SIL-Bewertung für die Anforderungsbetriebsart

Betrieb in der Anforderungsbetriebsart(Durchschnittliche Ausfallwahrscheinlichkeit beim Ausführender Konstruktionsfunktion auf Anforderung)

Sicherheits-Integritätslevel

≥10-5 bis <10-4 4

≥10-4 bis <10-3 3

≥10-3 bis <10-2 2

≥10-2 bis <10-1 1

PROZESS-SAFEBOOK 1

SIL-Bestimmung

59

Hinweis: Das PFD-Ziel ist in SIL-Bereiche gruppiert, da die Norm ein bestimmtes Maßan Präzision der Techniken und Maßnahmen erfordert, die bei der Beherrschung undVermeidung systematischer Ausfälle angewandt werden. Diese Anforderungen sind inAbschnitt [12.15] näher beschrieben.

6.8. SIL-Bewertung für die Betriebsart mit kontinuierlicher Anforderung

IEC 61511-1, 9.2.4 stellt auch SIL-Bewertungen für Systeme in der Betriebsart mitkontinuierlicher Anforderung bereit (Tabelle 3).

Tabelle 3: SIL-Bewertung für die Betriebsart mit kontinuierlicher Anforderung

Hinweis: Der Ausfallgrenzwert für Ziele in der Betriebsart mit kontinuierlicher Anforderung isteine Ausfall-PFH oder Ausfallrate.

Fußnote.

Auf den ersten Blick erscheinen diese Ziele für die Ausfallrate schwerer erreichbar als die Zielefür die Systeme in der Anforderungsbetriebsart, z. B. muss für SIL1 (Anforderungsbetriebsart)eine PFD von <10-1 vorliegen, während für SIL1 (Betriebsart mit kontinuierlicher Anforde -rung) eine PFH von <10-5 Ausfälle/Stunde erforderlich ist.

Die Tabellen können jedoch aneinander ausgerichtet werden, wenn die Ziele für dieBetriebsart mit kontinuierlicher Anforderung von Ausfälle/Stunde in Ausfälle/Jahr konvertiertwerden. Es gibt ungefähr 10-4 Stunden pro Jahr (tatsächlich sind es 8760) und daher kann dieTabelle für die Betriebsart mit kontinuierlicher Anforderung wie in Tabelle 4 dargestelltgeändert werden.

Betrieb in der Betriebsart mit kontinuierlicher Anforderung(Wahrscheinlichkeit eines gefahrbringenden Ausfalls proStunde, PFH)


≥10-9 bis <10-8 4

≥10-8 bis <10-7 3

≥10-7 bis <10-6 2

≥10-6 bis <10-5 1

60

PROZESS-SAFEBOOK 1


Tabelle 4: SIL-Bewertung für die Betriebsart mit kontinuierlicher Anforderung (PA)

6.9. Betriebsarten (Systeme in der Anforderungsbetriebsart und der Betriebsart mitkontinuierlicher Anforderung)

IEC 61511-1, 3.2.43 bietet folgende Definitionen zum Bestimmen der Arbeitsweise eines SIS.

Anforderungsbetriebsart

• Wenn eine bestimmte Aktion als Reaktion auf Prozessbedingungen oder andereAnforderungen ausgeführt wird. Im Falle eines gefährlichen Ausfalls des SIF tritteine mögliche Gefahr nur bei einem Ausfall des Prozesses des BPCS (Betriebs- undÜberwachungseinrichtung) ein.

Betriebsart mit kontinuierlicher Anforderung

• Wenn im Falle eines gefährlichen Ausfalls des SIF eine mögliche Gefahr ohne einenweiteren Ausfall auftritt, sofern nicht eine Maßnahme zur Verhinderung ergriffenwird.

Bei der Entscheidung, ob Ihre Sicherheitsfunktion in der Betriebsart mit hoher Anforde -rungsrate oder in der Anforderungsbetriebsart ausgeführt wird, gilt die Faustregel, dasszunächst die sinnvolle Maßeinheit oder das Maß für die Zuverlässigkeit bestimmt werdensollte.

Beispielsweise stellen die Airbags in einem Fahrzeug eine äußerst wichtige Sicherheitsfunk -tion dar und als Fahrer sollten Sie an deren Wahrscheinlichkeit eines gefahrbringendenAusfalls bei Anforderung interessiert sein, die angibt, dass es sich um eine Funktion in derAnforderungsbetriebsart handelt. In Abschnitt [6.5] sind die wichtigen Merkmale einerSicherheitsfunktion in der Anforderungsbetriebsart wie folgt beschrieben:

• Sie ist in der Regel vom Prozess getrennt• Ein Ausfall der Sicherheitsfunktion führt zu einem Verlust der Schutzfunktion, ist

jedoch an sich nicht gefährlich

Betrieb in der Betriebsart mit kontinuierlicher Anforderung(Wahrscheinlichkeit eines gefährlichen Ausfalls pro Jahr)


≥10-5 bis <10-4 4

≥10-4 bis <10-3 3

≥10-3 bis <10-2 2

≥10-2 bis <10-1 1

PROZESS-SAFEBOOK 1

SIL-Bestimmung

61

Tabelle 2 bestätigt daher, dass die Ziele für die Funktionen in der Anforderungsbetriebsartder Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung entsprechen.

Alternativ wären für die Bremsen in einem Fahrzeug das sinnvolle Maß eine Ausfallrate odereine Ausfallwahrscheinlichkeit pro Stunde. Für den Fahrer wäre interessant zu wissen, welcheAusfallrate die Sicherheitsfunktion aufweist, d. h. dies ist ein gutes Anzeichen dafür, dass essich um eine Funktion in der Betriebsart mit kontinuierlicher Anforderung handelt.

Um dies zu unterstreichen, sind die wichtigen Merkmale einer Sicherheitsfunktion in derBetriebsart mit kontinuierlicher Anforderung wie folgt definiert:

• Stellt in der Regel einige Regelungsfunktionen bereit, in diesem Fall dieBremsfunktion

• Der Ausfall der Sicherheitsfunktion führt normalerweise zu einer gefährlichenSituation, in diesem Fall zum Ausfall der Geschwindigkeitsregelung

Tabelle 3 bestätigt daher, dass die Ziele für die Funktionen in der Betriebsart mit kontinuier -licher Anforderung der Wahrscheinlichkeit gefährlicher Ausfälle pro Stunde entsprechen.

6.10. Sicherheitsfunktionen in der Anforderungsbetriebsart

6.10.1. Beispiel

Frage: Ein Prozessbereich ist pro Tag zwei Stunden lang besetzt. Überdruck in dem Prozessführt zum Austreten von Gas und es wird geschätzt, dass eines von zehn Gaslecks zu einerExplosion führt, die den Tod des Bedieners zur Folge hat.

Die Analyse zeigt, dass die Überdruckbedingung alle fünf Jahre auftritt (dies entspricht einerRate von 0,2 pro Jahr).

Angenommen, die maximal tolerierbare Häufigkeit für die Gefahr (Bediener wird durchExplosion getötet) entspricht 10-4 pro Jahr.

Welche PFD ist für das SIS erforderlich?

Antwort: Die Sterblichkeitsrate entspricht:

= 0,2 pro Jahr x 2/24 x 1/10= 1,67 x 10-3 pro Jahr

Daher muss das Sicherheitssystem folgende Wahrscheinlichkeit eines gefahrbringendenAusfalls bei Anforderung aufweisen:

= 10-4 pro Jahr/1,67 x 10-3 pro Jahr= 6,0 x 10-2, was SIL1 entspricht.

62

PROZESS-SAFEBOOK 1


Dies ist ein Beispiel für ein SIS in der Anforderungsbetriebsart, da es nur mit einer Häufigkeitaufgerufen wird, die von der Ausfallrate der gesteuerten Einrichtung bestimmt wird.

Es kann bestätigt werden, dass das Ergebnis tatsächlich eine PFD ist, da eine Rate durcheine Rate dividiert wurde, um eine dimensionslose Menge, z. B. eine Wahrscheinlichkeit,anzugeben.

6.11. Sicherheitsfunktionen in der Betriebsart mit kontinuierlicher Anforderung

Abbildung 27 zeigt ein einfaches Beispiel für eine Sicherheitsfunktion in der Betriebsart mitkontinuierlicher Anforderung. Die Chemikalie im Dampfkessel wird durch ein elektrischesElement erhitzt, das durch einen Temperaturtransmitter gesteuert wird, der den Auslassmisst.

Angenommen, die Überhitzung des Dampfkessels führt zum Bersten, zur Freisetzung derChemikalie und nachfolgend zu einem Feuer, bei dem Lebensgefahr besteht. Es bestehteindeutig ein Risiko, das ein Risiko-Management erfordert. In diesem Beispiel darf dieAusfallrate des gesamten Prozesses nicht das maximal tolerierbare Risiko für die Gefahrüberschreiten.

6.11.1. Beispiel

Frage: Angenommen, der Ausfall des Dampfkessels führt zur Überhitzung und zu einemBrand und in einem von 400 Ausfällen kommt es zu einem Todesfall. Es wird ebenfalls ange -nommen, dass die maximal tolerierbare Sterblichkeitsrate bei 10-5 pro Jahr (SterblichkeitDritter) liegt.

Wie hoch ist die maximal tolerierbare Ausfallrate des Dampfkessels?

TT

Temperatur- regler

DampfkesselProzess-einlass

Prozess-auslass

Leistungder Dampf-kessel-heizung

Heizung

Abbildung 27: Sicherheitsfunktionen in der Betriebsart mit kontinuierlicher Anforderung

PROZESS-SAFEBOOK 1

SIL-Bestimmung

63

Antwort: Da einer von 400 Ausfällen kleiner oder gleich dem maximal tolerierbaren Risikoentsprechen muss, gilt Folgendes:

10-5 pro Jahr ≥ λB x 1/400

Dabei ist λB die Ausfallrate des Dampfkessels.

Daher gilt:

λB = 400 x 10-5 pro Jahr= 4,0 x 10-3 pro Jahr, was SIL2 entspricht.

Dies ist ein Beispiel für ein SIS in der Betriebsart mit kontinuierlicher Anforderung, dasständig ein Risiko birgt, d. h. im Dauergebrauch ist. Der Dampfkessel darf 400 Mal häufigerausfallen als die maximal tolerierbare Ausfallrate, da nur 1 von 400 Ausfällen zu einemTodesfall führt.

In diesem Beispiel müssten Sie den Prozess, d. h. Dampfkessel, Heizelement und Temperatur -sensor, gemäß SIL2 entwerfen und bauen und die Ausfallrate müsste unter 4,0 x 10-3 pro Jahrliegen. Dies wäre ein anspruchsvolles Projekt, doch es gibt keine andere Lösung.

6.11.2. Beispiel

Angenommen, Sie haben den Dampfkesselprozess erstellt und seine Ausfallrate mit 5,0 x 10-2 pro Jahr errechnet, was weit über dem Ziel von 4,0 x 10-3 pro Jahr liegt.

Wenn dies der Fall ist und es in einem von 400 Fällen zu einem Todesfall kommt, wird dieHäufigkeit von Todesfällen wie folgt ermittelt:

= 5,0 x 10-2 pro Jahr x 1/400= 1,25 x 10-4 pro Jahr

Dies liegt über der maximal tolerierbaren Rate von 10-5 pro Jahr (Sterblichkeit Dritter).

Ein alternativer Ansatz könnte sein, die unbefriedigend hohe Ausfallrate des Dampfkesselszuzulassen und eine Sicherheitsfunktion in der Anforderungsbetriebsart zu entwickeln, mitder die Todesfallhäufigkeit auf ein maximal tolerierbares Maß verringert werden könnte(Abbildung 28).

64

PROZESS-SAFEBOOK 1


In dieser Konfiguration wird ein zweiter unabhängiger Temperaturtransmitter installiert, derdie Auslasstemperatur misst und die Spannungsversorgung zum elektrischen Heizgerät übereine ESD-Logik unterbricht, wenn der Prozess ausfällt.

Es gilt Folgendes:

10-5 pro Jahr ≥ λB x PFDT

Dabei ist λB die Ausfallrate des Dampfkessels, 1,25 x 10-4 pro Jahr und PFDT die Wahrschein -lich keit eines gefahrbringenden Ausfalls bei Anforderung der unabhängigen Auslösung.

Daher gilt:

PFDT ≤ 10-5 pro Jahr/1,25 x 10-4 pro JahrPFDT ≤ 0,08

Dies entspricht einer SIL1-Sicherheitsfunktion in der Anforderungsbetriebsart.

Hinweis: Diese beiden Beispiele ermöglichen die Entwicklung des gesamten Dampfkessel -systems und der gesteuerten Einrichtungen im Rahmen von SIL2. Alternativ kann ein Ausfalldes Dampfkesselsystems zugelassen und das System durch eine zusätzliche SIL1-Sicherheits -funktion in der Anforderungsbetriebsart geschützt werden. Mit beiden Optionen wird dasZiel des maximal tolerierbaren Risikos erreicht, doch die Entwicklung eines kleinen SIL1-Systems in der Anforderungsbetriebsart ist kostspieliger als ein SIL2-Steuerungssystem fürden Dampfkessel.

TT TT

Temperatur- regler

DampfkesselProzess-einlass

Prozess-auslass

Temperatur- transmitter

Leistungder Dampf-kessel-heizung

Heizung

ESD-

Relais


PROZESS-SAFEBOOK 1

Risikodiagramme

65

7. Risikodiagramme

7.1. Einführung

In den Abschnitten [6.10] und [6.11] ist ein Verfahren veranschaulicht, mit dem SIL-Bewertungen durch Berechnung bestimmt werden können. Risikodiagramme sind jedocheine hilfreiche Alternative, insbesondere dann, wenn zahlreiche Gefahren analysiert werdenmüssen. Die Methode der Risikodiagramme ist ein hilfreiches beschleunigtes Verfahren, dasangewandt wird, wenn zahlreiche Gefahren beurteilt werden müssen.

Vom Ausgangspunkt aus werden zunächst die Gefahrenkonsequenzen bestimmt: Ca, Cb, Ccoder Cd.

Anschließend muss die Häufigkeit oder die Aussetzung der Person, die von der Gefahr amehesten betroffen ist, bestimmt werden. Danach wird eine Entscheidung zwischen Fa(seltene Aussetzung) und Fb (häufige Aussetzung) getroffen. In der Regel kann, wenn sichdie Person mit dem höchsten Risiko nur zu maximal 10 % der Zeit innerhalb des Gefahren -bereichs aufhält, von einer seltenen Aussetzung ausgegangen werden. Anderenfalls wirdvon einer häufigen Aussetzung ausgegangen.

CaSchwere

Verletzung

Start

a

1

2

3

4

5

W3

--

a

1

2

3

4

W2

--

--

a

1

2

3

W1

CbSchwere Verletzung,einzelner Todesfall

CcMehrere

Todesfälle

CdZahlreicheTodesfälle

Fa SelteneAussetzung

Fb HäufigeAussetzung





Pb Wahrscheinlichnicht vermeidbar

Pa Wahrscheinlichvermeidbar







Abbildung 29: Typische Risikodiagramme

66

PROZESS-SAFEBOOK 1


Wenn Sie weiter entlang des Risikodiagramms fortfahren und die dem Risiko ausgesetztePerson wahrscheinlich die Gefahr vermeiden kann, z. B. durch Flucht, durch Alarmierungoder durch eine andere Schutzfunktion, kann behauptet werden, dass sich die Gefahrvermeiden lässt. Wählen Sie die entsprechende Option im Risikodiagramm aus. Anderenfallsmuss davon ausgegangen werden, dass sich die Gefahr wahrscheinlich nicht vermeidenlässt, sodass Sie an einem Punkt in einer der Zeilen in den Spalten auf der rechten Seite desRisikodiagramms ankommen.

Schließlich müssen Sie die Wahrscheinlichkeit auswählen, mit der die Gefahr eintritt, z. B.indem Sie entweder Spalte W3 (relativ hohe Eintrittswahrscheinlichkeit), W2 (geringe Ein -trittswahrscheinlichkeit) oder W1 (äußerst geringe Eintrittswahrscheinlichkeit) auswählen.Am Schnittpunkt der ausgewählten Zeile und Spalte können Sie dann den erforderlichen SIL-Level ablesen.

7.2. Beispiel

Angenommen, ein Erdöllagertank könnte überfüllt werden, entzündliche Dämpfe freisetzenund zu mehreren Todesfällen am Standort führen. Die Häufigkeit der Fülloperationen wurdebeurteilt und es wurde entschieden, dass die Wahrscheinlichkeit des Eintritts der Gefahr demWert W1 (äußerst geringe Eintrittswahrscheinlichkeit) entspricht. Es gibt keine Möglichkeit,wie die Mitarbeiter der Anlage die Gefahr vermeiden könnten, falls sie eintritt. Die Mitarbeiterder Anlage sind jedoch nur selten zu Instandhaltungsarbeiten vor Ort, in der Regel wenigerals 1 Stunde lang pro Tag. Abbildung 30 zeigt, wie das Risikodiagramm verwendet werdenkann, um ein SIL1-Ziel zu erreichen.

PROZESS-SAFEBOOK 1

Risikodiagramme

67

In diesem Beispiel könnte die Sicherheitsfunktion eine Auslösung bei einem hohenPegelstand sein, die das Tankeinlassventil schließt. Dieses würde ein SIL1-Ziel aufweisen.

Allerdings kann das konventionelle Risikodiagramm subjektiv sein und das Problemder etwaigen Interpretation der Risikoparameter bergen. Dies kann zu inkonsistentenErgebnissen führen, die zu pessimistischen SIL-Bewertungen führen.

Im dargestellten Risikodiagramm sind einige SIL-Bewertungsfelder mit „a“ und „b“gekennzeichnet. Die Begriffe SILa und SILb werden manchmal in der Industrie verwendet,obwohl sie in der Norm nicht enthalten sind. SILa bedeutet in der Regel, dass eine gewisseRisikominderung bereitgestellt werden muss, doch dass der Risikominderungsfaktor nichtso hoch sein muss wie bei SIL1. In anderen Worten erfordert eine PFD zwischen 1 (keineRisikominderung) und 0,1 SIL1. Beachten Sie, dass einige Organisationen auf „SILa“ mit„(SIL1)“ verweisen.

SILb wird in einer Position über SIL4 abgebildet. Wenn eine SIL4-Anforderung vorliegt, wird in der Regel empfohlen, den Prozess zu überprüfen, da er zu gefährlich ist. Eine SILb-Anforderung ist sogar noch gefährlicher.

CaSchwere

Verletzung

Start

a

1

2

3

4

5

W3

--

a

1

2

3

4

W2

--

--

a

1

2

3

W1

CbSchwere Verletzung,einzelner Todesfall

CcMehrere

Todesfälle

CdZahlreicheTodesfälle















Abbildung 30: Beispiel für die Verwendung eines Risikodiagramms

68

PROZESS-SAFEBOOK 1


7.3. Beispiel

In Abbildung 31 ist ein Beispielrisikodiagramm abgebildet, dass den in der Prozessindustrieverwendeten Diagrammen ähnelt. Es veranschaulicht einige der möglichen Probleme, diedurch die Interpretation von Risikoparametern entstehen.

Das Verwendungsprinzip entspricht exakt dem für das Risikodiagramm in Abbildung 29.Allerdings ist in diesem Fall eine Anleitung zur Abschätzung der Anforderungsrateangegeben.

Wenn beispielsweise eine Gefahr zu mehreren Todesfällen führen könnte, bei einer seltenenAussetzung und einer Anforderungsrate von 0,05/Jahr, dann liegt die Anforderungsrateirgendwo zwischen den Kategorien „Niedrig“ und „Mittel“ und es muss eine Entscheidunggetroffen werden, welche Spalte verwendet wird. Bei einem konservativen Ansatz würde sichein SIL3-Ziel ergeben (Abbildung 32).

-- -- --

1 -- --

2 1 --

2 1 1

3 2 1

3 3 2

NR 3 3

NR NR NR


-- = Keine besonderen Sicherheitsmerkmale erforderlichNR = Nicht empfohlenHoch = 0,5–5 pro JahrMittel = 0,05–0,5 pro JahrNiedrig < 0,05 pro Jahr

Aussetzung der Mitarbeiter

Alternativen zur Gefahrenvermeidung

Leichte Verletzungen

Schwere Verletzungen oder einzelner Todesfall

Mehrere Todesfälle

Katastrophal

Niedrige Aussetzung

Niedrige Aussetzung

Hohe Aussetzung

Hohe Aussetzung

Mögliche Vermeidung

Vermeidung unwahrscheinlich


Vermeidungunwahrscheinlich

Anforderungsrate

Hoc

h

Mitt

el

Nie

drig

Anforderungskategorien

Abbildung 31: Risikodiagramm für die Prozessindustrie

PROZESS-SAFEBOOK 1

Risikodiagramme

69

Eine weniger vorsichtige Interpretation würde zu einem SIL2-Ziel führen.

7.4. Beispiel

Abbildung 33 zeigt ein Beispiel für eine typische Risikomatrix. Die Spalten P, A, E und Renthalten Beschreibungen möglicher Gefahrenkonsequenzen, die Häufigkeit des Eintretenswird in qualitativen Ausdrücken beschrieben und die Ziel-SILs werden dort bereitgestellt, wodie Zeilen und Spalten aufeinandertreffen.

-- -- --

1 -- --

2 1 --

2 1 1

3 2 1

3 3 2

NR 3 3

NR NR NR


Aussetzung der Mitarbeiter

Alternativen zur Gefahrenvermeidung

Leichte Verletzungen

Schwere Verletzungen oder einzelner Todesfall

Mehrere Todesfälle

Katastrophal

Niedrige Aussetzung

Niedrige Aussetzung

Hohe Aussetzung

Hohe Aussetzung





Anforderungsrate

Hoc

h

Mitt

el

Nie

drig

AnforderungskategorienAbbildung 32: Beispiel für die Verwendung eines Risikodiagramms

70

PROZESS-SAFEBOOK 1


Dies scheint ein geradliniger und nützlicher Ansatz zu sein, der jedoch möglicherweise zuProblemen führt, wenn nicht vorsichtig vorgegangen wird.

A: Die Häufigkeit des Eintritts muss in Übereinstimmung mit der Beschreibungquantifiziert werden und zudem zur richtigen SIL-Bewertung führen.

B: „Ist in der Branche noch nie vorgekommen“ kann geschätzt werden, wennangenommenerweise 5000 Anlagen über 20 Jahre lang in Betrieb waren. Dieswürde eine Häufigkeit von etwa <10-5/Jahr und nicht von <10-2/Jahr wie dargestelltergeben. Mit einem maximal tolerierbaren Risiko von <10-4/Jahr würde dies zukeiner SIL-Bewertung führen.

C: Die Häufigkeiten für das maximal tolerierbare Risiko müssen angemessen sein.Ein Wert von <10-3/Jahr für einen einzelnen Todesfall ist zu hoch und führt zuoptimistischen SIL-Bewertungen und zu einer unzureichenden Risikominderung.

D: Damit die Ziel-SILs nach Zeile und Spalte so ansteigen wie in Abbildung 33, müssteauch die Häufigkeit des Eintritts in der entsprechenden Größenordnung zwischenden einzelnen Spalten ansteigen.

PPersonen

ARessource

EUmwelt

EReputation

<0,01/Jahr <0,05/Jahr <0,25/Jahr >2/Jahr >2/Jahr

KeineVerletzung

KeinSchaden

KeineAuswirkung

KeineAuswirkung (SIL1)

UnwesentlicheVerletzung(<1/Jahr)

UnwesentlicherSchaden

(<10 000 US-$)

UnwesentlicheAuswirkung

UnwesentlicheBeeinflussung (SIL1) SIL1

LeichteVerletzung

(<1E-01/Jahr)

Geringer Schaden

(<100 000 US-$)

GeringeAuswirkung

Geringe Beeinflussung (SIL1) SIL1 SIL2

SchwereVerletzung

(<1E-02/Jahr)

Schwerer Schaden

(<500 000 US-$)

Lokale Auswirkung

BeträchtlicheBeeinflussung (SIL1) SIL1 SIL2 SIL3

EinzelnerTodesfall

(<1E-03/Jahr)

Schwerer Schaden

(<10 Mio US-$)

StarkeAuswirkung

NationaleAuswirkung (SIL1) SIL1 SIL2 SIL3 -/-

MehrereTodesfälle

(<1E-04/Jahr)

UmfangreicherSchaden

(>10 Mio. US-$)

MassiveAuswirkung

InternationaleAuswirkung SIL1 SIL2 SIL3 -/- -/-

A

A D

E

F

C

B

B C D E

In derIndustrienoch nie

vorge-kommen

In derIndustriebereitsvorge-

kommen

ImUnternehmen

bereitsvorge-

kommen

Geschiehtmehrmalspro Jahr

imUnternehmen


in derEinrichtung

Abbildung 33: Beispiel für die Verwendung einer Risikomatrix

PROZESS-SAFEBOOK 1

Risikodiagramme

71

E: Die SIL-Bewertung (SIL1) bedeutet, dass eine gewisse Risikominderungerforderlich ist, doch keine Folgeauswirkungen vorhanden sind. Es ist keinSchutz erforderlich, wenn kein gefährliches Ereignis vorliegt.

F: Schließlich muss für die kommerziellen Kategorien die Häufigkeit des Eintritts vonRessourcenschäden realistisch sein und mit den Kosten für die Implementierungder erforderlichen SIF übereinstimmen.

Die Risikomatrix muss daher kalibriert werden und es wird Folgendes vorgeschlagen(Abbildung 34).

7.5. Zusammenfassung

Risikodiagramme und Risikomatrizes können sehr hilfreich sein, insbesondere, wenn sie alsbeschleunigtes Verfahren im ersten Durchgang verwendet werden, um außer den höherenSIL-Levels (z. B. SIL2 und höher) alle Levels zu überprüfen. Durch eine sorgfältige Kalibrierungder verwendeten Verfahren sollten jedoch falsche Ergebnisse vermieden werden, dieaufgrund der hier dargestellten Fallen entstehen könnten.

PPersonen

ARessource

EUmwelt

RReputation

<1E-04/Jahr <1E-03/Jahr <1E-02/Jahr <0,1/Jahr >0,1/Jahr

KeineVerletzung

KeinSchaden

KeineAuswirkung

KeineAuswirkung

UnwesentlicheVerletzung(<0,1/Jahr)

Unwesentlicher Schaden

(<10 000 US-$)

UnwesentlicheAuswirkung

UnwesentlicheBeeinflussung (SIL1) SIL1

LeichteVerletzungen(<1E-02/Jahr)

Geringer Schaden

(<100 000 US-$)

GeringeAuswirkung

Geringe Beeinflussung (SIL1) SIL1 SIL2

SchwereVerletzung

(<1E-03/Jahr)

Schwerer Schaden

(<500 000 US-$)

Lokale Auswirkung

BeträchtlicheBeeinflussung (SIL1) SIL1 SIL2 SIL3

EinzelnerTodesfall

(<1E-04/Jahr)

Schwerer Schaden

(<10 Mio US-$)

StarkeAuswirkung

NationaleAuswirkung (SIL1) SIL1 SIL2 SIL3 -/-

MehrereTodesfälle

(<1E-05/Jahr)

UmfangreicherSchaden

(>10 Mio. US-$)

MassiveAuswirkung

InternationaleAuswirkung SIL1 SIL2 SIL3 -/- -/-

A B C D E

In derIndustrienoch nie

vorge-kommen

In derIndustriebereitsvorge-

kommen

ImUnternehmen

bereitsvorge-

kommen


imUnternehmen


in derEinrichtung

Abbildung 34: Kalibrierung der Risikomatrix

72

PROZESS-SAFEBOOK 1


8. LOPA-Analyse

8.1. Einführung

Die Analyse der Schutzebenen (LOPA – Layer of Protection Analysis) ist eine strukturierteMöglichkeit zur Berechnung der Risikominderung (und der SIL-Bewertungen). LOPA wird ineinem ähnlichen Forum für eine HAZOP-Studie ausgeführt.

Mögliche Gefahren werden typischerweise mithilfe des HAZOP-Konzepts [3] ermittelt undin die LOPA-Arbeitsblätter importiert. Auf diese Weise bleibt eine verfolgbare Verbindungzwischen den beiden Analysen von der Gefahrenidentifikation bis hin zur Anforderung derRisikominderung und zur SIL-Bewertung erhalten. Die LOPA-Analyse kann als Ergänzungzum HAZOP-Meeting ausgeführt werden, da es sich dabei um eine natürliche Progressionhandelt.

8.2. Team der LOPA-Studie

Es ist wichtig, dass ein LOPA-Team aus Mitarbeitern besteht, die ein optimales Gleichgewichtaus Know-how und Erfahrung zum jeweiligen Anlagentyp in die Studie einbringen. Eintypisches LOPA-Team setzt sich wie folgt zusammen:

Name Rolle

Vorsitzender Erläutern des LOPA-Verfahrens, Leiten von Diskussionen undErleichtern der LOPA-Studie. Sollte Erfahrung mit LOPA-Studienhaben, doch nicht direkt an der Konstruktion beteiligt sein, umsicherzustellen, dass die Methode sorgfältig umgesetzt wird.

Sekretär Erfassen der Diskussion des LOPA-Meetings und Bereitstelleneiner Online-Analyse der SIL-Bewertungen. Protokollieren derEmpfehlungen oder Aktionen.

Prozessingenieur In der Regel der Ingenieur, der für das Prozessflussdiagramm und dieEntwicklung der Rohrleitungs- und Instrumentierungspläne (P&IDs)verantwortlich ist.

Anwender/Bediener Beratung hinsichtlich der Verwendung und Durchführbarkeit desProzesses und der Auswirkung von Abweichungen.

C&I-Spezialist Eine Person mit relevantem technischen Know-how zu Steuerungund Instrumentierung.

Instandhaltungs -mitarbeiter

Eine Person, die sich um die Verwaltung des Prozesses kümmert.

Ein Vertreter desKonstruktionsteams

Beratung hinsichtlich Konstruktionsdetails oder Bereitstellungweiterer Informationen.

PROZESS-SAFEBOOK 1

LOPA-Analyse

73

8.3. In der LOPA-Studie verwendete Informationen

Das LOPA-Team muss auf folgende Informationen zurückgreifen können:

• Rohrleitungs- und Instrumentierungspläne (P&IDs) für die Einrichtung• Verfahrensbeschreibung oder Dokumente zur Philosophie• Bestehende Betriebs- und Instandhaltungsverfahren• Layout-Zeichnungen der Anlage

8.4. Festlegen der SIL-Bewertungen

Die LOPA-Technik, wie im Dokument „AIChE Centre for Chemical Process Safety“ beschrieben,ist eine Analyse der Schutzebenen, 2001 [19.4], und kann zum Festlegen von SIL-Bewertun -gen verwendet werden.

LOPA betrifft Gefahren, die durch andere Mittel erkannt werden, z. B. HAZOP, doch kann LOPAim Rahmen eines HAZOP-Meetings ausgeführt werden, um alle Gefahren gleich nach ihrerErkennung bewerten zu können.

Das LOPA-Team prüft sorgfältig jede erkannte Gefahr und dokumentiert die auslösendenUrsachen sowie die Schutzebenen, mit denen die Gefahr verhindert oder verringert werdenkann. Die gesamte Risikominderung wird anschließend bestimmt und der Bedarf einerweiteren Risikominderung analysiert. Wenn zusätzlicher Schutz in Form eines SIS bereitge -stellt werden muss, würde diese Methode die Bestimmung des erforderlichen SIL-Levels undder erforderlichen PFD ermöglichen.

Der LOPA-Prozess wird auf LOPA-Arbeitsblättern aufgezeichnet, die eine Quantifizierung derauslösenden Ereignisse und deren Häufigkeit zusammen mit der Risikominderung erlauben,die von den zu erreichenden unabhängigen Schutzebenen bereitgestellt werden. DieÜberschriften auf dem Arbeitsblatt werden in den folgenden Abschnitten beschrieben.Außerdem ist ein Beispiel für eine LOPA-Analyse angegeben [8.5].

8.5. Beispiel-LOPA

Verwenden Sie das Beispiel mit dem Druckbehälter [3.7] und übertragen Sie die erkanntenGefahren in das LOPA-Arbeitsblatt, um die Risiken zu analysieren.

8.6. LOPA-Arbeitsblätter

8.6.1. Einführung

In den folgenden Abschnitten sind die Überschriften des Arbeitsblatts beschrieben und Sieerhalten zudem eine Anleitung für die Quantifizierung.

74

PROZESS-SAFEBOOK 1


Außerdem enthält dieses Kapitel ein Beispiel für ein LOPA-Arbeitsblatt.

8.6.2. Gefahren-ID/Ref

Stellt für jede Gefahr eine ID zur Verfügung. In diesem Beispiel bezieht sich die Gefahr, die fürdie Analyse berücksichtigt wird, auf Ref. 1.10: Hoher Druck im Behälter. Diese Referenzermöglicht die Rückwärtsverfolgbarkeit mit anderen Studien, in diesem Fall mit der HAZOP-Studie. Mit der Weiterentwicklung des Projekts wird auch die Vorwärtsverfolgbarkeit mit SIF-Zuordnung und SIL-Verifizierung ermöglicht.

8.6.3. Ereignisbeschreibung (Gefahr)

Stellt eine Beschreibung der möglichen erkannten Gefahr zur Verfügung.

8.6.4. Konsequenz

Beschreibt die Konsequenz der Gefahr. In der Beispiel-LOPA wurden die Konsequenzen derGefahr hinsichtlich der Mitarbeitersicherheit, den Umweltrisiken und den Risiken für dieRessourcen (also kommerzielle Risiken) analysiert.

8.6.5. Schwerekategorie (Schw.kat.)

Die Schwere der dokumentierten Konsequenzen kann kategorisiert und aus einer Tabelle fürdie Risikoklassifizierung abgeleitet werden (z. B. Tabelle 5).

8.6.6. Maximal tolerierbares Risiko (MTR)

Die maximal tolerierbare Häufigkeit der Gefahrenkonsequenz, wie sie auf die Mitarbeiter -sicherheit, doch typischerweise auch auf die Umwelt, den Ruf der Organisation und aufmögliche Umweltschäden, auf den Ruf des Unternehmens sowie die kommerziellen Kostenangewandt wird, die aus Schäden an Ressourcen, entgangenem Gewinn oder den Verlustder sicheren Versorgung entstehen. Die maximal tolerierbare Häufigkeit muss mit der HSE-Anleitung (also R2P2 [19.3]) übereinstimmen, um die Sicherheit zu gewährleisten.

Allerdings sollte die maximal tolerierbare Häufigkeit für Umwelt-, Reputations- undkommerzielle Risiken allein der Entscheidung eines Unternehmens unterliegen. Tabelle 5enthält typische Werte, die verwendet werden könnten.

PROZESS-SAFEBOOK 1

LOPA-Analyse

75Tabelle 5: Risikokriterien

Konsequenz Schw.kat.

Zielhäufig -keit für dasRisiko (/Jahr)

Beschreibung der Konsequenzen

Am Standort Außerhalb des Standorts

Personen(Sicherheit)

P1 1,0E-01 Medizinische Behandlung von Mitarbeiternoder Verletzungen, die eingeschränkteArbeitsfähigkeit zur Folge haben

Medizinische Behandlung oder Verletzungen,die eingeschränkte Arbeitsfähigkeit zur Folgehaben (Dritte)

P2 1,0E-02 Unfall mit Mitarbeiterausfallzeit (LTA – Lost TimeAccident) ohne dauerhafte Auswirkungen

LTA (Dritte) ohne dauerhafte Auswirkungen

P3 1,0E-03 Dauerhafte Auswirkung auf Mitarbeiter Keine dauerhafte Auswirkungen

P4 1,0E-04 1 toter Mitarbeiter und/oder mehreredauerhaft behinderte Mitarbeiter

Dauerhafte Auswirkungen (Dritte)

P5 1,0E-05 Mehrere tote Mitarbeiter (2–10) Ein toter Dritter und/oder viele dauerhaftbehinderte Dritte

P6 1,0E-06 Zahlreiche tote Mitarbeiter (mehr als 10) Mehrere tote Dritte

Umwelt E1 1,0E-01 Keine Meldung an Behörden, doch Reinigungerforderlich

Keine Meldung an Behörden, doch geringfügigeReinigung erforderlich. (Z. B. Auslaufen von1–100 Liter mit implementiertem Kit)

E2 1,0E-02 Meldung an Behörde, doch keineKonsequenzen für die Umwelt

Meldung an Behörde, doch keine Konsequen -zen für die Umwelt. (Z. B. Auslaufen von>100 Litern in eingedämmte Bereiche/Abfang -vor rich tungen beim Kunden)

E3 1,0E-03 Mittlere Verschmutzung innerhalb derStandortgrenzen

Mittlere Verschmutzung, die eine Beseitigungerfordern (z. B. Abluftfahne entweicht vomStandort, der Standort bleibt jedochbetriebsbereit)

E4 1,0E-04 Signifikante Verschmutzung innerhalb derStandortgrenzen. Evakuierung von Personen/temp. Standortschließung ODER signifikanteVerschmutzung außerhalb des Standorts.Evakuierung von Personen. (Z. B. Auslaufenaußerhalb des Standorts an einer Tankstelle)

Signifikante Verschmutzung außerhalb desStandorts. Evakuierung von Personen. (Z. B.Auslaufen außerhalb des Standorts an einerTankstelle)

E5 1,0E-05 Siehe die Konsequenzen außerhalb desStandorts

Schwerwiegende Verschmutzung mit reparab -len Umweltschäden außerhalb des Standorts.(Z. B. schwerwiegender Schaden für die Umwelt)

E6 1,0E-06 Siehe die Konsequenzen außerhalb desStandorts

Schwerwiegende und anhaltende Verschmut -zung außerhalb des Standorts und/oder über -mäßiges Sterben von Wassertieren und -pflanzen (z. B. Verlust einer Schiffsfracht)

Kosten C1 1,0E-01 <€ 10 000 Verlust -/-

C2 1,0E-02 € 10 000 < € 100 000 Verlust -/-

C3 1,0E-03 € 100 000 < € 1,0 Mio. Verlust -/-

C4 1,0E-04 € 1,0 Mio. < € 10 Mio. Verlust -/-

C5 1,0E-05 € 10 Mio. < € 100 Mio. Verlust -/-

C6 1,0E-06 ≥€ 100 Mio. Verlust -/-

Reputation R1 1,0E-01 Keine Öffentlichkeit. Nur lokale Betroffene. -/-

R2 1,0E-02 Lokale Presse -/-

R3 1,0E-03 Nationale Presse -/-

R4 1,0E-04 Nationales Fernsehen -/-

R5 1,0E-05 Internationale Presse -/-

R6 1,0E-06 Internationales Fernsehen -/-

76

PROZESS-SAFEBOOK 1


Beachten Sie, dass bei Anwendung auf die Sicherheit von Personen dies die Häufigkeit ist,mit der die Einzelperson mit dem größten Risiko der Gefahr ausgesetzt ist.

8.6.7. Auslösende Ursache

Führt die erkannten Ursachen der Gefahr auf. Diese Ursachen werden während des LOPA-Meetings anhand der Erfahrung der Teilnehmer bestimmt. Für die Beispielgefahr (Überdruck)sind die möglichen auslösenden Ursachen, ihre Eintrittshäufigkeit und die Datenquelle inTabelle 6 angeführt. Die LOPA-Analyse sollte auf diese Weise alle Daten übersichtlich dar -stellen und alle auslösenden Ereignisse und deren Häufigkeit mit Bezug auf die Datenquellenangeben.

Tabelle 6: Auslösende Ereignisse und Häufigkeiten

8.6.8. Häufigkeit der Auslösung (/Jahr), Spalte [a]

Quantifiziert die erwartete Eintrittshäufigkeit der auslösenden Ursache. Diese Häufigkeitkann basierend auf der Erfahrung der Teilnehmer und auf möglicherweise verfügbarenhistorischen Daten geschätzt werden. Alternativ kann diese Häufigkeit aus geeignetenQuellen zur Ausfallrate abgeleitet werden [14.6].

Die auslösenden Ereignisse und ihre Eintrittshäufigkeit für das Beispiel sind in Tabelle 6aufgelistet.

Auslösende Ursache Wahrscheinlich -keit der Auslö -sung (pa)

Datenquelle

Druckregelung durch DCS schlägt fehl. 1,65E-02 Exida 2007, Artikel x.x.x

Flüssigkeitspegel LL101 falsch und Anzeige einesniedrigen Pegels.

1,10E-02 Exida 2007, Artikel x.x.x

TT100 fällt aus und zeigt eine niedrige Temperatur an. 2,68E-03 Exida 2007, Artikel x.x.x

PT102 fällt aus und zeigt einen niedrigen Druck an. 8,58E-04 Exida 2007, Artikel x.x.x

Gasausleitung FCV102 fällt im geschlossenenZustand aus.

1,01E-02 Oreda 2002, Artikel x.x.x

Heizgas FCV100 fällt im offenen Zustand aus. 1,01E-02 Oreda 2002, Artikel x.x.x

Flüssigkeitsausleitung XV102 fällt im geschlossenenZustand aus.


Flüssigkeitseinleitung XV102 fällt im geöffnetenZustand aus.


PROZESS-SAFEBOOK 1

LOPA-Analyse

77

Wenn die Eintrittswahrscheinlichkeit der Auslösung auf menschlichen Faktoren wieBedienerfehlern basiert, kann die Schätzung durchaus eine Herausforderung sein. Bei einerTechnik basiert die Schätzung auf der Häufigkeit der Möglichkeiten, die ein Bediener hat, umeinen Fehler zu begehen. Zu diesem Wert kommt noch der Faktor der Wahrscheinlichkeithinzu, dass der Bediener einen gefährlichen Fehler macht.

Angenommen, ein Bediener kann einen Überdruck in einer Leitung auslösen, indem erein Ventil schließt. Normalerweise öffnet der Bediener ein Überströmventil, bevor er dasHauptventil schließt – und zwar jeden Monat. Die grundlegende Häufigkeit λB für dieseAktivität liegt daher bei 12 pro Jahr (einmal pro Monat).

Es wird davon ausgegangen, dass der Bediener gut geschult ist, die Aufgabe zur Routinegehört und er nicht unter Stress steht. Also wird die Wahrscheinlichkeit, dass er einen Fehlermacht, mit PE angegeben, d. h. er versäumt es mit einer Wahrscheinlichkeit von 1 %, dass erdas Überströmventil zuerst öffnet. Die Häufigkeit des auslösenden Ereignisses, λINIT, kann wiefolgt geschätzt werden:

λINIT = λB x PE

λINIT = 12 x 1 %/JahrλINIT = 0,12/Jahr

Üblicherweise kann eine Empfindlichkeitsprüfung für diese Daten vorgenommen werden,indem die LOPA-Teilnehmer gefragt werden, ob bei ihnen schon einmal ein solches Ereignisaufgetreten ist oder ob sie die Häufigkeit als angemessen betrachten. Eine Häufigkeit von0,12/Jahr entspricht einem Fehler alle 8 Jahre.

8.6.9. Bedingte Änderungsfaktoren

Verteilung der Leckgröße, Spalte [b]

Im vorliegenden Beispiel treten die vorausgesetzten Konsequenzen der Überdruckgefahr nurauf, wenn die Druckbedingung zum Bersten des Behälters führt. Es könnte beispielsweise soargumentiert werden, dass die meisten Überdruckbedingungen nicht zu einem Austretenvon Flüssigkeiten oder Gasen führen oder zu einem kleinen Leck an einem Flansch. In demBeispiel hat das LOPA-Team geschätzt, dass 10 % der auslösenden Ereignisse zuKonsequenzen führen.

Wahrscheinlichkeit einer Entzündung, Spalte [c]

Für die anzunehmenden Sicherheits- und kommerziellen Konsequenzen muss sich dasfreigesetzte Gas entzünden. In diesem Beispiel wurde auf eine Brandschutzstudie verwiesen,die eine 75%-ige Entzündungswahrscheinlichkeit vorhergesagt hat, sofern ein Szenario miteinem großen Bruch vorliegt. Daher können für die Sicherheitskonsequenzen 0,75 als

78

PROZESS-SAFEBOOK 1


bedingter Änderungsfaktor angegeben werden und die Häufigkeit des auslösendenEreignisses wird um diesen Faktor verringert.

Für die umwelttechnischen Konsequenzen kann keine Risikominderung angegeben werden,da diese Konsequenzen nicht durch die Entzündung bedingt sind.

Mehrzweckkonstruktion, Spalte [d]

Ein Beispiel für eine Mehrzweckkonstruktion wäre eine ummantelte Leitung, die einengewissen Schutz vor dem Austreten von Flüssigkeit/Gas bietet. In dem Beispiel wurde dieMehrzweckkonstruktion nicht berücksichtigt, da keine speziellen Konstruktionsmerkmalevorhanden sind, die zu einer Risikominderung führen.

8.6.10. Unabhängige Schutzebenen (IPLs – Independent Protection Layers)

Jede Schutzebene besteht aus einer Gruppierung von Einrichtungen und/oderadministrativen Steuerungen, die zusammen mit den anderen Ebenen funktionieren.

Die von jeder IPL bereitgestellte Schutzebene wird zum einen durch die Wahrscheinlichkeitquantifiziert, dass die angegebene Funktion auf Anforderung nicht ausgeführt werden kann,zum anderen aber auch durch ihre PFD, eine dimensionslose Zahl zwischen 0 und 1. Jekleiner der Wert der PFD, desto größer der Faktor für die Risikominderung, der als Ände -rungs faktor auf die berechnete Eintrittswahrscheinlichkeit der Auslösung angewandt wird[8.6.8]. Daher wird auf dem LOPA-Arbeitsblatt, sofern keine IPL angegeben ist, die Zahl 1eingefügt.

In dem Beispiel können die in den Spalten [e] bis [h] angegebenen IPLs an die jeweiligeAnwendung angepasst werden. Es wurden typische IPLs angegeben.

Betriebs- und Überwachungseinrichtung (BPCS – Basic Process Control System), Spalte [e].

Es kann positiv angerechnet werden, wenn ein Regelkreis im BPCS (DCS) verhindert, dassdie Gefahr als Folge einer möglichen auslösenden Ursache eintritt. In dem Beispiel kann dasBPCS (DCS) bei einigen auslösenden Ursachen, z. B. wenn das FlüssigkeitseinleitungsventilXV102 im geöffneten Zustand ausfällt, diese ausgleichen, indem es das Flüssigkeitsauslei -tungs ventil öffnet und so einen hohen Pegel verhindert. Es wurde eine PFD von 0,1 angege -ben. Dies bedeutet, dass das DCS das Eintreten der Konsequenzen bei neun von zehnEreignissen verhindert.

Eine PFD von 0,1 ist in der Regel, die maximale Risikominderung, die für ein nicht für SILausgelegtes System angegeben werden kann. Dies liegt daran, dass sich das DCS manuellanpassen lässt. Aus diesem Grund sind die Einstellungen für den Auslösungspunkt und dieTestanordnung weniger streng als für ein SIS.

PROZESS-SAFEBOOK 1

LOPA-Analyse

79

Unabhängige Alarme, Spalte [f ].

Positiv bewertet werden können vom BPCS unabhängige Alarme, die den Bediener warnenund die Bedieneraktion nutzen. Die positive Bewertung kann nur erfolgen, wenn der Alarmtatsächlich vom BPCS und von der SIF unabhängig ist und wenn der Bediener innerhalb dersicheren Prozesszeit auf den Alarm reagieren und Maßnahmen ergreifen kann, die denProzess sicher machen.

Typischerweise kann für unabhängige Alarme eine PFD von 0,1 angegeben werden. Indiesem Beispiel wurde keine positive Bewertung angegeben.

8.6.11. Zusätzliche Minderung

Nutzung, Spalte [g].

Zugriff – Minderungsebenen können die Nutzung umfassen, also den Teil der Zeit, währendder ein Bediener einer Gefahr ausgesetzt ist, und den eingeschränkten Zugang zu Gefahren -bereichen. In diesem Beispiel wurde eine Nutzung für eine 8-Stunden-Schicht angegeben.

Sonstige Minderung: Spalte [h].

Weitere Minderungen können in der folgenden Form verfügbar sein:

• Physikalisch – Minderungsebenen können physikalische Hindernisse sein, dievor der Gefahr schützen, sobald sie ausgelöst wurde. Beispiele hierfür wärenDruckmindergeräte und Dämme.

• Bedieneraktion – Positiv bewertet werden kann die Erkennung und Untersuchungin regelmäßigen Intervallen, sofern der Bediener die entsprechende Maßnahmeergreifen kann.

In diesem Beispiel wurde keine positive Bewertung angegeben.

8.6.12. Mittlere Häufigkeit eines Ereignisses

Die mittlere Häufigkeit eines Ereignisses wird durch Multiplikation der Häufigkeit der Aus -lösung mit den PFDs der Schutzebenen berechnet. Die berechnete Zahl wird in Ereignisein -heiten pro Jahr angegeben. Die gesamte mittlere Häufigkeit gibt die Anforderungsrate füreine beliebige vorgeschlagene SIF an.

8.6.13. Für SIS erforderliche PFD

Wird durch Vergleichen des maximal tolerierbaren Risikos, λMTR, mit der mittleren Häufigkeitdes Ereignisses oder der Gefahrenhäufigkeit, λHAZ, berechnet.

PFD = λMTR/λHAZ

80

PROZESS-SAFEBOOK 1


8.6.14. Für SIS erforderliche SIL

Wird aus Tabelle 7 abgerufen, die der für das SIS erforderlichen PFD entspricht.

Tabelle 7: Von SIL angegebene PFD und Ausfallraten

Es muss beachtet werden, dass die PFD und Ausfallrate für jeden SIL-Level von derBetriebsart abhängt, in der ein SIS verwendet werden soll (abhängig davon, wie oft sieangefordert wurde [8.6.12]).

Im Folgenden sind die LOPA-Arbeitsblätter aufgelistet.

SIL-Level Wahrscheinlichkeit einesgefahrbringenden Ausfallsbei Anforderung

Betriebsart mit konti -nuierlicher AnforderungAusfallrate pro Stunde

SIL4 ≥10-5 bis <10-4 ≥10-9 bis <10-8

SIL3 ≥10-4 bis <10-3 ≥10-8 bis <10-7

SIL2 ≥10-3 bis <10-2 ≥10-7 bis <10-6

SIL1 ≥10-2 bis <10-1 ≥10-6 bis <10-5

PROZESS-SAFEBOOK 1

LOPA-Analyse

81

BPCS

[DCS

]U

nabh

ängi

ge

Ala

rme

Zusä

tzlic

he

Min

deru

ng:

Nut

zung

(B

eset

zung

s-

zahl

en)

Zusä

tzlic

he

Min

deru

ng z

. B.

Bran

dsch

utz-

mau

ern/

betr

iebl

ich

Verf

ahre

n/A

blas

sven

tile

Mitt

lere

Li

kelih

ood

eine

s Er

eign

isse

s (p

ro Ja

hr)

Lt. S

RS

erfo

rder

-lic

he P

FD

Lt. S

RS

erfo

rder

-lic

her S

IL

Kom

men

tare

/Ann

ahm

en

[a]

[b]

[c]

[d]

[e]

[f][g

][h

]

Dru

ckre

gelu

ng d

urch

D

CS s

chlä

gt fe

hl.

1,65

E-02

0,10

0,75

0,33

4,13

E-04

[a] S

iehe

Dat

en z

um

einl

eite

nden

Ere

igni

s.[b

] LO

PA-T

eam

sch

ätzt

di

e W

ahrs

chei

nlic

hkei

t ein

es

groß

en L

ecks

(Ber

sten

) auf

10

%.

[c] B

rand

risik

ostu

die

schä

tzt

die

Wah

rsch

einl

ichk

eit d

er

Entz

ündu

ng a

uf 7

5 %

.[d

] Kei

ne p

ositi

ve B

ewer

tung

de

r Kon

stru

ktio

nsm

erkm

ale.

[e] D

CS is

t die

ein

leite

nde

Urs

ache

, dah

er k

eine

pos

itive

Be

wer

tung

des

DCS

.[f]

Kei

ne u

nabh

ängi

gen

Ala

rme

verf

ügba

r. Ke

ine

posi

tive

Bew

ertu

ng b

eans

pruc

ht.

[g] B

erei

ch u

m B

ehäl

ter i

st

8 St

d. p

ro T

ag b

eset

zt.

[h] K

eine

Dru

ckab

lass

vent

ile.

Kein

e po

sitiv

e Be

wer

tung

be

ansp

ruch

t.

PT10

2 fä

llt a

us u

nd z

eigt

ei

nen

nied

rigen

Dru

ck a

n8,

58E-

040,

100,

750,

332,

15E-

05W

ie o

ben.

Flüs

sigk

eits

einl

eitu

ng

XV10

2 fä

llt im

geö

ffnet

en

Zust

and

aus.

2,89

E-03

0,10

0,75

0,10

0,33

7,23

E-06

Wie

obe

n m

it fo

lgen

den

Aus

nahm

en:

[e] D

CS k

ann

Aus

fälle

des

Ei

nlas

sven

tils

kom

pens

iere

n.G

esch

ätzt

e PF

D =

0,1

.

Gas

ausl

eitu

ng F

CV10

2 fä

llt im

ges

chlo

ssen

en

Zust

and

aus.

1,01

E-02

0,10

0,75

0,10

0,33

2,52

E-05

Wie

obe

n.

Flüs

sigk

eits

ausl

eitu

ng

XV10

2 fä

llt im

ge

schl

osse

nen

Zust

and

aus.

2,89

E-03

0,10

0,75

0,10

0,33

7,23

E-06

Wie

obe

n.

TT10

0 fä

llt a

us u

nd z

eigt

ei

ne n

iedr

ige

Tem

pera

tur

an2,

68E-

030,

100,

750,

100,

336,

70E-

06W

ie o

ben.

Hei

zgas

FCV

100

fällt

im

geöff

nete

n Zu

stan

d au

s.1,

01E-

020,

100,

750,

100,

332,

52E-

05W

ie o

ben.

Flüs

sigk

eits

pege

l LL1

01

fällt

aus

und

gib

t ein

en

nied

rigen

Peg

el a

n.1,

10E-

020,

100,

750,

100,

332,

74E-

05W

ie o

ben.

5,34

E-04

P51,

00E-

051,

87E-

02

Kons

eque

nz

1.10

Behä

lter

Hoh

er D

ruck

fü

hrt z

um B

erst

en

des

Behä

lters

un

d zu

r Fr

eise

tzun

g vo

n G

as.

Sich

erhe

it:Fr

eige

setz

tes

Gas

ent

zünd

et

sich

am

Br

enne

r und

an

hei

ßen

Obe

rfläc

hen.

Mög

liche

r-w

eise

zw

ei

Tode

sfäl

le

beim

Inst

and-

haltu

ngs-

pers

onal

.

SIL1

Max

. to

lerie

r-ba

res

Risi

ko

(pro

Jahr

)

Aus

löse

rLi

kelih

ood

der

Aus

lösu

ng

(pro

Jahr

)

Vert

eilu

ng

der

Leck

größ

e

Wah

r-sc

hein

lich-

keit

der

Entz

ün-

dung

Meh

r-

zwec

k-

kons

truk

-tio

n (K

onst

ruk-

tions

ein-

stuf

ung)

Una

bhän

gige

Sch

utze

bene

nID

/Ref

.Zo

nen-

be

schr

ei-

bung

Erei

gnis

- be

schr

eibu

ng

(Gef

ahr)

Schw

ere-

kate

gorie

82

PROZESS-SAFEBOOK 1


BPCS

[DCS

]U

nabh

ängi

ge

Ala

rme

Zusä

tzlic

he

Min

deru

ng:

Nut

zung

(B

eset

zung

s-

zahl

en)

Zusä

tzlic

he

Min

deru

ng z

. B.

Bran

dsch

utz-

mau

ern/

betr

iebl

ich

Verf

ahre

n/A

blas

sven

tile

Mitt

lere

Li

kelih

ood

eine

s Er

eign

isse

s (p

ro Ja

hr)

Lt. S

RS

erfo

rder

-lic

he P

FD

Lt. S

RS

erfo

rder

-lic

her S

IL

Kom

men

tare

/Ann

ahm

en

[a]

[b]

[c]

[d]

[e]

[f][g

][h

]

Dru

ckre

gelu

ng d

urch

D

CS s

chlä

gt fe

hl.

1,65

E-02

0,10

1,65

E-03

[a] S

iehe

Dat

en z

um e

inle

itend

en

Erei

gnis

.[b

] LO

PA-T

eam

sch

ätzt

die

W

ahrs

chei

nlic

hkei

t ein

es g

roße

n Le

cks

(Ber

sten

) auf

10

%.

[c] E

ntzü

ndun

g ni

cht e

rfor

derli

ch

Kein

e Be

ansp

ruch

ung

der

Risi

kom

inde

rung

[d

] Kei

ne B

eans

pruc

hung

der

Ko

nstr

uktio

nsm

erkm

ale.

[e] D

CS is

t die

ein

leite

nde

Urs

ache

, dah

er k

eine

pos

itive

Be

wer

tung

des

DCS

.[f]

Kei

ne u

nabh

ängi

gen

Ala

rme

verf

ügba

r. Ke

ine

posi

tive

Bew

er-

tung

bea

nspr

ucht

.[g

] Vom

Ris

iko

betr

offen

e U

mge

bung

24

Std.

/Tag

. Kei

ne

Bean

spru

chun

g de

r Ris

ikom

inde

-ru

ng. 8

Std

. pro

Tag

.[h

] Kei

ne D

ruck

abla

ssve

ntile

. Ke

ine

posi

tive

Bew

ertu

ng

bean

spru

cht.

PT10

2 fä

llt a

us u

nd z

eigt

ei

nen

nied

rigen

Dru

ck a

n8,

58E-

040,

108,

58E-

05W

ie o

ben.

Flüs

sigk

eits

einl

eitu

ng

XV10

2 fä

llt im

geö

ffnet

en

Zust

and

aus.

2,89

E-03

0,10

0,10

2,89

E-05

Wie

obe

n m

it fo

lgen

den

Aus

nahm

en:

[e] D

CS k

ann

Aus

fälle

des

Ei

nlas

sven

tils

kom

pens

iere

n.G

esch

ätzt

e PF

D =

0,1

.

Gas

ausl

eitu

ng F

CV10

2 fä

llt im

ges

chlo

ssen

en

Zust

and

aus.

1,01

E-02

0,10

0,10

1,01

E-04

Wie

obe

n.

Flüs

sigk

eits

ausl

eitu

ng

XV10

2 fä

llt im

ges

chlo

s-se

nen

Zust

and

aus.

2,89

E-03

0,10

0,10

2,89

E-05

Wie

obe

n.

TT10

0 fä

llt a

us u

nd z

eigt

ei

ne n

iedr

ige

Tem

pera

tur

an

2,68

E-03

0,10

0,10

2,68

E-05

Wie

obe

n.

Hei

zgas

FCV

100

fällt

im

geöff

nete

n Zu

stan

d au

s.1,

01E-

020,

100,

101,

01E-

04W

ie o

ben.

Flüs

sigk

eits

pege

l LL1

01

fällt

aus

und

gib

t ein

en

nied

rigen

Peg

el a

n.1,

10E-

020,

100,

101,

10E-

04W

ie o

ben.

2,14

E-03

E21,

00E-

02Ke

ine

Kons

eque

nz

1.10

Behä

lter

Hoh

er D

ruck

fü

hrt z

um

Bers

ten

des

Behä

lters

und

zu

r Fre

iset

zung

vo

n G

as.

Um

wel

t:Be

rste

n de

s Be

hälte

rs,

Gas

frei

setz

ung,

ke

ine

Entz

ün-

dung

.Fr

eise

tzun

g am

St

ando

rt.

Rein

igun

g un

d M

eldu

ng a

n Be

hörd

e er

ford

erlic

h,

doch

kei

ne

Kons

eque

nzen

fü

r die

Um

wel

t.

Kein

e

Max

. to

lerie

r-ba

res

Risi

ko

(pro

Jahr

)

Aus

löse

rLi

kelih

ood

der

Aus

lösu

ng

(pro

Jahr

)

Vert

eilu

ng

der

Leck

größ

e

Wah

r-sc

hein

lich-

keit

der

Entz

ün-

dung

Meh

r-zw

eck

Kons

truk

-tio

n (K

onst

ruk-

tions

ein-

stuf

ung)

Una

bhän

gige

Sch

utze

bene

nID

/Ref

.Zo

nen-

be

schr

ei-

bung

Erei

gnis

- be

schr

eibu

ng

(Gef

ahr)

Schw

ere-

kate

gorie

PROZESS-SAFEBOOK 1

LOPA-Analyse

83

BPCS

[DCS

]U

nabh

ängi

ge

Ala

rme

Zusä

tzlic

he

Min

deru

ng:

Nut

zung

(B

eset

zung

s-

zahl

en)

Zusä

tzlic

he

Min

deru

ng z

. B.

Bran

dsch

utz-

mau

ern/

betr

iebl

ich

Verf

ahre

n/A

blas

sven

tile

Mitt

lere

Li

kelih

ood

eine

s Er

eign

isse

s (p

ro Ja

hr)

Lt. S

RS

erfo

rder

-lic

he P

FD

Lt. S

RS

erfo

rder

-lic

her S

IL

Kom

men

tare

/Ann

ahm

en

[a]

[b]

[c]

[d]

[e]

[f][g

][h

]

Dru

ckre

gelu

ng d

urch

D

CS s

chlä

gt fe

hl.

1,65

E-02

0,10

0,75

1,24

E-03

[a] S

iehe

Dat

en z

um e

inle

itend

en

Erei

gnis

.[b

] LO

PA-T

eam

sch

ätzt

die

W

ahrs

chei

nlic

hkei

t ein

es g

roße

n Le

cks

(Ber

sten

) auf

10

%.

[c] B

rand

risik

ostu

die

schä

tzt d

ie

Wah

rsch

einl

ichk

eit d

er

Entz

ündu

ng a

uf 7

5 %

.[d

] Kei

ne p

ositi

ve B

ewer

tung

de

r Kon

stru

ktio

nsm

erkm

ale.

[e] D

CS is

t die

ein

leite

nde

Urs

ache

, dah

er k

eine

pos

itive

Be

wer

tung

des

DCS

.[f]

Kei

ne u

nabh

ängi

gen

Ala

rme

verf

ügba

r. Ke

ine

posi

tive

Bew

ertu

ng b

eans

pruc

ht.

[g] B

erei

ch u

m B

ehäl

ter i

st 8

Std

. pr

o Ta

g be

setz

t.[h

] Kei

ne D

ruck

abla

ssve

ntile

. Ke

ine

posi

tive

Bew

ertu

ng

bean

spru

cht.

PT10

2 fä

llt a

us u

nd z

eigt

ei

nen

nied

rigen

Dru

ck a

n8,

58E-

040,

100,

756,

44E-

05W

ie o

ben.

Flüs

sigk

eits

einl

eitu

ng

XV10

2 fä

llt im

geö

ffnet

en

Zust

and

aus.

2,89

E-03

0,10

0,75

0,10

2,17

E-05

Wie

obe

n m

it fo

lgen

den

Aus

nahm

en:

[e] D

CS k

ann

Aus

fälle

des

Ei

nlas

sven

tils

kom

pens

iere

n.G

esch

ätzt

e PF

D =

0,1

.

Gas

ausl

eitu

ng F

CV10

2 fä

llt im

ges

chlo

ssen

en

Zust

and

aus.

1,01

E-02

0,10

0,75

0,10

7,56

E-05

Wie

obe

n.

Flüs

sigk

eits

ausl

eitu

ng

XV10

2 fä

llt im

ge

schl

osse

nen

Zust

and

aus.

2,89

E-03

0,10

0,75

0,10

2,17

E-05

Wie

obe

n.

TT10

0 fä

llt a

us u

nd z

eigt

eine

nie

drig

e Te

mpe

ratu

r an

2,68

E-03

0,10

0,75

0,10

2,01

E-05

Wie

obe

n.

Hei

zgas

FCV

100

fällt

im

geöff

nete

n Zu

stan

d au

s.1,

01E-

020,

100,

750,

107,

56E-

05W

ie o

ben.

Flüs

sigk

eits

pege

l LL1

01

fällt

aus

und

gib

t ein

en

nied

rigen

Peg

el a

n.1,

10E-

020,

100,

750,

108,

21E-

05W

ie o

ben.

1,60

E-03

C51,

00E-

056,

24E-

03

Kons

eque

nz

1.10

Behä

lter

Hoh

er D

ruck

fü

hrt z

um

Bers

ten

des

Behä

lters

und

zu

r Fre

iset

zung

vo

n G

as.

Kom

mer

ziel

l:Be

rste

n de

s Be

hälte

rs,

Gas

frei

setz

ung,

En

tzün

dung

un

d Be

schä

digu

ng

der R

esso

urce

.

Scha

den

an

der E

inric

htun

g er

ford

ert d

as

Aus

wec

hsel

n de

s Be

hälte

rs,

veru

rsac

ht

Kost

en v

on

schä

tzun

gs-

wei

se 1

0 M

io.

und

eine

n Pr

oduk

tions

-au

sfal

l von

1

Jahr

SIL2

Max

. to

lerie

r-ba

res

Risi

ko

(pro

Jahr

)

Aus

löse

rLi

kelih

ood

der

Aus

lösu

ng

(pro

Jahr

)

Vert

eilu

ng

der

Leck

größ

e

Wah

r-sc

hein

lich-

keit

der

Entz

ün-

dung

Meh

r-

zwec

k-

kons

truk

-tio

n (K

on-

stru

ktio

ns-

eins

tufu

ng)

Una

bhän

gige

Sch

utze

bene

nID

/Ref

.Zo

nen-

be

schr

ei-

bung

Erei

gnis

- be

schr

eibu

ng

(Gef

ahr)

Schw

ere-

kate

gorie

84

PROZESS-SAFEBOOK 1


8.6.15. LOPA-Ergebnisse

Die Ergebnisse in Tabelle 8 zeigen, dass die Überdruckgefahr Sicherheitskonsequenzenhat, vor denen durch eine SIL1-SIF mit einer PFD von ≤ 1,87E-02 geschützt werden kann.Allerdings dominiert das kommerzielle Risiko, weshalb eine SIL2-SIF mit einer PFD von≤ 8,24E-03 erforderlich ist.

Tabelle 8: LOPA-Ergebnisse

Es ist nicht unüblich, dass nicht sicherheitsrelevante Gefahren dominieren. In diesem Beispielstellt die Gefahr stets ein Risiko für die Ressource dar, wohingegen die Mitarbeiter hinsichtlichder Sicherheit nur während eines Teils der Zeit gefährdet sind.

Die SIF, die als Schutz vor Überdruck entwickelt werden muss, sollte daher die kommerziellenZiele erfüllen und dieselbe SIF wird aus diesem Grund auch die Mitarbeiter ausreichendschützen.

Gefahr Konsequenz SIL-Bewertung

PFD-Ziel

Sicherheit Sicherheit: Das freigesetzte Gas entzündetsich am Brenner und an heißen Ober -flächen. Möglicherweise zwei Todesfällebeim Instandhaltungspersonal.

SIL1 1,87E-02

Schutzart Umwelt: Bersten des Behälters,Gasfreisetzung, keine Entzündung.Freisetzung am Standort. Reinigung undMeldung an Behörde erforderlich, dochkeine Konsequenzen für die Umwelt.

Keine Keine

Kommerziell Kommerziell: Bersten des Behälters,Gasfreisetzung, Entzündung undBeschädigung der Ressource. Schaden ander Einrichtung erfordert das Auswechselndes Behälters und verursacht Kosten von10 Mio. € und einen Produktionsausfall von1 Jahr.

SIL2 6,24E-03

PROZESS-SAFEBOOK 1

Zuordnung von Sicherheitsfunktionen

85

9. Zuordnung von Sicherheitsfunktionen



Das Ziel dieser Phase wie in IEC 61511-1, 9.1 definiert, ist die Zuordnung von Sicherheits -funktionen zu Schutzebenen.

Als Eingaben erfordert diese Phase eine Beschreibung der Anforderungen an dieSicherheitsfunktion und der Anforderungen an die Sicherheitsintegrität.

Als Ausgaben muss die Phase Informationen zur Zuordnung der allgemeinen Sicherheits -funktionen, ihre geplanten Ausfallgrenzwerte und die zugeordneten Sicherheits-Integritäts -level bereitstellen. Annahmen hinsichtlich anderer Risikominderungsmaßnahmen, diewährend des Lebenszyklus des Prozesses/der Anlage verwaltet werden müssen, werdenebenfalls definiert.

Man

agem

ent u

nd B

eurt

eilu

ng d

er fu

nktio

nale

nSi

cher

heit

und

Aud

its

10

Auf

bau

und

Plan

ung

des

Sich

erhe

itsle

bens

zykl

us

11

Verifi

katio

n


1



2





Modifikation7

Außerbetriebnahme8


86

PROZESS-SAFEBOOK 1


9.2. Zuordnung von Sicherheitsfunktionen

Für das Beispiel des Trennbehälters [3.7.1] wurden die folgenden SIFs und SIL-Anforderungenermittelt (siehe Tabelle 9). Die Analyse der Gefahrenreferenz [1.10] wurde als Teil des LOPA-Beispiels [8.5] dargestellt. LOPA wäre zum Bestimmen der SIL- und PFD-Ziele für die anderenerkannten Gefahren verwendet worden.

Tabelle 9: SIF-Anforderungen

HAZOP-Ref Gefahr Konsequenz SIL-Bewertung

PFD-Ziel

1.01 Hoher Druck führt zumBersten des Behälters undzur Freisetzung von Gas.

Das freigesetzte Gas entzündet sich am Brennerund an heißen Oberflächen. Möglicherweisezwei Todesfälle beim Instandhaltungspersonal.Der Schaden an der Einrichtung erfordert denAustausch des Behälters, verursacht Kosten von10 Mio. € und erfordert eine Prozessabschal -tung für 1 Jahr. Geringe Freisetzung in dieUmgebung.

SIL2 6,24E-03

1.11 Niedriger Druck führtzum Bersten desBehälters und zurFreisetzung von Gas.


Keine Keine

1.15 Hohe Temperatur führt zuhohem Druck, zumBersten des Behälters undzur Freisetzung von Gas.


Keine Keine

1.16 Niedrige Temperatur,mögliches Einfrieren derFlüssigkeit (Verfestigung),Bersten des Behälters,Auslaufen von Flüssigkeit.

Schäden an der Einrichtung erfordern denAustausch des Behälters, verursachen Kostenvon etwa 10 Mio. € und erfordern eineProzessabschaltung für 6 Monate. DieFreisetzung in die Umwelt muss gemeldetwerden.

Keine Keine

1.20 Ein hoher Pegel imBehälter könnte dazuführen, dass Flüssigkeit indie Gasausleitungeingeschleppt wird.

Schäden an der nachfolgenden Einrichtungerfordern den Austausch des Behälters,verursachen Kosten von etwa 10 Mio. € underfordern eine Prozessabschaltung für6 Monate.

SIL1 8,10E-02

1,21 Ein niedriger Pegel imBehälter könnte dazuführen, dass Gas in dieFlüssigkeitsausleitungeingeschleppt wird.

Schäden an der nachfolgenden Einrichtungerfordern die Reinigung des Behälters,verursachen Kosten von etwa 2 Mio. € underfordern eine Prozessabschaltung für6 Wochen.

SIL1 6,22E-02

PROZESS-SAFEBOOK 1

Zuordnung von Sicherheitsfunktionen

87

Durch die mittlere Häufigkeit des Ereignisses, die von der LOPA-Analyse angegeben wird, wurdefestgelegt, dass alle vorgeschlagenen SIFs als Anforderungsbetriebsart angesehen werden. SIL1-Ziele wurden für hohe und niedrige Ebenen definiert und daher wurden die folgenden SIFsvorgeschlagen. Zur Minderung des hohen Drucks wurde ein Druckablass ventil als üblicheEngineering-Praxis implementiert und es wurde eine SIF wie unten gezeigt eingerichtet.

Die einzelnen SIFs bilden zusammen das gesamte SIS:

Sicherheits-technisches

System

PHH100 ESDV100

P

LHH101 ESDV101

L

LHH102 ESDV102

L

Abbildung 35b: Lebenszyklusphase 2

Sicherheits-technischeFunktion

LHH102 ESDV102

L


LHH101 ESDV101

L


PHH100 ESDV100

P

Abbildung 35a: Lebenszyklusphase 2

88

PROZESS-SAFEBOOK 1


Im folgenden Diagramm sind die zugeordneten SIFs hervorgehoben:

Flüssig-keitsaus-leitung

Heizgas- versorgung

Flüssig-keitsein-leitung

Gas- ausleitung

XV101ESDV101

LL101TT100

FCV100

FCV100 XV100

T

P

Brenner

LH101

FCV102XV102

ESDV102

PT102PRV102

LH

LL

ESDV100

LLL101 SISLL

PHH100P

LHH102SISL

SIS

Abbildung 35c: Lebenszyklusphase 2

PROZESS-SAFEBOOK 1

SIS – Spezifikationen der sicherheitstechnischenAnforderungen

89

10. SIS – Spezifikationen der sicherheitstechnischen Anforderungen



Das Ziel dieser Phase wie in IEC 61511-1, 10.1 definiert, ist die Angabe der Anforderungen fürdie SIFs.

10.2. Anforderungen an die Sicherheitsintegrität einer SIF

Der SIL-Level jeder SIF wurde während der Studie zur Bestimmung des SIL-Levels mithilfe vonRisikodiagramm, LOPA oder Risikomatrix ausgewählt.

Diese Informationen müssen jetzt mithilfe der Spezifikation der sicherheitstechnischen An -for derungen (SRS – Safety Requirements Specification) an das Konstruktionsteam kommuni -ziert werden, um sicherzustellen, dass die Konstruktion während der Implementierung die

Man

agem

ent u

nd B

eurt

eilu

ng d

er fu

nktio

nale

nSi

cher

heit

und

Aud

its

10

Auf

bau

und

Plan

ung

des

Sich

erhe

itsle

bens

zykl

us

11

Verifi

katio

n


1



2





Modifikation7

Außerbetriebnahme8


90

PROZESS-SAFEBOOK 1


Anforderungen der SIF-Sicherheitsintegrität erfüllt. Die SRS ist die Grundlage der SIF-Validierung.

10.3. Rahmenbedingungen für die SRS

Vor Beginn der Konstruktionsarbeiten muss die SRS basierend auf den Anleitungen inIEC 61511-1/2, Abschnitt 10 & 12 vorbereitet werden. Die SRS enthält die funktionalenund Integritätsanforderungen für jede SIF und muss ausreichend Informationen für dieKonstruktion und Entwicklung des SIS bereitstellen. Diese Informationen sollten eindeutig,präzise, nachweisbar, verwaltbar und durchführbar ausgedrückt und strukturiert werden,damit sie von denjenigen, die diese Informationen während der verschiedenen Phasendes Lebenszyklus sehr wahrscheinlich nutzen, problemlos verstanden werden.

Die SRS muss für jede SIF Anweisungen für Folgendes enthalten:

• Beschreibung der SIF• Ausfälle infolge gemeinsamer Ursachen• Definition des sicheren Zustands der SIF• Anforderungsrate• Intervalle für die Wiederholungsprüfung• Reaktionszeiten, die erforderlich sind, um den Prozess in einen sicheren Zustand zu

bringen• SIL und Betriebsart (Anforderungsbetriebsart oder Betriebsart mit kontinuierlicher

Anforderung)• Prozessmessungen und ihre Auslösungspunkte• Prozessausgabeaktionen und Kriterien für einen erfolgreichen Betrieb• Funktionale Beziehung zwischen Eingaben und Ausgaben• Anforderungen für eine manuelle Abschaltung• Einschalten oder Ausschalten für die Auslösung • Rückstellung nach einer Abschaltung• Maximal zulässige Rate der Fehlauslösungen• Ausfallmodi und SIS-Reaktion auf Ausfälle• Start und Neustart des SIS• Schnittstellen zwischen dem SIS und anderen Systemen• Anwendungssoftware• Überbrückungen/Sperren/Umgehungen und wie sie beseitigt werden• Aktionen nach der SIS-Fehlererkennung

Nicht sicherheitsrelevante Funktionen können vom SIS ausgeführt werden, um eineordnungsgemäße Abschaltung oder eine schnellere Inbetriebnahme zu gewährleisten.

PROZESS-SAFEBOOK 1

SIS – Entwicklung und Engineering

91

11. SIS – Entwicklung und Engineering



Mit dieser Phase soll, wie in IEC 61511-1, 11.1 definiert, Folgendes bestimmt werden:

• Konstruktion des SIS, um die erforderlichen SIFs bereitzustellen [11.2]• Sicherstellen, dass die SIF-Konstruktion dem angegebenen SIL-Level entspricht,

der während der SIL-Bestimmung definiert wurde [13].

Man

agem

ent u

nd B

eurt

eilu

ng d

er fu

nktio

nale

nSi

cher

heit

und

Aud

its

10

Auf

bau

und

Plan

ung

des

Sich

erhe

itsle

bens

zykl

us

11

Verifi

katio

n


1



2





Modifikation7

Außerbetriebnahme8


92

PROZESS-SAFEBOOK 1


11.2. SIF-Konstruktion

Die SRS bildet die Grundlage der SIF-Konstruktion und ermöglicht dem Konstruktionsteamdie Umsetzung der Funktionalität in Konstruktionsdokumente wie beispielsweise eine FDS.Die FDS sollte also alle funktionalen und integritätsbezogenen Anforderungen enthalten, diezum Konstruieren und Entwickeln des SIS erforderlich sind.

Es ist wichtig, dass die Konstruktionsdokumentation die folgenden Anforderungen enthält:

• Anforderungen an das Systemverhalten beim Erkennen eines Fehlers [13.2]• Hardwarefehlertoleranz [13.3]• Auswahl der Komponenten und Subsysteme [13.4] • Feldgeräte [13.5]• Bediener-, Wartungs- und Kommunikationsschnittstellen zum SIS [13.6]• Anforderungen an den Instandhaltungs- oder Testaufbau [13.7]• SIF-Ausfallwahrscheinlichkeit [13.8]• Anwendungssoftware [13.9]

PROZESS-SAFEBOOK 1

Zuverlässigkeitstechniken

93

12. Zuverlässigkeitstechniken

12.1. Einführung

Dieser Abschnitt enthält eine kurze Einführung in Zuverlässigkeitstechniken. Es handeltsich weder um einen umfassenden Überblick über die Methoden des Zuverlässigkeits-Engineerings, noch um die Beschreibung eines neuen oder unkonventionellen Verfahrens.Die hierin beschriebenen Methoden werden von Ingenieuren routinemäßig verwendet.

12.2. Definitionen

Der Übersicht halber folgt zunächst eine kurze Liste wichtiger Begriffe und Definitionen.Ausführlichere Definitionen zu Begriffen und zur Bezeichnungen finden Sie in denzahlreichen Normtexten zum entsprechenden Thema.

Abhängiger Ausfall, – Ausfall, der durch den Ausfall von mindestens einem zugeordnetenElement verursacht wird. Nicht unabhängig.

Abhängigkeit – Gibt an, inwieweit ein Element betriebsbereit ist und die erforderlicheFunktion zu jeder Zeit (zufällig) während eines angegebenen Aufgabenprofils auszuführen,sofern die Verfügbarkeit zu Beginn der Aufgabe gegeben ist.

Ausfall – Das Ereignis oder ein nicht funktionsfähiger Zustand, in dem sich ein Element oderein Teil eines Elements nicht wie zuvor angegeben verhält oder verhalten wird.

Ausfallart – Die Konsequenz des Mechanismus, durch den der Ausfall auftritt, z. B.Kurzschluss, Drahtbruch, Riss, übermäßiger Verschleiß.

Ausfallmechanismus – Der physikalische, chemische, elektrische, thermische oder sonstigeProzess, der zu einem Ausfall führt.

Ausfallrate – Gesamtzahl der Ausfälle innerhalb einer Elementpopulation, dividiert durch dieGesamtzahl der funktionierenden Einheiten, die durch diese Population ausgeschöpft wird(während eines bestimmten Messintervalls unter festgelegten Bedingungen).

Eignung– Gibt die Eignung eines Elements an, die Ziele der Aufgabe unter denBedingungen während der Aufgabe zu erreichen.

Korrigierende Instandhaltung – Alle Aktionen, die als Reaktion auf einen Ausfall ausgeführtwerden, um ein Element wieder in einen festgelegten Zustand zu versetzen. Die korrigieren -de Instandhaltung kann beliebige oder alle der folgenden Schritte umfassen: Lokalisierung,Trennung, Demontage, Austausch, Wiedereinbau, Ausrichtung und Überprüfung.

94

PROZESS-SAFEBOOK 1


Mittlere Betriebsdauer bis zum Ausfall (MTTF – Mean Time to Failure) – Ein grundlegen -des Maß für die Zuverlässigkeit nicht reparierbarer Elemente: Die mittlere Zeit funktionieren -der Einheiten, während der alle Teile des Elements innerhalb der angegebenen Grenzwertefunktionieren (während eines bestimmten Messintervalls unter festgelegten Bedingungen).

Mittlere Betriebsdauer zwischen Ausfällen (MTBF – Mean Time Between Failure) –Ein grundlegendes Maß für die Zuverlässigkeit reparierbarer Elemente: Die mittlere Zeitfunktionierender Einheiten, während der alle Teile des Elements innerhalb der angegebenenGrenzwerte funktionieren (während eines bestimmten Messintervalls unter festgelegtenBedingungen).

Mittlere Dauer bis zur Wiederherstellung (MTTR – Mean Time To Repair) – Eingrundlegendes Maß für die Wartbarkeit: Die Summe der Zeiten für korrigierendeInstandhaltungsarbeiten mit einer festgelegten Reparaturstufe, dividiert durch dieGesamtzahl der Ausfälle innerhalb eines Elements, das auf dieser Stufe repariert wurde(während eines bestimmten Intervalls unter festgelegten Bedingungen).

Unabhängiger Ausfall – Ausfall, der auftritt, ohne durch den Ausfall eines anderen Elementsverursacht zu sein. Nicht abhängig.

Verfügbarkeit – Gibt an, inwieweit sich ein Element zu Beginn der Aufgabe im betriebsbe -rei ten und zuverlässigen Zustand befindet, wenn die Aufgabe bei einem unbekanntenZustand aufgerufen wird.

Vorbeugende Instandhaltung – Alle Aktionen, die ausgeführt werden, um einenfestgelegten Zustand für ein Element beizubehalten. Hierzu zählen systematischeUntersuchungen sowie das Erkennen und Verhindern bevorstehender Ausfälle.

Wartbarkeit – Gibt an, inwiefern ein Element fähig ist, beibehalten oder in einem be -stimmten Zustand wiederhergestellt zu werden, wenn Wartungsarbeiten von Mitarbeiternmit festgelegten Fähigkeiten ausgeführt werden. Diese Mitarbeiter verwenden dabeivorgeschriebene Verfahren und Ressourcen für jede vorgeschriebene Wartungs- undReparaturstufe.

Zufälliger Ausfall – Ausfall, dessen Auftreten nur im wahrscheinlichkeitstheoretischen oderstatistischen Sinn vorhersagbar ist. Gilt für alle Verteilungen.

Zuverlässigkeit – (1) Die Dauer oder Wahrscheinlichkeit einer fehlerfreien Ausführung unterfestgelegten Bedingungen. (2) Die Wahrscheinlichkeit, dass ein Element seine vorgeseheneFunktion während eines bestimmten Intervalls unter festgelegten Bedingungen ausführenkann. Für nicht redundante Elemente entspricht dies der Definition (1). Für redundanteElemente ist dies die Definition der Aufgabenzuverlässigkeit.

PROZESS-SAFEBOOK 1


95

12.3. Grundlegende mathematische Konzepte beim Zuverlässigkeits-Engineering

Viele mathematische Konzepte gelten für das Zuverlässigkeits-Engineering, insbesonderewenn es um Bereiche der Wahrscheinlichkeit und Statistik geht. Auf ähnliche Weise könnenviele mathematische Verteilungen für die unterschiedlichsten Zwecke verwendet werden,wie z. B. die Gaußsche (Normal-) Verteilung, die Lognormalverteilung, die Rayleigh-Verteilung, die Exponentialverteilung, die Weibull-Verteilung und viele weitere. Für diesekurze Einführung sollen die Ausführungen auf die Exponentialverteilung begrenzt werden.

Ausfallrate und mittlere Betriebsdauer zwischen Ausfällen/mittlere Betriebsdauer bis zumAusfall (MTBF/MTTF).

Zweck der quantitativen Zuverlässigkeitsmessungen ist die Definition der Ausfallrate relativzur Zeit. Außerdem kann so diese Ausfallrate zum besseren Verständnis der quantitativenAusfallaspekte in einer mathematischen Verteilung modelliert werden. Der grundlegendsteBaustein ist die Ausfallrate, die mithilfe der folgenden Gleichung geschätzt wird:

λ = F/T

Dabei gilt: λ = Ausfallrate (manchmal auch als Gefahrenrate bezeichnet)

T = Gesamtzahl der Gerätestunden (Betriebszeit/Zyklen/Laufleistung usw.) während einesPrüfungszeitraums für ausgefallene und nicht ausgefallene Elemente.

F = Gesamtzahl der Ausfälle, die während des Prüfungszeitraums auftreten.

Wenn beispielsweise fünf Elektromotoren insgesamt 50 Jahre lang funktionieren undwährend dieses Zeitraums fünf Funktionsausfälle auftreten, liegt die Ausfallrate bei0,1 Ausfällen pro Jahr.

Ein weiteres, äußerst grundlegendes Konzept ist die mittlere Betriebsdauer zwischenAusfällen (MTBF/MTTF). Der einzige Unterschied zwischen MTBF und MTTF ist, dass MTBF aufElemente angewandt wird, die bei einem Ausfall repariert werden. Für Elemente, die einfachentsorgt und ersetzt werden, wird der Begriff MTTF verwendet. Die Berechnungen sindidentisch. Die grundlegende Berechnung zum Abschätzen der mittleren Betriebsdauerzwischen Ausfällen (MTBF) und der mittleren Betriebsdauer bis zum Ausfall (MTTF) ist derKehrwert der Funktion der Ausfallrate. Dieser wird mit der folgenden Gleichung berechnet.

θ = T/F

Dabei gilt: θ = Mittlere Betriebsdauer zwischen Ausfällen/Mittlere Betriebsdauer bis zumAusfall

96

PROZESS-SAFEBOOK 1


T = Gesamte Betriebszeit/Zyklen/Laufzeit usw. während eines Prüfungszeitraums fürausgefallene und nicht ausgefallene Elemente

F = Gesamtzahl der Ausfälle, die während des Prüfungszeitraums auftreten.

Der MTBF für unser Beispiel mit den industriellen Elektromotoren liegt bei 10 Jahren, wasdem Kehrwert der Ausfallrate für die Motoren entspricht. Im Übrigen würde der MTBF fürElektromotoren, die bei einem Ausfall überarbeitet werden, geschätzt. Bei kleineren Motoren,die entsorgt werden, würde die MTTF angegeben.

Die Ausfallrate ist eine grundlegende Komponente zahlreicher komplexerer Zuverlässigkeits -berechnungen. Abhängig von der mechanischen/elektrischen Konstruktion, dem Betriebs -kontext, den Umgebungsbedingungen und/oder der Wartungseffizienz kann die Ausfallrateeiner Maschine kleiner werden, konstant bleiben oder linear bzw. geometrisch ansteigen.Allerdings wird für die meisten Zuverlässigkeitsberechnungen eine konstante Ausfallrateangenommen.

12.4. Badewannenkurve

Im Konzept veranschaulicht die Badewannenkurve die drei grundlegenden Merkmale derAusfallrate einer Maschine: abfallend, konstant oder ansteigend. In der Praxis bleiben diemeisten Maschinen während ihrer Lebensdauer innerhalb der frühen Lebensphase oder inden Bereichen der konstanten Ausfallrate der Badewannenkurve. Nur selten sind zeitabhän -gige Ausfallmechanismen zu sehen, da typische Industriemaschinen normalerweise ganzoder teilweise ersetzt werden, bevor sie verschleißen. Allerdings ist die Badewannenkurvetrotz dieser Modellierungseinschränkungen ein nützliches Werkzeug, um die grundlegendenKonzepte des Zuverlässigkeits-Engineerings zu erläutern.

Der menschliche Körper ist ein gutes Beispiel für ein System, das entlang der Badewannen -kurve verläuft. Die Ausfallrate (Sterblichkeit) des Menschen (und einer Maschinen) istwährend der ersten Lebensjahre in der Regel sehr hoch, doch die Rate verringert sich, wenndas Kind (Produkt) älter wird. Angenommen, eine Person überlebt die Teenager-Jahre. Dannwird die Sterblichkeitsrate relativ konstant und verbleibt dort, bis altersabhängige (zeitab -hängige) Krankheiten die Sterblichkeitsrate (Verschleiß) wieder erhöhen.

Im Allgemeinen gibt es die Vorstellung, dass die Badewannenkurve sich aus verschiedenenAusfallverteilungen zusammensetzt (Abbildung 38).

Die Ausfallrate, die in den ersten Lebensjahren abfällt, ist bedingt durch systematischeGründe wie fertigungsbedingte Schwachstellen, die in einem Produkt vorliegen. Wenn eineProduktcharge gefertigt wird, enthält ein Teil der Population Schwachstellen, die im Betriebzu Ausfällen führen. Wenn die ausgefallenen Elemente zur Reparatur eingesandt werden,

PROZESS-SAFEBOOK 1


97

verringert sich der Anteil der Produkte mit Schwachstellen in der Population undentsprechend sinkt auch die Ausfallrate.

Die steigende Zahl der verschleißbedingten Ausfälle kann ähnliche systematische Gründehaben. Ausfallmechanismen können durch verminderte Widerstandsfähigkeit wie beispiels -weise die Akkumulation von Ermüdungsschäden bedingt sein. In der Elektronik sind diezeitabhängigen Ausfallmechanismen eher mechanischer Natur und umfassen z. B.Ermüdungsausfälle von Lötstellen.

Der Zeitraum mit der konstanten Ausfallrate macht den Großteil eines Produktlebenszyklusaus und ist ein Maß für die Konstruktionsqualität, der Konstruktionsgüte. In diesem Bereichder konstanten Ausfallrate werden einfache Zuverlässigkeitsberechnungen ausgeführt.

12.5. Exponentialverteilung

Die Exponentialverteilung ist die grundlegendste und am häufigsten verwendete Prognose -formel für Zuverlässigkeit. Sie modelliert Maschinen mit der konstanten Ausfallrate oder demflachen Teil der Badewannenkurve. Die meisten industriellen Maschinen verbleiben währendihrer Lebensdauer einen Großteil der Zeit im Bereich der konstanten Ausfallrate, sodass dieseweit verbreitet ist.

00

0,1

0,2

0,3

0,4

0,5

0,6

0,7

0,8

0,9

1

10 20 30Zeit

SinkendKonstantAnsteigendGesamt

Badewannenkurve

Aus

fallr

ate

40 50 60

Abbildung 38: Badewannenkurve

98

PROZESS-SAFEBOOK 1


Mit der folgenden grundlegenden Gleichung kann die Zuverlässigkeit einer Maschinegeschätzt werden, die der Exponentialverteilung folgt. Dabei ist die Ausfallrate als Funktionder Zeit konstant.

R(t) = exp { -λ . t }

Dabei gilt: R(t) = Zuverlässigkeitsschätzung für einen Zeitraum, Zyklen, Laufzeit usw. (t)

λ = Ausfallrate (1/MTBF oder 1/MTTF) und t = Risikozeit

Wenn Sie im Beispiel mit den Elektromotoren von einer konstanten Ausfallrate ausgehen,liegt die Wahrscheinlichkeit, dass ein Motor sechs Jahre lang ohne Ausfall betrieben werdenkann (also die Projektzuverlässigkeit), bei 55 Prozent. Dies wird wie folgt berechnet:

R(t) = exp { – 0,1 x 6 }= exp { – 0,6 }= 0,5488 ≈ 55 %

Anders ausgedrückt, nach sechs Jahren wird erwartet, dass etwa 45 % der Populationidentischer Motoren, die in einer identischen Anwendung verwendet werden, der Wahr -scheinlichkeitstheorie nach ausfallen. An diesem Punkt lohnt es sich, zum wiederholten Maledarauf aufmerksam zu machen, dass mit diesen Berechnungen die Wahrscheinlichkeit füreine Population hochgerechnet wird. Jedes individuelle Gerät aus der Population könntebereits am ersten Betriebstag ausfallen, während ein anderes 30 Jahre lang fehlerfreifunktionieren kann. Dies ist die Natur wahrscheinlichkeitstheoretischer Zuverlässigkeits -hochrechnungen.

Ein Merkmal der Exponentialverteilung ist, dass der MTBF an dem Punkt auftritt, an dem dieberechnete Zuverlässigkeit bei 36,78 % liegt, oder an dem Punkt, an dem bereits 63,22 % derMaschinen ausgefallen sind. Im Beispiel mit den Motoren wird erwartet, dass nach 10 Jahren63,22 % der Motoren von einer Population identischer Motoren, die in identischen Anwen -dungen eingesetzt werden, ausfallen werden. Anders ausgedrückt liegt die Überlebensratebei 36,78 % der Population.

12.6. Schätzen der Systemzuverlässigkeit

Sobald die Zuverlässigkeit von Komponenten oder Maschinen relativ zum Betriebskontextund der erforderlichen Aufgabenzeit festgelegt wurde, müssen Betriebstechniker dieZuverlässigkeit eines Systems oder Prozesses beurteilen. Auch hier werden der Kürze undEinfachheit halber die Zuverlässigkeitsschätzungen für Reihen-, Parallel- und redundanteSysteme mit gemeinsamer Last erläutert (so genannte MooN-Systeme – M out of N; M aus N).

PROZESS-SAFEBOOK 1


99

12.6.1. Reihensysteme

Bevor hintereinandergeschaltete Systeme erläutert werden, sollten zunächst Zuverlässig -keits block diagramme (RBDs – Reliability Block Diagrams) näher betrachtet werden. RBDsbilden einen Prozess einfach von Anfang bis Ende ab. Bei einem Reihensystem folgt aufSubsystem 1 Subsystem 2 usw. Im Reihensystem hängt die Fähigkeit, Subsystem 2 zuimplementieren, vom Betriebszustand von Subsystem 1 ab. Wenn Subsystem 1 nichtfunktioniert, ist das System unabhängig von der Bedingung von Subsystem 2 deaktiviert[Abbildung 39].

Zum Berechnen der Systemzuverlässigkeit eines Reihenprozesses müssen Sie nur diegeschätzte Zuverlässigkeit von Subsystem 1 zum Zeitpunkt (t) mit der geschätztenZuverlässigkeit von Subsystem 2 zum Zeitpunkt (t) multiplizieren. Die grundlegendeGleichung für die Berechnung der Systemzuverlässigkeit eines einfachen Reihensystemslautet wie folgt:

Rs(t) = R1(t) . R2(t) . R3(t)

Dabei gilt: Rs(t) – Systemzuverlässigkeit zum Zeitpunkt (t)

Rn(t) – Zuverlässigkeit des Subsystems oder der Subfunktion zu einem bestimmtenZeitpunkt (t)

Daher wird für ein einfaches System mit drei Subsystemen oder Subfunktionen, die jeweilseine geschätzte Zuverlässigkeit von 0,90 (90 %) zum Zeitpunkt (t) aufweisen, die Systemzu -ver lässigkeit als 0,90 X 0,90 X 0,90 = 0,729 oder etwa 73 % berechnet.

12.6.2. Parallelsysteme

Oft implementieren Konstruktionsingenieure Redundanz in kritische Maschinen. VonIngenieuren werden diese Systeme daher auch Parallelsysteme genannt. Diese Systemekönnen als aktive Parallelsysteme oder Standby-Parallelsysteme konzipiert sein. Das Block -diagramm für ein einfaches Parallelsystem mit zwei Komponenten ist in Abbildung 40dargestellt.

R1(t) R2(t) R3(t)

Subsystem 1 Subsystem 2 Subsystem 3

Abbildung 39: Reihensystem

100

PROZESS-SAFEBOOK 1


Verwenden Sie die folgende Gleichung, um die Zuverlässigkeit eines aktiven Parallelsystemszu berechnen, in dem beide Maschinen aktiv sind:

Rs(t) = 1 – [ {1-R1(t)} . {1-R2(t)} ]

Dabei gilt: Rs(t) – Systemzuverlässigkeit zum Zeitpunkt (t)

Rn(t) – Zuverlässigkeit des Subsystems oder der Subfunktion zu einem bestimmtenZeitpunkt (t)

Das einfache Parallelsystem im vorliegenden Beispiel mit zwei parallelen Komponenten, vondenen jede eine Zuverlässigkeit von 0,90 aufweist, hat eine gesamte Systemzuverlässigkeitvon 1 – (0,1 X 0,1) = 0,99. Auf diese Weise wurde die Systemzuverlässigkeit beträchtlichverbessert.

12.6.3. MooN-Systeme (M out of N; M aus N)

Ein wichtiges Konzept für Ingenieure ist das Konzept von MooN-Systemen. Für diese Systememüssen M Einheiten aus einer Gesamtpopulation in N für die Verwendung verfügbar sein.Ein gutes Beispiel aus der Industrie sind Kohlemühlen in einer Stromerzeugungsanlage.Häufig entwickeln Ingenieure diese Funktion in der Anlage mithilfe eines MooN-Konzepts.Beispielsweise besteht eine Einheit aus vier Mühlen und damit die Einheit ordnungsgemäßbei Volllast arbeitet, müssen drei der vier Mühlen funktionieren [Abbildung 41].

12.7. Gefährliche und ungefährliche Ausfälle

Damit Zuverlässigkeitsberechnungen sinnvoll sind, geht es uns nicht nur um die Ausfallratedes Systems, sondern auch darum, wie ein System ausfallen kann, also um den Ausfallmodus.

Ausfallmodi können als sicher oder gefährlich klassifiziert werden. Abbildung 42 zeigt eineGasleitung. Wenn die Leitung ein Kraftwerk mit Brennstoff versorgt, das Absperrventilfehlerhaft ist und fälschlicherweise schließt, wird die Brennstoffversorgung unterbrochenund es kommt möglicherweise zu Gewinneinbußen. Der Ausfallmodus (Ausfall imgeschlossenen Zustand) ist jedoch ein ungefährlicher Ausfall.

R1(t)

R2(t)

Abbildung 40: Paralleles System

PROZESS-SAFEBOOK 1


101

Wenn dasselbe Ventil in der geöffneten Position ausfällt, wird die Brennstoffversorgungaufrechterhalten. Kommt es jedoch zu einer Überdruckbedingung, sind wir nicht in der Lage,den Brennstoff zu isolieren und die Leitung sicher zu machen. Dieser Ausfallmodus (Ausfallim geöffneten Zustand) wird daher als gefährlicher Ausfall betrachtet.

Druck- sender

Druck-regler

ESD-Logik

Magnet-ventil



Gasleitungs-einlass


Abschalt-ventil

Druckregler-ventil


PC

SPT


R1(t)

R2(t)

R3(t)

R4(t)

Abbildung 41: 3oo4-System

102

PROZESS-SAFEBOOK 1


In diesem Beispiel würde der gefährliche Ausfallmodus mit dem falschen Öffnen ersterkannt, wenn eine Anforderung erfolgt, d. h. wenn das Ventil den Befehl zum Schließenerhält. Dies gilt dann als gefährlicher unerkannter Ausfall.

Wenn eine Leitung dagegen das Kraftwerk mit Kühlmittel versorgt und das Ventil SSV969Aausfällt und fälschlicherweise schließt, wird die Kühlmittelzufuhr unterbrochen und dasKraftwerk könnte überhitzen. In dieser Anwendung stellen dasselbe Ventil und derselbeAusfallmodus (Ausfall im geschlossenen Zustand) einen gefährlichen Ausfall dar. Wenn dasVentil in der geöffneten Position ausfällt, wird der Kühlmittelfluss aufrechterhalten, weshalbdieser Ausfallmodus (Ausfall im geöffneten Zustand) als ungefährlicher Ausfall gilt.

Ein gefährlicher Ausfall einer Komponente in einer sicherheitstechnischen Funktionverhindert, dass die Funktion einen sicheren Zustand erreicht, wenn dies erforderlich ist.Die gefährliche Ausfallrate ist durch das folgende Symbol gekennzeichnet: λD.

Ein ungefährlicher Ausfall hat nicht das Potenzial, das sicherheitstechnische System in einengefährlichen Zustand oder einen Zustand mit Funktionsausfall zu versetzen, sodass dasSystem abgeschaltet oder die sicherheitstechnische Funktion aktiviert wird, wenn gar keineGefahr vorhanden ist. Die ungefährliche Ausfallrate ist durch das folgende Symbol gekenn -zeichnet: λS.

Eventuell gibt es Ausfallmodi, die überhaupt keine Auswirkung auf die Sicherheitsfunktionhaben. Zu diesen können Instandhaltungsfunktionen, Anzeigen, Datenprotokollierungs- undandere nicht sicherheitsrelevante (Nicht-SR-) Funktionen gehören. Die Nicht-SR-Ausfallrate istdurch das folgende Symbol gekennzeichnet: λNicht-SR.

Die gesamte Ausfallrate eines Elements, λ, entspricht der Summe der sicherheitsrelevantenund Nicht-SR-Ausfallraten. Normalerweise werden nur λD und λS in den Zuverlässigkeits -berechnungen berücksichtigt.

λ = λD + λS + λNicht-SR

12.8. Erkannte und unerkannte Ausfälle

Die PFD bezieht sich auf gefährliche Ausfälle, die das SIS bei Bedarf daran hindern, seineFunktion auszuführen. Diese Ausfallmodi sind entweder als erkannte Ausfälle klassifiziert, dasie durch Diagnosen erkannt werden, oder sie sind als unerkannte Ausfälle klassifiziert, dienicht erkannt werden, außer durch manuelle Wiederholungsprüfung en, und in der Regeljährlich ausgeführt werden. Es wird empfohlen, dass diese durch die FMECA (Failure Modeand Effects and Criticality Analysis) klassifizierten Ausfallmodi als gefährliche erkannteAusfälle im Rahmen der Diagnose erkannt und in der Softwarevalidierung verifiziert werdensollten. Außerdem sollten die Verfahren der Wiederholungsprüfung sicherstellen, dassgefährliche unerkannte Ausfallmodi erkannt werden, damit die Effizienz zu gewährleistet ist.

PROZESS-SAFEBOOK 1


103

In Übereinstimmung mit IEC 61508-6, Anhang B.3.1, kann bei der Analyse berücksichtigtwerden, dass es für jede Sicherheitsfunktion eine optimale Wiederholungsprüfung undReparatur gibt, d. h. alle Ausfälle, die unerkannt bleiben, werden durch die Wiederholungs -prüfung entdeckt.

12.9. Zeitraum der Wiederholungsprüfung (Tp) und mittlere Ausfalldauer (MDT – MeanDown Time)

Bei einem Ausfall wird davon ausgegangen, dass er im Schnitt in der Mitte des Prüfintervallsauftritt. Anders ausgedrückt bleibt der Fehler während 50 % des Prüfzeitraums unerkannt.

Bei erkannten und unerkannten Ausfällen hängt die mittlere Ausfalldauer (MDT – MeanDown Time) vom Prüfintervall und ebenso von der Reparaturzeit (oder der MTTR) ab.

Die MDT wird daher wie folgt berechnet:

MDT = Prüfintervall + MTTR2

Die MDT entspricht daher für erkannte Ausfälle in etwa der Reparaturzeit, da das Prüfintervall(Autotest) in der Regel kurz mit der MTTR verglichen wird. Bei unerkannten Ausfällen wird dieReparaturzeit kurz mit dem Prüfintervall, dem Zeitraum der Wiederholungsprüfung Tpverglichen, weshalb die MDT für unerkannte Ausfälle in etwa Tp/2 entspricht.

12.10. Modellieren der Systemausfallrate (λsys)

Die Ausfallrate eines redundanten Systems, λsys, kann unter Berücksichtigung der Anzahlder Möglichkeiten berechnet werden, wie ein Systemausfall auftreten kann. In einem 3oo4-System müssen 3 von 4 Kanälen (3 out of 4) funktionieren, damit das System funktioniert.Aus diesem Grund führen zwei beliebige Ausfälle zu einem Systemausfall.

104

PROZESS-SAFEBOOK 1


Die Rate, mit der zwei Ausfälle auftreten können, λ2, wird angegeben durch die Ausfallrateeines Elements, λ, multipliziert mit der Wahrscheinlichkeit, dass ein zweiter Ausfall währendder Ausfalldauer, MDT, des ersten Ausfalls auftritt, λ.MDT.

Daher gilt:

λ2 = λ.(λ.MDT)

Allerdings gibt es zwölf Permutationen (die Ordnung ist wichtig) von zwei Ausfällen in einem3oo4-System: A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B und D.C, die alle berücksichtigtwerden müssen. Die Systemausfallrate entspricht daher ungefähr Folgendem:

λSYS = 12.λ2.MDT

Um genau zu sein, sollten alle Permutationen von 3 und 4 gleichzeitige Ausfälle sowieAusfälle infolge gemeinsamer Ursachen berücksichtigen, da diese auch zu Systemausfällenführen können, doch in einer Näherung erster Ordnung können Terme höherer Ordnungvernachlässigt werden. Die Systemausfallrate für 3oo4- und andere Konfigurationen sind inTabelle 10 aufgeführt. Beachten Sie, dass bei diesen Näherungen Terme höherer Ordnungvernachlässigt werden.

λ

λ

λ

λ

Abbildung 43: 3oo4-System

PROZESS-SAFEBOOK 1


105

Tabelle 10: Systemausfallrate

Beachten Sie, dass die Mitwirkung von Ausfällen infolge gemeinsamer Ursachen späterausführlicher beschrieben wird [12.17].

12.11. Modellieren der Raten gefährlicher erkannter und unerkannter Ausfälle (λDD)und (λDU)

Durch Ersetzen von λDD und λDU für λ in Tabelle 10 und durch Verwendung von MDT oder Tp/2kann die Systemausfallrate aufgrund gefährlicher erkannter oder unerkannter Ausfälleabgeleitet werden (siehe Tabelle 11).

Konfiguration λsys

1oo1 λ

1oo2 2.λ2.MDT

2oo2 2.λ

1oo3 3.λ3.MDT2

2oo3 6.λ2.MDT

3oo3 3.λ

1oo4 λ4.MDT3

2oo4 12.λ3.MDT2

3oo4 12.λ2.MDT

4oo4 4.λ

106

PROZESS-SAFEBOOK 1


Tabelle 11: Rate gefährlicher Systemausfälle

12.12. Modellieren der Rate der Fehlauslösungen des Systems (λSTR)

Da davon ausgegangen wird, dass ungefährliche Ausfallraten in der Regel alle erkanntwerden, können in einer redundanten Konfiguration ausgefallene Kanäle repariert werden,sofern das System nicht auslöst. Aus diesem Grund kann hier das Konzept für gefährlicheerkannte Ausfälle verwendet werden, mit der Ausnahme, dass sich die Anzahl der Ausfälle,die für eine Fehlauslösung erforderlich sind, von der Anzahl unterscheiden kann, die füreinen gefährlichen Ausfall erforderlich ist.

In der Regel umfassen Fehlauslösungen nur die Raten ungefährlicher Ausfälle. Dochabhängig vom Systemausfallverhalten beim Erkennen eines Fehlers können auch gefährlicheerkannte Ausfälle berücksichtigt werden, sodass die Rate der Fehlauslösungen der Summeder beiden entspricht.

In Tabelle 12 sind die Raten der Fehlauslösungen des Systems für ungefährliche Ausfällezusammengefasst.

Konfiguration Erkannt Unerkannt

λsys λsys

1oo1 λDD λDU

1oo2 2.λDD2.MDT λDU2.TP

2oo2 2.λDD 2.λDU

1oo3 3.λDD3.MDT2 λDU3.TP2

2oo3 6.λDD2.MDT 3.λDU2.TP

3oo3 3.λDD 3.λDU

1oo4 λDD4.MDT3 λDU4.TP3

2oo4 12.λDD3.MDT2 4.λDU3.TP2

3oo4 12.λDD2.MDT 6.λDU2.TP

4oo4 4.λDD 4.λDU

PROZESS-SAFEBOOK 1


107

Tabelle 12: Rate der Fehlauslösungen des Systems

12.13. Modellieren der Verfügbarkeit von Sicherheitssystemen in derAnforderungsbetriebsart

Für ein Sicherheitssystem wird die Verfügbarkeit aufgrund gefährlicher erkannter Ausfälle,ADD, wie folgt angegeben:

ADD = 1/(1 + .λDD(SYS).MDT)

Dabei ist λDD(SYS) die Systemausfallrate als Ergebnis gefährlicher erkannter Ausfälle [12.11].

Für gefährliche unerkannte Ausfälle wird ADU wie folgt angegeben:

ADU = 1/(1 + .λDU(SYS).TP/2)

Dabei ist λDU(SYS) die Systemausfallrate als Ergebnis gefährlicher unerkannter Ausfälle [12.11].

Für ungefährliche Ausfälle wird AS wie folgt ermittelt:

AS = 1/(1 + .λS(SYS).MDT)

Dabei ist λS(SYS) die Systemausfallrate als Ergebnis der (sicheren) Ausfälle aufgrundFehlauslösung [12.12].

Konfiguration Fehlauslösung

λstr

1oo1 λS

1oo2 2.λS

2oo2 2.λS2.MDT

1oo3 3.λS

2oo3 6.λS2.MDT

3oo3 3.λS3.MDT2

1oo4 4.λS

2oo4 12.λS2.MDT

3oo4 12.λS3.MDT2

4oo4 λS4.MDT3

108

PROZESS-SAFEBOOK 1


Die Systemverfügbarkeit ist daher das Produkt der Verfügbarkeiten aufgrund gefährlichererkannter, gefährlicher unerkannter und ungefährlicher Ausfälle:

ASYS = ADD . ADU . AS

Diese Methode kann für die Modellierung von Reihensystemen (Simplex) und redundantenSystemen verwendet werden.

12.14. Modellieren der Verfügbarkeit von Sicherheitssystemen in der Betriebsart mitkontinuierlicher Anforderung

Wenn die Methode auf Sicherheitssysteme in der Betriebsart mit kontinuierlicher Anforde -rung angewandt wird, muss der Planer die Natur der Anforderungen verstehen, die an dieSicherheitsfunktion gestellt werden. Einige Sicherheitsfunktionen in der Betriebsart mitkontinuierlicher Anforderung arbeiten auf Anforderung (genau wie eine Sicherheitsfunktionin der Anforderungsbetriebsart), doch sie sind aufgrund der Anforderungshäufigkeit, alsoöfter als einmal pro Jahr, als Funktionen in der Betriebsart mit kontinuierlicher Anforderungklassifiziert. In diesem Fall kann die Verfügbarkeit wie für eine Sicherheitsfunktion in derAnforderungsbetriebsart berechnet werden, mit Ausnahme des Intervalls für dieWiederholungsprüfung TP, das durch das Anforderungsintervall TD ersetzt werden muss.Gefährliche unerkannte Ausfälle würden unerkannt bleiben, bis die Sicherheitsfunktionangefordert wird.

Wenn die Sicherheitsfunktion im kontinuierlichen Modus eine dauerhafte Steuerung effizientbereitstellt, kann die Verfügbarkeit als Steuerungssystem berechnet werden [12.15].

12.15. Modellieren der Verfügbarkeit eines Steuerungssystems

Beim Modellieren der Verfügbarkeit von Steuerungssystemen geht es vor allem um Ausfälle,die sich auf den Prozess auswirken. Dabei müssen wir entscheiden, ob ein Ausfall den Prozessso weit beeinflusst, dass das Steuerungssystem tatsächlich nicht verfügbar ist.

Die Erkennung eines Ausfalls erfolgt entweder durch Diagnosen oder Fehleralarme odernach Symptomen. Im ersten Fall ist eine Reparatur erforderlich und das System ist bis zuseiner Wiederherstellung nicht verfügbar. Im zweiten Fall arbeitet der gesteuerte Prozessaußerhalb seiner festgelegten Grenzwerte.

Ausfälle, die unerkannt bleiben, führen nicht sofort zu einem nicht verfügbarenSteuerungssystem. Mit der Zeit kann der unerkannte Ausfall jedoch dazu führen, dass sichdie Prozessparameter außerhalb der festgelegten Grenzwerte verlagern. Dann werden sieerkannt und haben eine Nichtverfügbarkeit zur Folge.

PROZESS-SAFEBOOK 1


109

Die Verfügbarkeit des Steuerungssystems kann daher modelliert werden, indem die gesamteSystemausfallrate, ASYS, wie folgt angegeben wird:

ASYS = 1/(1 + λSYS.MDT)

Dabei ist λSYS die gesamte Systemausfallrate als Ergebnis aller Ausfälle [Tabelle 10].

12.16. Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH) undWahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung (PFD)

Die vereinfachten PFH- und PFD-Formeln für allgemeine Konfigurationen sind für erkannteAusfälle in Tabelle 13 und für unerkannte Ausfälle in Tabelle 14 aufgeführt.

Tabelle 13: Berechnung von PFH/PFD (erkannte Ausfälle)

Konfiguration PFH PFD

1oo1 λDD λDD.MDT

1oo2 2.λDD2.MDT 2.λDD2.MDT2

2oo2 2.λDD 2.λDD.MDT

1oo3 3.λDD3.MDT2 3.λDD3.MDT3



1oo4 4.λDD4.MDT3 λDD4.MDT4

2oo4 12.λDD3.MDT2 4.λDD3.MDT3



110

PROZESS-SAFEBOOK 1


Tabelle 14: Berechnung von PFH/PFD (unerkannte Ausfälle)

12.17. Berücksichtigung von Ausfällen infolge gemeinsamer Ursache

Ausfälle infolge gemeinsamer Ursache (CCF) sind Ausfälle, die eventuell nur eine Ursachehaben, jedoch gleichzeitig mehrere Kanäle betreffen können. Ihre Ursache kann beispiels -weise ein systematischer Fehler, ein Fehler in der Konstruktionsspezifikation oder eineexterne Belastung wie übermäßige Temperaturen sein, die zum Ausfall von Komponentenin beiden redundanten Kanälen führen. Der Systemkonstrukteur ist dafür verantwortlich,entsprechende Maßnahmen zu ergreifen, um die Häufigkeit von Ausfällen infolge gemein -samer Ursachen zu minimieren. Hierfür muss er entsprechende Konstruktionspraktikeneinsetzen.

Der Beitrag von Ausfällen infolge gemeinsamer Ursache (CCF – Common Cause Failures) inparallelen redundanten Pfaden wird durch die Einbeziehung eines β-Faktors berücksichtigt.Die CCF-Ausfallrate, die in die Berechnung eingeschlossen wird, entspricht β x gesamteAusfallrate einer der redundanten Pfade.

Das β-Faktormodell [IEC 61508-6, Anhang D] ist die bevorzugte Methode, weil sie objektivist und Rückverfolgbarkeit bei der Schätzung von β bietet. Das Modell wurde kompiliert,um eine Reihe spezieller Fragen zu stellen, die anschließend mithilfe einer objektivenEngineering-Beurteilung bewertet werden. Die maximale Bewertung für jede Frage wurdeim Modell durch Kalibrierung der Ergebnisse verschiedener Beurteilungen abhängig vonbekannten Feldausfalldaten gewichtet.

Konfiguration PFH PFD

1oo1 λDU λDD.TP/2

1oo2 λDU2.TP λDD2.TP2/3

2oo2 2.λDU λDD.TP

1oo3 λDU3.TP2 λDD3.TP3/4

2oo3 3.λDU2.TP λDD2.TP2

3oo3 3.λDU 3.λDD.TP/2

1oo4 λDU4.TP3 λDD4.TP4/5

2oo4 4.λDU3.TP2 λDD3.TP3

3oo4 6.λDU2.TP 2.λDD2.TP2

4oo4 4.λDU 2.λDD.TP

PROZESS-SAFEBOOK 1


111

Zwei Spalten werden für die Auswertung der Checkliste verwendet. Spalte A enthält dieBewertungen der Leistungsmerkmale des CCF-Schutzes, die so wahrgenommen werden,als würden sie durch einen Anstieg der Diagnosehäufigkeit (automatische Prüfung oderWiederholungsprüfung) verbessert. Spalte B enthält die Bewertungen für die Leistungs -merkmale, die anscheinend durch einen Anstieg der Diagnosehäufigkeit nicht verbessertwerden können.

Das Modell ermöglicht die Änderung der Bewertung durch die Häufigkeit und denDeckungs grad der Diagnoseprüfung. Die Bewertungen in Spalte A werden mit dem Faktor Cmultipliziert, der von den diagnosebezogenen Überlegungen abgeleitet wird. Der endgül -tige β-Faktor wird anschließend anhand der Summe der ursprünglichen Bewertungenabgeschätzt:

Ursprüngliche Bewertung = (A * C) + B

Die Beziehung zwischen β und der ursprünglichen Bewertung ist im Grunde genommeneine negative Exponentialfunktion, da keine Daten vorliegen, um die Abweichung von derAnnahme zu rechtfertigen, dass mit der Verringerung (Verbesserung) von β die nachfolgen -den Verbesserungen immer schwieriger zu erreichen sind.

Wenn eine bestimmte Frage nicht auf das zu beurteilende System zutrifft, wird eineBewertung von 100 % oder 0 % eingegeben, je nachdem, welcher Wert für das Systempassend ist.

Im Folgenden sind typische Bedingungen aufgeführt, die beim Abschätzen des CCF-Beitragsberücksichtigt werden müssen:

• Redundante Kanäle sind physikalisch getrennt• Verschiedene Technologien, z. B. ein elektronischer Kanal und ein relaisbasierter

Kanal• Ein dokumentiertes Arbeitssystem vor Ort muss sicherstellen, dass Ausfälle

überprüft werden• Durch dokumentierte Instandhaltungsverfahren sollte ein erneutes Verlegen von

Kabelführungen verhindert werden• Eingeschränkter Zugang durch die Mitarbeiter• Die Betriebsumgebung wird kontrolliert und die Bemessungswerte der

Einrichtung liegen über dem gesamten Bereich der Umgebungsbedingungen

Die tatsächliche Leistung während des Betriebs hängt jedoch von der jeweiligen Installationund den Konstruktions-, Betriebs- und Instandhaltungspraktiken ab, die übernommenwurden. Unter der Voraussetzung, dass alle sinnvollen guten Engineering-Praktikenübernommen wurden, bietet das Modell einen nachvollziehbaren Schätzwert für den CCF-Beitrag.

112

PROZESS-SAFEBOOK 1


Wenn CCFs in den Formeln für PFD und PFH [Tabelle 13 und Tabelle 14] berücksichtigtwerden, kann der folgende Ansatz verwendet werden. Die verwendeten Gleichungen sindVereinfachungen der Standardgleichungen und werden in [19.6] abgeleitet.

Für erkannte Ausfälle:

PFD1oo1 = λDD.MDT Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC 61508-6, B.3.2.2.2

Für unerkannte Ausfälle:

PFD1oo1 = λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDU2.TP2/3 + β.λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.2

Dabei ist λDD die Rate der gefährlichen erkannten Ausfälle, λDU ist die Rate der gefährlichenunerkannten Ausfälle und β ist der Beitrag der Ausfälle infolge gemeinsamer Ursachen (CCF).TP ist das Intervall für die Wiederholungsprüfung und MDT die mittlere Ausfalldauer.

Die generischen Formen dieser Gleichungen für verschiedene Konfigurationen werden fürSysteme in der Betriebsart mit kontinuierlicher Anforderung und in der Anforderungsbe -triebs art in [19.7] näher untersucht.

12.18. Ausfallraten

Bei der Berechnung von PFD und SFF verwendet die Analyse insofern die zugrunde liegendeHypothese von IEC 61508-6, Anhang B.3, als die Ausfallraten der Komponenten über dieLebensdauer des Systems konstant sind.

Die in Berechnungen verwendeten Ausfallraten können durch die FMECA (Failure Modeand Effects and Criticality Analysis) ermittelt und durch Felddaten oder durch Verweiseauf veröffentlichte Daten aus Industriequellen quantifiziert werden. Die verwendetenAusfallraten müssen mit verfügbaren Daten für ähnliche Module mit derselben Komplexitätund Technologie verglichen werden. Dieses Konzept gewährleistet einen konservativenAnsatz hinsichtlich der Zuverlässigkeitsmodellierung und sorgt für Vertrauen, dass dieberechnete Zuverlässigkeitsleistung während des Betriebs erreicht werden kann.

Ausfallraten und ihre Quellen werden in 14.8 näher erläutert.

12.19. Modellierung von 1oo2, 1oo2D und Hot-Standby

Die folgenden Beispiele zeigen Zuverlässigkeitsblockdiagramme (RBDs – Reliability BlockDiagrams), in denen einige gängige Systemkonfigurationen modelliert wurden.

PROZESS-SAFEBOOK 1


113

1oo2

Ein 1oo2-System ist eine 1-aus-2-Architektur (1 out of 2), bei der einer der beiden Kanäle dieSicherheitsfunktion ausführen kann. Es ist eine fehlertolerante Konfiguration, bei der derAusfall eines Kanals toleriert werden kann.

Wenn es sich bei dem Kanalausfall um einen gefährlichen unerkannten Ausfall handelt, wirddieser durch die Diagnose nicht erkannt und es wird kein Fehler angezeigt. Allerdingsfunktioniert die Sicherheitsfunktion weiterhin, da der eine verbleibende Kanal die Auslösungeinleiten kann. Wenn es sich bei dem Kanalausfall um einen gefährlichen erkannten Ausfallhandelt, führt dies in der Regel zu einer Fehleranzeige.

Ein Beispiel-RBD ist in 12.20 abgebildet.

1oo2D

In einer 1oo2D-Systemarchitektur sind zwei Kanäle parallel angeschlossen und jeder Kanalverfügt über Diagnoseschaltkreise, die Ausfälle mit einem hohen Diagnosedeckungsgraderkennen. Beide Kanäle müssen der Ausführung einer Abschaltungsaktion während desnormalen Systembetriebs zustimmen. Ein fehlerfrei funktionierender Kanal steuert dasSystem, wenn der Diagnoseschaltkreis der anderen Seite einen Ausfall erkennt.

Hinsichtlich der Zuverlässigkeitsmodellierung funktioniert das 1oo2D-System bei gefähr -lichen erkannten Ausfällen als 1oo2-Konfiguration und die Systemausfallrate sowie die PFDkönnen als 1oo2 für erkannte Ausfälle modelliert werden.

Ein einzelner gefährlicher und unerkannter Ausfall eines Kanals in einem 1oo2D-Systemverhindert, dass das System ordnungsgemäß funktioniert. Daher müssen Systemausfallrateund PFD für unerkannte Fehler als 2oo2 modelliert werden. Anders ausgedrückt: Es müssenbeide Kanäle ordnungsgemäß funktionieren.

Ein Beispiel-RBD ist in 12.21 abgebildet.

Hot-Standby

Eine Hot-Standby-Systemarchitektur verfügt über zwei parallel angeschlossene Kanäle, d. h.ein Kanal ist als Master definiert und steuert die Sicherheitsfunktion. Der andere Kanal hatdie Funktion eines Ersatzteils, das bei laufendem System ausgewechselt werden kann (Hot-Spare), sodass beim Erkennen eines gefährlichen Ausfalls im Master-Kanal der Standby-Kanaldie Steuerung der Sicherheitsfunktion übernimmt.

Hinsichtlich der Zuverlässigkeitsmodellierung funktioniert das Hot-Standby-System beigefährlichen erkannten Ausfällen als 1oo2-Konfiguration und die Systemausfallrate sowie diePFD können als 1oo2 für erkannte Ausfälle modelliert werden.

114

PROZESS-SAFEBOOK 1


Ein einzelner gefährlicher und unerkannter Ausfall eines Kanals verhindert, dass das Systemordnungsgemäß funktioniert. Daher müssen Systemausfallrate und PFD für unerkannteFehler als 1oo1 modelliert werden. Anders ausgedrückt: Die Sicherheitsfunktion kann einenunerkannten Ausfall des Master-Kanals nicht tolerieren und es gibt keine Redundanz beiunerkannten Ausfällen. Ein Beispiel-RBD ist in 12.22 abgebildet.

PROZESS-SAFEBOOK 1


115

CCF

5 %

Men

ge1

11

12

11

Konfi

gura

tion

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

λDD

(Dia

gnos

e)1,

16E-

060,

00E+

000,

00E+

008,

19E-

082,

95E-

072,

03E-

071,

38E-

075,

25E-

08λD

D*M

enge

1,16

E-06

0,00

E+00

0,00

E+00

8,19

E-08

5,90

E-07

2,03

E-07

1,38

E-07

5,25

E-08

λDD

für V

erzw

eigu

ng1,

16E-

061,

01E-

065,

25E-

08M

DT

2424

24G

esam

t λD

D1,

16E-

064,

93E-

115,

25E-

08

λDU

(Bes

tänd

igke

itspr

üfun

g)3,

66E-

072,

00E-

072,

00E-

079,

10E-

093,

28E-

082,

26E-

081,

54E-

085,

84E-

09λD

U*M

enge

3,66

E-07

2,00

E-07

2,00

E-07

9,10

E-09

6,56

E-08

2,26

E-08

1,54

E-08

5,84

E-09

λDU

für V

erzw

eigu

ng7,

66E-

071,

13E-

075,

84E-

09Ze

itrau

m fü

r Bes

tänd

igke

itspr

üfun

g, T

8760

8760

8760

Ges

amt λ

DU

7,66

E-07

1,11

E-10

5,84

E-09

λS (D

iagn

ose)

2,15

E-06

3,00

E-07

3,00

E-07

9,10

E-08

3,28

E-07

2,26

E-07

1,54

E-07

5,84

E-08

λS*M

enge

0,00

E+00

0,00

E+00

2,63

E-03

9,10

E-08

6,56

E-07

2,26

E-07

1,54

E-07

5,84

E-08

λS fü

r Ver

zwei

gung

2,63

E-03

1,13

E-06

5,84

E-08

MD

T24

2424

Ges

amt λ

S2,

63E-

032,

25E-

065,

84E-

08

Ges

amt λ

DD

1,21

E-06

Ges

amt λ

DU

7,72

E-07

Ges

amt λ

S2,

63E-

03

Ges

amt λ

SYS

2,63

E-03

/h

Dig

ital-

ausg

ang

CCF

CNB

CPU

CNB

Ana

log-

eing

ang

CPU

Dru

ckse

nder

PT-x

xxLü

fter

ladu

ng

FL-x

xxLü

fter

ladu

ng

FL-x

xx

Ana

log-

eing

ang

Dig

ital-

ausg

ang

Systemausfallratefür ein 1oo2-System

116

PROZESS-SAFEBOOK 1


Dig

ital-

ausg

ang

CCF

CNB

CPU

CNB

Ana

log-

ei

ngan

gCP

U

Dru

ckse

nder

PT-x

xxLü

fter

ladu

ng

FL-x

xxLü

fter

ladu

ng

FL-x

xxCN

BA

nalo

g-ei

ngan

gCP

UD

igita

l-au

sgan

g

CCF

5 %

Men

ge1

11

12

11

24

22

Konfi

gura

tion

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

2oo2

2oo2

2oo2

2oo2

λDD

(Dia

gnos

e)1,

16E-

060,

00E+

000,

00E+

008,

19E-

082,

95E-

072,

03E-

071,

38E-

075,

25E-

08λD

D*M

enge

1,16

E-06

0,00

E+00

0,00

E+00

8,19

E-08

5,90

E-07

2,03

E-07

1,38

E-07

5,25

E-08

λDD

für V

erzw

eigu

ng1,

16E-

061,

01E-

065,

25E-

08M

DT

2424

24G

esam

t λD

D1,

16E-

064,

93E-

115,

25E-

08

λDU

(Bes

tänd

igke

itspr

üfun

g)3,

66E-

072,

00E-

072,

00E-

079,

10E-

093,

28E-

082,

26E-

081,

54E-

08λD

U*M

enge

3,66

E-07

2,00

E-07

2,00

E-07

1,82

E-08

1,31

E-07

4,52

E-08

3,07

E-08

λDU

für V

erzw

eigu

ng7,

66E-

072,

25E-

07Ze

itrau

m fü

r Bes

tänd

igke

itspr

üfun

g, T

8760

8760

Ges

amt λ

DU

7,66

E-07

9,87

E-04

λS (D

iagn

ose)

2,15

E-06

3,00

E-07

3,00

E-07

9,10

E-08

3,28

E-07

2,26

E-07

1,54

E-07

5,84

E-08

λS*M

enge

0,00

E+00

0,00

E+00

2,63

E-03

9,10

E-08

6,56

E-07

2,26

E-07

1,54

E-07

5,84

E-08

λS fü

r Ver

zwei

gung

2,63

E-03

1,13

E-06

5,84

E-08

MD

T24

2424

Ges

amt λ

S2,

63E-

032,

25E-

065,

84E-

08

Ges

amt λ

DD

1,21

E-06

Ges

amt λ

DU

9,88

E-04

Ges

amt λ

S2,

63E-

03

Ges

amt λ

SYS

3,62

E-03

/h

Ana

log-

ei

ngan

gD

igita

l- au

sgan

g

Systemausfallratefür ein 1oo2D-System

PROZESS-SAFEBOOK 1


117

Dig

ital-

ausg

ang

CCF

CNB

CPU

CNB

Ana

log-

ei

ngan

gCP

U

Dru

ckse

nder

PT-x

xxLü

fter

ladu

ng

FL-x

xxLü

fter

ladu

ng

FL-x

xxCN

BA

nalo

g-

eing

ang

CPU

Dig

ital-

ausg

ang

Ana

log-

ei

ngan

gD

igita

l- au

sgan

g

Men

ge1

11

12

11

12

11

Konfi

gura

tion

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

1oo1

1oo1

1oo1

1oo1

λDD

(Dia

gnos

e)1,

16E-

060,

00E+

000,

00E+

008,

19E-

082,

95E-

072,

03E-

071,

38E-

075,

25E-

08λD

D*M

enge

1,16

E-06

0,00

E+00

0,00

E+00

8,19

E-08

5,90

E-07

2,03

E-07

1,38

E-07

5,25

E-08

λDD

für V

erzw

eigu

ng1,

16E-

061,

01E-

065,

25E-

08M

DT

2424

24G

esam

t λD

D1,

16E-

064,

93E-

115,

25E-

08

λDU

(Bes

tänd

igke

itspr

üfun

g)3,

66E-

072,

00E-

072,

00E-

079,

10E-

093,

28E-

082,

26E-

081,

54E-

08λD

U*M

enge

3,66

E-07

2,00

E-07

2,00

E-07

9,10

E-09

6,56

E-08

2,26

E-08

1,54

E-08

λDU

für V

erzw

eigu

ng7,

66E-

071,

13E-

07Ze

itrau

m fü

r Bes

tänd

igke

itspr

üfun

g, T

8760

8760

Ges

amt λD

U7,

66E-

074,

93E-

04

λS (D

iagn

ose)

2,15

E-06

3,00

E-07

3,00

E-07

9,10

E-08

3,28

E-07

2,26

E-07

1,54

E-07

5,84

E-08

λS*M

enge

0,00

E+00

0,00

E+00

2,63

E-03

9,10

E-08

6,56

E-07

2,26

E-07

1,54

E-07

5,84

E-08

λS fü

r Ver

zwei

gung

2,63

E-03

1,13

E-06

5,84

E-08

MD

T24

2424

Ges

amt λS

2,63

E-03

2,25

E-06

5,84

E-08

Ges

amt λD

D1,

21E-

06G

esam

t λD

U4,

94E-

04G

esam

t λS

2,63

E-03

Ges

amt λ

SYS

3,13

E-03

/h

Systemausfallratefür ein Hot-Standby-System

118

PROZESS-SAFEBOOK 1


Dig

ital-

ausg

ang

CCF

CNB

CPU

CNB

Ana

log-

ei

ngan

gCP

U

Dru

ckse

nder

PT-x

xxLü

fter

ladu

ng

FL-x

xxLü

fter

ladu

ng

FL-x

xx

CCF

5 %

Men

ge1

11

12

11

Konfi

gura

tion

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

λDD

(Dia

gnos

e)1,

16E-

060,

00E+

000,

00E+

008,

19E-

082,

95E-

072,

03E-

071,

38E-

075,

25E-

08λD

D*M

enge

1,16

E-06

0,00

E+00

0,00

E+00

8,19

E-08

5,90

E-07

2,03

E-07

1,38

E-07

5,25

E-08

λDD

für V

erzw

eigu

ng1,

16E-

061,

01E-

065,

25E-

08M

DT

2424

24G

esam

t λD

D1,

16E-

064,

93E-

115,

25E-

08

λDU

(Bes

tänd

igke

itspr

üfun

g)3,

66E-

072,

00E-

072,

00E-

079,

10E-

093,

28E-

082,

26E-

081,

54E-

085,

84E-

09λD

U*M

enge

3,66

E-07

2,00

E-07

2,00

E-07

9,10

E-09

6,56

E-08

2,26

E-08

1,54

E-08

5,84

E-09

λDU

für V

erzw

eigu

ng7,

66E-

071,

13E-

075,

84E-

09Ze

itrau

m fü

r Bes

tänd

igke

itspr

üfun

g, T

8760

8760

8760

Ges

amt

λDU

7,66

E-07

1,11

E-10

5,84

E-09

λS (D

iagn

ose)

2,15

E-06

3,00

E-07

3,00

E-07

9,10

E-08

3,28

E-07

2,26

E-07

1,54

E-07

5,84

E-08

λS*M

enge

0,00

E+00

0,00

E+00

2,63

E-03

9,10

E-08

6,56

E-07

2,26

E-07

1,54

E-07

5,84

E-08

λS fü

r Ver

zwei

gung

2,63

E-03

1,13

E-06

5,84

E-08

MD

T24

2424

Ges

amt

λS2,

63E-

032,

25E-

065,

84E-

08

Ges

amt

λDD

=1,

21E-

06D

urch

schn

. (D

D)=

0,99

997

Ges

amt

λDU

=7,

72E-

07D

urch

schn

. (D

U)=

0,99

328

Ges

amt

λS=

2,63

E-03

Dur

chsc

hn. (

S)=

0,94

062

Ges

amt

λSY

S=

2,63

E-03

/hV

erfü

gbar

keit

=0,

9343

Ana

log-

ei

ngan

gD

igita

l- au

sgan

g

Verfügbarkeit eineskomplexen Systems

PROZESS-SAFEBOOK 1


119

12.24. Beispieldatenblatt

Die in den oben abgebildeten RBDs verwendeten Daten zu Ausfallraten müssen im Berichtangeführt und bis zur Quelle nachvollziehbar sein. Wenn auf veröffentlichte Daten verwiesenwird, muss die Quelle ausreichende Details angeben, die es Dritten erlauben, dieverwendeten Daten unabhängig zu überprüfen. Hierzu könnte eine Dokument-ID, die ISBN-Nummer, sofern vorhanden, die Seitenzahl und Abschnittsnummer angeführt werden.

Tabelle 15 ist eine typische Datentafel für die oben abgebildeten Beispiel-RBDs.

Tabelle 14: Berechnung von PFH/PFD (unerkannte Ausfälle)

12.25. Modellierung von Feuer- und Gas-Systemen (F&G)

Beim Modellieren von F&G-Systemen müssen Sie einige Richtlinien zur Fehlertoleranzangeben. Die Modellierung von ESD- oder ähnlichen Systemen folgt in der Regel derselbenKonfiguration, die auch von der Bewertung des Logik-Solvers verwendet wird. Beispielsweisewird die Zuverlässigkeit von Druckgebern, die mit 1 aus 2 (1oo2) bewertet werden, beiHochdruck durch ein ESD-System, als 1oo2 modelliert. Dasselbe gilt jedoch nicht immer fürF&G-Systeme.

Beschrei bung Teile -nummer

λGesamt λD λDD λDU λS Kommentare/Quelle

Druckgeber PT-xxx

PT-xxx 3,68E-06 1,53E-06 1,16E-06 3,66E-07 2,15E-06 Handbuch zurfunktionalen Sicherheitdes Herstellers PT-xxx, M-xxx-xxx, Monat-20xx

LüfterladungFL-xxx, Strom -wandler

FL-xxx 5,00E-07 2,00E-07 0,00E+00 2,00E-07 3,00E-07 FARADIP-THREE V6.4,Reliability Data Base.Technis, 26 Orchard Drive,Tonbridge, Kent TN104LG, ISBN 0-951-65623-6.

Comms.ModuleControlNetCNB

1756-CNB 1,82E-07 9,10E-08 8,19E-08 9,10E-09 9,10E-08 Allen-Bradley-Dokumentzur Verwendung vonControlLogix in SIL2-Anwendungen

Analogein -gangsmodul

1756-AI16 6,56E-07 3,28E-07 2,95E-07 3,28E-08 3,28E-07 Allen-Bradley-Dokumentzur Verwendung vonControlLogix in SIL2-Anwendungen

ControlLogix-CPU

1756-L63 4,52E-07 2,26E-07 2,03E-07 2,26E-08 2,26E-07 Allen-Bradley-Dokumentzur Verwendung vonControlLogix in SIL2-Anwendungen

Digitalaus -gangsmodul

1756-OB32

3,07E-07 1,54E-07 1,38E-07 1,54E-08 1,54E-07 Allen-Bradley-Dokumentzur Verwendung vonControlLogix in SIL2-Anwendungen

120

PROZESS-SAFEBOOK 1


Im Allgemeinen kann eine konservative Analyse in der Regel vorgenommen werden,ohne dass Annahmen des Detektordeckungsgrads und der Redundanz im Alarmlayoutvorausgesetzt werden, doch in der Praxis kann dies zu einer pessimistischen Analyseund dazu führen, dass die Zielwerte nicht erreicht werden. Wenn solche Schwierigkeitenauftreten, ermöglichen fundierte Kenntnisse der Gefahren die Entwicklung eineszielgerichteteren Modells, sodass eine realistischere Analyse ausgeführt werden kann.

F&G-Systeme schützen nicht nur Menschen, sondern können auch zum Schutz einerRessource vor kommerziellen Risiken oder eines Standorts vor Umweltrisiken eingesetztwerden. Die Aktion, die das SIF für diesen Schutz ausführen muss, bestimmt das zuverwendende Zuverlässigkeitsmodell.

Bei der Modellierung eines F&G-SIF zur Bestimmung der Konformität mit den Zielen für dieHardwarezuverlässigkeit, z. B. PFD, muss entschieden werden, welche exakteHardwarekonfiguration modelliert werden soll.

Beispielsweise geben die C&E-Daten für ein F&G-SIF typischerweise Folgendes an:

a) Ein beliebiger von sechs (1oo6) Gasmeldern im Alarmzustand wird als „Gaseinzeln“ bezeichnet und aktiviert einen Alarm in der Steuerzentrale.

b) Zwei beliebige von sechs (2oo6) Gasmeldern im Alarmzustand werden als „Gasbestätigt“ bezeichnet, aktivieren Alarme und Warnleuchten am Standort undgenerieren eine Notabschaltung (ESD) der Anlage.

Allerdings müssen Sie für die korrekte Modellierung die SIF und die Gefahr, vor der dieseschützt, verstanden haben. Die von der SIF auszuführende Aktion bestimmt das zuverwendende Modell.

12.26. Modellieren von Melderkonfigurationen in F&G-Systemen

In der Praxis wird ein einzelner Gasalarm durch einen Bediener überprüft, um festzustellen,ob er real oder falsch ist oder aufgrund eines Melderfehlers ausgelöst wurde. Die auszufüh -rende Aktion wird nur als Ergebnis eines bestätigten Gasalarms aktiviert, wodurchsichergestellt ist, dass das Anlagenpersonal sicher evakuiert werden kann. Dies ist dieSicherheitsfunktion, mit der die SIL-Bewertung angezogen wurde. Aus diesem Grund mussFall b) oben der Ausgangspunkt für die Zuverlässigkeitsmodellierung sein: ein bestätigterGasalarm stellt sicher, dass die Mitarbeiter sicher evakuiert werden können.

Das Layout in Abbildung 44 zeigt sechs Gasmelder, die in einer Zone positioniert sind. Undder Logik-Solver, der für 2oo6 stimmt, ist so konfiguriert, dass die auszuführende Aktion nuraktiviert wird, wenn zwei beliebige von sechs Meldern Gas erkennen.

PROZESS-SAFEBOOK 1


121

Allerdings geht es bei der Modellierung von SIFs anhand von PFD-Zielen um die Berechnungder Wahrscheinlichkeit, dass auf Gas nicht reagiert wird, wenn es erforderlich ist. Eine Gas -freisetzung, die groß genug ist, um gefährlich zu sein, liegt eventuell nur im Abdeckungs -bereich der Hälfte der sechs Melder (siehe Abbildung 45).

In der Praxis sollte die auszuführende Aktion so früh wie möglich aktiviert werden, d. h. wennsich die beiden mindestens erforderlichen Sensoren in der Gaswolke befinden. In diesem Fallmüssen die Sensoren als 2oo2 und ohne Redundanz modelliert werden, d. h. es könntenfolglich keine Sensorausfälle toleriert werden. Wenn die Ziele mit einer nicht redundantenKonfiguration erreicht werden, würde dies einen konservativen Ansatz darstellen, da diesernicht auf der Rechtfertigung eventueller Annahmen des Melderdeckungsgrads basiert.

Zone mit 6 Gasmeldern

Gas

Zone 01

F&GAuszuführende Aktion beim Erhalt eines Alarms von zwei beliebigen aus sechs Meldern.Logik-Abstimmung 2oo6

G

G

G

G

G

G

Abbildung 45: F&G-Systemdeckungsgrad

Zone mit 6 GasmeldernZone 01

F&GAuszuführende Aktion beim Erhalt eines Alarms von zwei beliebigen aus sechs Meldern.Logik-Abstimmung 2oo6

G

G

G

G

G

G

Abbildung 44: F&G-Systemlayout

122

PROZESS-SAFEBOOK 1


In der Realität ist die PFD des Sensorsubsystems eher besser als die, die für eine nichtredundante Konfiguration berechnet wurde, da es aufgrund der Sensorpositionierungwahrscheinlich einige Überlappungen beim Sensordeckungsgrad gibt, weshalb der Ausfalleines einzelnen Sensors möglicherweise toleriert werden kann.

Bei der Zuverlässigkeitsmodellierung muss der Planer daher den maximalen Umfang derGasfreisetzung (Größe der Gaswolke) beurteilen, die toleriert werden kann, bevor die auszu -führende Aktion erforderlich würde. Außerdem muss er abschätzen, wie viele Sensoren zudiesem Zeitpunkt innerhalb der Wolke liegen.

Wenn in diesem Beispiel zugelassen werden kann, dass die Gaswolke groß genug ist, um3 Sensoren abzudecken, bevor die auszuführende Aktion eingeleitet wird, kann mit derLogikabstimmung, die zwei beliebige Sensoren aus 6 vorgibt, der Ausfall eines Sensorstoleriert werden. Anders ausgedrückt könnte die Zuverlässigkeit der Gaserkennung auchals 2 aus 3 modelliert werden.

12.27. Auswirkungen einer falschen Modellierung auf die PFD

Wenn im obigen Beispiel die Logikabstimmung der Gasmelder 2oo6 ergibt, sind einigePlaner möglicherweise versucht, die Zuverlässigkeit des Systems als 2oo6 anstatt als 2oo3oder sogar 2oo2 zu modellieren. Offensichtlich kann die daraus resultierende Diskrepanz inder gesamten PFD der Sicherheitsfunktion und ihrer Leistung im Hinblick auf SIL-Bewertun -gen zwischen redundanten und nicht redundanten Konfigurationen beträchtlich sein.

Sofern eine gewisse Fehlertoleranz beansprucht werden kann, z. B. durch die Modellierungvon 2oo3 oder 2oo4, sind dagegen die Differenzen in der gesamten PFD der Sicherheits -funktion und ihrer Leistung im Hinblick auf SIL-Bewertungen eher gering. Die PFD fürredundante Konfigurationen ist durch Ausfälle infolge gemeinsamer Ursachen begrenzt,weshalb Verbesserungen hinsichtlich der PFD weniger signifikant sind, wenn dieHardwarefehlertoleranz (HFT) auf über 1 ansteigt.

Wenn allerdings die Fehlertoleranz aufgrund der Melderpositionierung oder der Größe derGaswolke, die toleriert werden kann, wenn die auszuführende Aktion erforderlich ist, nichtgewährleistet ist, kann die daraus resultierende Diskrepanz zwischen redundanten und nichtredundanten Konfigurationen beträchtlich sein (Abbildung 46).

Hinweis: Die PFD wird für typische Sensorausfallraten und Reparaturzeiten berechnet undgeht von einem Beitrag gemeinsamer Ursachen für redundante Konfigurationen aus. EineFehlertoleranz von Null stellt in diesem Beispiel eine 2oo2-Konfiguration dar, eine Fehler -toleranz von 1 eine 2oo3-Konfiguration, 2 eine 2oo4-Konfiguration usw.

Die Ergebnisse zeigen, dass abhängig von der Architektur oder der für die Modellierungausgewählten HFT die berechnete PFD in den Bereich von SIL1, SIL2 oder SIL3 fallen könnte.

PROZESS-SAFEBOOK 1


123

12.28. Auswirkungen einer falschen Modellierung auf die Architektur

Eine falsche Modellierung hat signifikantere Auswirkungen auf die Leistung der Architekturder Sicherheitsfunktion. Für einen bestimmten Anteil ungefährlicher Ausfälle (SFF – SafeFailure Fraction) hängt die SIL-Leistung des Meldersubsystems von seiner HFT ab.

Beispielsweise könnten für einen Melder des Typs B mit einem SFF zwischen 60 % und 90 %die folgenden SIL-Fähigkeiten für die Architektur beansprucht werden:

Wenn jedoch der Planer aufgrund der Abstimmungslogik wieder von einer 2oo6-Konfiguration ausgeht, führt eine optimistische Architektur zu einem SIL3-Anspruch,während tatsächlich jedoch nur ein niedrigerer SIL-Level vorliegt.

HFT Konfiguration SIL (Architektur)

0 2oo2 SIL1

1 2oo3 SIL2

2 4oo4 SIL3

01,00E-04

1,00E-03

1,00E-02

1,00E-01

1,00E+00

1 2 3Hardware-Fehlertoleranz (HFT)

F&G-System PFD

2oo2

2oo3SIL2

SIL3

SIL1

2oo4 2oo5 2oo6

PFD

4

Abbildung 46: PFD-Berechnung für ein F&G-System

124

PROZESS-SAFEBOOK 1


12.29. Modellieren von Alarmkonfigurationen in F&G-Systemen

Mitarbeiter werden vor Gefahren durch Feuer und Gas durch einen bestätigten Alarmgeschützt. Um eine sichere Evakuierung der Mitarbeiter zu gewährleisten sind lediglichoptische und akustische Alarme erforderlich. Daher muss bei Sicherheitsrisiken die Aus -gangskonfiguration lediglich die Bereitstellung optischer und akustischer Meldegerätevorsehen.

Bei F&G-Systemen kann die auszuführende Aktion typischerweise zur Aktivierung optischer6oo6- UND akustischer 4oo4-Alarme angegeben werden. Die Modellierung solcher Konfi -gurationen führt aufgrund der Anzahl der zu berücksichtigenden Geräte in der Regel zueinem Problem, wenn ein PFD-Ziel besser als SIL1 erreicht werden soll. Da außerdem Alarmeund Warnleuchten einen äußerst geringen SFF aufweisen, können ihre strukturellenEigenschaften in der Regel in Simplex-Konfigurationen maximal SIL1 erreichen.

Vergessen Sie nicht, dass eine Zone störende Einrichtungen enthalten kann, die eineWarnleuchte verstellen oder zum Überhören eines akustischen Alarms führen können. Daherwird empfohlen, Alarme so zu positionieren, dass die Mitarbeiter im Gefahrenbereich stetsmehrere Meldegeräte sehen oder hören können. Wenn sich diese Annahme verifizieren lässt,kann der Planer eine solche Fehlertoleranz bei der Zuverlässigkeitsmodellierung derAlarmkonfiguration nutzen.

Eine 6oo6-Konfiguration von Meldegeräten kann 2 oder 3 separate Zonen mit vielleicht 2oder 3 Meldegeräten pro Zone abdecken. Der Planer muss daher anhand der Layout-Zeichnungen für die Anlage entscheiden, welche Fehlertoleranz für die jeweilige Zonebeansprucht werden kann, und anschließend dies entsprechend modellieren(Abbildung 47).

PROZESS-SAFEBOOK 1


125

Die Entscheidung, wie viele Warnleuchten gesehen werden können und wie viele davonausfallen dürfen, ohne zum Ausfall der Sicherheitsfunktion zu führen, ist daher von zentralerBedeutung. Im Layout der Fallstudie wurde entschieden, dass in jeder Zone zwei der dreiWarnleuchten in der Zone stets gesehen werden können.

In einem solchen Layout wäre ein vernünftiger Ansatz die Modellierung jeder Zone 1 als1oo2, da Sie nur eine Warnleuchte sehen müssen. Da jedoch beide Zonen geschützt werdenmüssen, sind im Modell beide Zonen zu berücksichtigen, also 1oo2 + 1oo2.

Gehen Sie in einem weiteren Beispiel von 6 Warnleuchten in einer einzelnen Zone aus,wobei entschieden wurde, dass jederzeit 4 der 6 Warnleuchten gesehen werden können(Abbildung 48). In diesem Fall muss stets eine der vier Warnleuchten, die gesehen werdenkönnen, funktionieren. Daher können die Alarme als 1oo4 modelliert werden.

Zone 01 Zone 02

Warnleuchte Warnleuchte

Warnleuchte

Warnleuchte

Warnleuchte

Warn-leuchte

F&G-Logik-Solver6oo6-Ausgänge

Abbildung 47: Beispiel für das Layout eines Alarmsystems

126

PROZESS-SAFEBOOK 1


12.30. F&G-Eingaben in ESD-Systeme

Bis jetzt wurde noch nicht erwähnt, dass bei einem bestätigten Feuer oder Gasaustritt eineNotabschaltung (ESD) der Anlage ausgelöst werden muss. Ob die ESD-Auslösung im Rahmender F&G-SIF implementiert wird, hängt von den Konsequenzen der Gefahr und deserforderlichen Schutzes ab.

Wenn die Gefahr zu einem persönlichen Sicherheitsrisiko führt, kann argumentiert werden,dass Alarme ausreichend sind, um den Schutz zu gewährleisten. In der Regel führen F&G-Auslösungen auch zu einer Eingabe in das ESD-System, doch in vielen Fällen dient dies dazu,eine Eskalation der Gefahr zu verhindern und die Ressource zu schützen. Eine ESD-Auslösungkann auch ein Zeichen einer guten Haushaltung sein, wobei die Inbetriebnahme nach derBeseitigung der Gefahr auf kontrolliertere Weise ermöglicht wird. Das F&G-System schütztvor Feuer oder Gas, während die ESD vor anderen Gefahren schützt. Sofern das F&G-Systemseine Ziele hinsichtlich der Risikominderung erfüllt, sollte es außer den oben genanntenGründen keine weiteren geben, warum das ESD ausgelöst werden sollte. Daher würde dasESD normalerweise nicht in die F&G-SIF integriert.

Es gibt jedoch Ausnahmen. Wenn die Gefahr zu einem Umwelt- oder Ressourcenschadenführt, bieten Alarme allein keinen Schutz, weshalb die Anlage beim Erkennen von Feuer oderGas möglicherweise isoliert werden muss. In solchen Fällen müssen Sie eine Abschaltungund Isolierung integrieren, wie sie in der Zuverlässigkeitsmodellierung der F&G-SIFsvorgesehen ist.

Zone 01

Warnleuchte

Warnleuchte

F&G-Logik-Solver6oo6-Ausgänge



Abbildung 48: Beispiel für das Layout eines Alarmsystems (1 Zone)

PROZESS-SAFEBOOK 1


127

12.31. Zusammenfassung

Es ist offensichtlich, dass die Modellierung des Eingangssubsystems zu optimistischenErgebnissen führen kann, wenn anstelle der Fehlertoleranz der Melder die Konfigurationder Logikabstimmung modelliert wird. Wird derselbe Ansatz bei der Modellierung desAusgangssubsystems verwendet, ergeben sich äußerst pessimistische Ergebnisse. Zwischenden beiden Subsystemen kann das übernommene Modellierungskonzept zu einer großenAbweichung der berechneten PFD und den strukturellen Eigenschaften und daher zu einerstarken Abweichung des beanspruchten SIL-Levels führen.

Daher ist wichtig, dass ein sinnvoller Ansatz für die Modellierung von F&G-Systemenübernommen wird, um die Modellierungstechniken eindeutig zu verstehen und dieGefahren und Systeme zu analysieren. Auf diese Weise wird sichergestellt, dass eine präziseBeurteilung der Risikominderung durch ein F&G-System erreicht und Endkunden durchoptimistische Beanspruchungen nicht falsch informiert werden.

128

PROZESS-SAFEBOOK 1


13. SIL-Verifizierung

13.1. Konformität mit den Zielen der Sicherheits-Integritätslevel

Es wird oft gefragt, was getan werden muss, um die Konformität nachzuweisen. Es reichtnicht aus, „SIL-zertifizierte“ Komponenten zu kaufen und davon auszugehen, dass dadurchautomatisch eine Konformität gegeben ist. Und da die Norm keine Vorschriften macht, ist esaußerdem nicht möglich, eine Checkliste oder ähnliches für die auszuführenden Aufgabenbereitzustellen. Wie viel oder wenig Sie unternehmen, hängt in Wirklichkeit von zahlreichenFaktoren ab. Das Konzept hängt von der Menge der verfügbaren Informationen oder Daten(also der Analysetiefe) ab. Alternativ muss die angewandte Strenge Ihre Kunden oder dieBehörde zufriedenstellen – doch alle der oben genannten Faktoren müssen Sie davonüberzeugen, dass Sie genug getan haben.

Falls es zu Problemen kommt und eine Person getötet wird, müssen Sie den Familiengegenübertreten und beweisen, dass Sie alles getan haben, was von Ihnen hätte erwartetwerden können.

Ein empfohlener Plan für die Konformität wäre, die Anforderungen von IEC 61511-1, 10und 12 zu erfüllen. Hierzu gehören auch folgende Unterabschnitte, die in Abbildung 49dargestellt sind:

• Anforderungen an das Systemverhalten beim Erkennen eines Fehlers [13.2]• Hardwarefehlertoleranz [13.3]• Auswahl der Komponenten und Subsysteme [13.4] • Feldgeräte [13.5]• Bediener-, Wartungs- und Kommunikationsschnittstellen zum SIS [13.6]• Anforderungen an den Instandhaltungs- oder Testaufbau [13.7]• SIF-Ausfallwahrscheinlichkeit [13.8]• Anwendungssoftware [13.9]

Wenn diese Abschnitte noch weiter unterteilt werden können, ist dies ebenfalls dargestellt.

Konformität mit IEC 61511-1, 5: Das Management der funktionalen Sicherheit wird inAbschnitt [18] näher erläutert.

PROZESS-SAFEBOOK 1

SIL-Verifizierung

129

IEC

6151

1-1,

11,

12

Kons

truk

tion

und

Engi

neer

ing

des

sich

erhe

itste

ch-

nisc

hen

Syst

ems

IEC

6151

1-1,

11.

2A

llgem

eine

A

nfor

deru

ngen

IEC

6151

1-1,

11.

3A

nfor

deru

ngen

an

das

Syst

emve

rhal

ten

beim

Erk

enne

n ei

nes

Fehl

ers

IEC

6151

1-1,

11.

4A

nfor

deru

ngen

an

die

Har

dwar

efeh

ler-

to

lera

nz

IEC

6151

1-1,

11.

5A

nfor

deru

ngen

hin

sich

t-lic

h de

r Aus

wah

l von

Ko

mpo

nent

en u

nd

Subs

yste

men

IEC

6151

1-1,

11.

5.3

Anf

orde

rung

en

basi

eren

d au

f der

vo

rher

igen

Nut

zung

IEC

6151

1-1,

11.

5.4

Anf

orde

rung

en h

insi

cht-

lich

FPL-

prog

ram

mie

r-ba

rer G

erät

e ba

sier

end

auf d

er v

orhe

rigen

N

utzu

ng

IEC

6151

1-1,

11.

5.5

Anf

orde

rung

en h

insi

cht-

lich

LVL-

prog

ram

mie

r-ba

rer G

erät

e ba

sier

end

auf d

er v

orhe

rigen

N

utzu

ng

IEC

6151

1-1,

11.

5.2

Allg

emei

ne

Anf

orde

rung

en

IEC

6151

1-1,

11.

5.6

Anf

orde

rung

en

hins

icht

lich

FVL-

pro-

gram

mie

rbar

er

Ger

äte

IEC

6151

1-1,

11.

6Fe

ldge

räte

IEC

6151

1-1,

11.

7Be

dien

-, W

artu

ngs-

und

Ko

mm

unik

atio

ns-

schn

ittst

elle

n

IEC

6151

1-1,

11.

8A

nfor

deru

ngen

an

den

Inst

andh

altu

ngs-

od

er T

esta

ufba

u

IEC

6151

1-1,

11.

9SI

F-A

usfa

ll-

wah

rsch

einl

ichk

eit

IEC

6151

1-1,

11

Kons

truk

tion

und

Engi

neer

ing

des

SIS

IEC

6151

1-1,

12

Anf

orde

rung

en a

n di

e A

nwen

dung

s-

soft

war

e

IEC

6151

1-1,

12.

4Pl

anun

g un

d En

twic

klun

g de

r A

nwen

dung

s-so

ftw

are

IEC

6151

1-1,

5Ve

rwal

tung

der

fu

nktio

nale

n Si

cher

heit

IEC

6151

1-1

Anf

orde

rung

en a

n di

e SI

L-Be

urte

ilung

hi

nsic

htlic

h de

r Ko

nfor

mitä

t

Abbildung 49: Plan für Konformität

130

PROZESS-SAFEBOOK 1


13.2. Anforderungen an das Systemverhalten beim Erkennen eines Fehlers (IEC 61511-1, 11.3

Das Systemverhalten beim Erkennen eines Fehlers muss angegeben werden. Dies kannbeispielsweise in der SRS oder der Konstruktionsspezifikation näher erläutert werden.

Im Folgenden sind typische Beispiele für die Art von Parametern angeführt, dieberücksichtigt werden könnten:

1. Alle Ausgangsblöcke stimmen für 1oo2 bei den SPS-Anforderungen und kehrenbeim Erkennen eines Kommunikationsausfalls einer SPS zu 1oo1 zurück.

2. Die Konstruktionsspezifikation gibt an, dass ein fehlersicheres Prinzip angewandtwird. Alle Abschaltelemente des SIS erreichen ein Prinzip für den Übergang ineinen sicheren Zustand beim Auftreten eines Ausfalls.

3. Im Falle eines ESD-Systems wurde eine Funktion zur Deaktivierung für dieAuslösung implementiert.

4. Im Falle des F&G-Systems wurde eine Aktivierung zur Auslösung der Freisetzungeines Löschmittels implementiert. Das Erkennen eines einzelnen gefährlichenFehlers in einer redundanten Konfiguration wird durch eine Alarmbedingungangezeigt. Das F&G-System funktioniert während der zulässigen Reparaturdauerweiterhin sicher und es wurden zusätzliche Maßnahmen zur Risikominderungimplementiert, wie z. B. eine fest verdrahtete von Hand ausgelöste Freisetzungvon Löschmittel.

13.3. Anforderungen für Hardwarefehlertoleranz, IEC 61511-1, 11.4

13.3.1. Konzept

Um die Anforderungen für die Hardwarefehlertoleranz (HFT) zu erfüllen, ist eine quantitativeBeurteilung des Anteils sicherer Ausfälle (SFF – Safe Failure Fraction) und der strukturellenEinschränkungen erforderlich.

13.3.2. Anteil sicherer Ausfälle

Im Kontext der Hardwaresicherheitsintegrität ist der höchste SIL-Level, der für eine Sicher -heitsfunktion beansprucht werden kann, durch die HFT und den SFF der Subsystemebeschränkt, die diese Sicherheitsfunktion ausführen.

Eine Hardwarefehlertoleranz von 1 gibt an, dass die Architektur des Subsystems so konzipiertist, dass ein gefahrbringender Ausfall eines der Subsysteme die Sicherheitsaktion nichtverhindert, d. h. eine Konfiguration von 1oo2 oder 2oo3 würde einer HFT von 1 entsprechen,eine Konfiguration von 1oo3 oder 2oo4 einer HFT von 2.

PROZESS-SAFEBOOK 1

SIL-Verifizierung

131

Hinsichtlich dieser Anforderungen stellt IEC 61508 [19.1] die folgenden Richtlinien zurVerfügung:

• Eine Hardwarefehlertoleranz von N bedeutet, dass N+1 Fehler zum Ausfall derSicherheitsfunktion führen könnten. Beim Bestimmen der Hardwarefehlertoleranzdürfen keine anderen Maßnahmen berücksichtigt werden, die die Auswirkungenvon Fehlern steuern, wie beispielweise Diagnosen.

• Wenn ein Fehler direkt zum Auftreten von mindestens einem Folgefehler führt,gelten diese Fehler als Einzelfehler.

• Beim Bestimmen der Hardwarefehlertoleranz können bestimmte Fehlerausgeschlossen werden, sofern die Wahrscheinlichkeit, dass sie auftreten, imVerhältnis zu den Anforderungen für die Sicherheitsintegrität des Subsystemsäußerst gering ist. Alle Fehlerausschlüsse dieser Art müssen gerechtfertigt unddokumentiert werden.

Es werden die folgenden allgemeinen Beziehungen verwendet.

SFF = Σ (Σ λS + Σ λDD)/(Σ λS + Σ λD) Ref. IEC 61508-2.C.1

Dabei gilt:

λD = λDU + λDD

Für jedes Element in der Sicherheitsfunktion muss der SFF berechnet werden. Mit dem Wertkann anschließend anhand von Tabelle 16 die SIL-Konformität für die Stufe der Hardware -fehlertoleranz bestimmt werden.

13.3.3. Strukturelle Einschränkungen

IEC 61511-1, 11.4.5 ermöglicht die Beurteilung der Hardwarefehlertoleranz mithilfe derAnforderungen von IEC 61508-2, Tabelle 2 und 3.

Innerhalb von IEC 61508 [19.1] sind Subsysteme entweder als Typ A oder Typ B kategorisiert.Wenn die Ausfallmodi richtig definiert sind, das Verhalten bei Fehlerbedingungen vollständigbestimmt werden kann und ausreichende und aussagekräftige Felddaten zur Verfügungstehen, kann im Allgemeinen das Subsystem als Typ A betrachtet werden. Wenn eine dieserBedingungen nicht zutreffen sollte, muss das Subsystem als Typ B eingestuft werden.

Einfache mechanische Geräte wie Ventile werden in der Regel als Typ A eingestuft. Logik-Solver sind normalerweise als Typ B eingestuft, da sie über eine gewisse Prozess-Funktiona -lität verfügen und daher ihr Verhalten unter Fehlerbedingungen eventuell nicht vollständigbestimmt werden kann. Sensoren können abhängig von der Technologie oder Komplexitätdes Geräts entweder als Typ A oder Typ B eingestuft werden.

132

PROZESS-SAFEBOOK 1


Die strukturellen Einschränkungen einer Sicherheitsfunktion sind in Tabelle 16zusammengefasst.

Tabelle 16: Strukturelle Einschränkungen

Hinweis: Eine Hardwarefehlertoleranz von N bedeutet, dass N+1 Fehler zum Ausfall derSicherheitsfunktion führen könnte.

13.3.4. Beispiel

In diesem Beispiel (Abbildung 50) besteht die Sicherheitsfunktion aus zwei Pegelgebern, diein einer 1oo2-Konfiguration arbeiten. Wenn einer der Geber einen hohen Pegel erkennt,deaktiviert die Allen-Bradley-SPS das Magnetventil, wodurch das ESD-Ventil schließen kann.

Für die Beurteilung der strukturellen Eigenschaften müssen Sie zunächst festlegen, vonwelchem Typ (A oder B) die einzelnen Elemente sind. Dies kann in der Regel mithilfe derDefinitionen in Tabelle 16 bestimmt werden. Als allgemeine Regel gilt, dass Sie sicher seinmüssen, welche Ausfallmodi und welches Ausfallverhalten ein Element aufweist. Außerdem

Definition von Subsystemen des Typs A: Ausfallmodi aller Teile ausreichend definiert, Verhalten des Subsystems unter Fehlerbedingungenvollständig bestimmt und ausreichend zuverlässige Daten zu den Erfahrungen im Feld, diezeigen, dass die beanspruchten Ausfallraten für erkannte und unerkannte gefährliche Ausfälleerfüllt werden

Anteil ungefährlicherAusfälle

Hardwarefehlertoleranz (N)

0 1 2

<60 % SIL1 SIL2 SIL3

60 % – <90 % SIL2 SIL3 SIL4

90 % – <99 % SIL3 SIL4 SIL4

≥99 % SIL3 SIL4 SIL4

Definition von Subsystemen des Typs B: Ausfallmodus mindestens einer Komponente ist nicht ausreichend definiert oder das Verhaltendes Subsystems unter Fehlerbedingungen kann nicht vollständig bestimmt werden oder esliegen nicht genügend zuverlässige Daten zur Erfahrung im Feld zur Verfügung, die diebeanspruchten Ausfallraten für erkannte und unerkannte gefährliche Ausfälle unterstützen.

Anteil sicherer Ausfälle Hardwarefehlertoleranz (N)

0 1 2

<60 % Unzulässig SIL1 SIL2

60 % – <90 % SIL1 SIL2 SIL3

90 % – <99 % SIL2 SIL3 SIL4


PROZESS-SAFEBOOK 1

SIL-Verifizierung

133

müssen sehr gute Ausfalldaten zur Verfügung stehen, um das Element als Typ A einzustufen.Anderenfalls muss das Element als Typ B eingestuft werden.

Die vorliegenden Ausfalldaten für die einzelnen Elemente ermöglichen anschließend dieBerechnung des SFF. Elementtyp und SFF sind in Abbildung 50 unter jedem Element inTabellenform aufgelistet.

Die HFT bezieht sich auf die Stufe der Fehlertoleranz für jedes Element. Die Pegelgeber, diein einer 1oo2-Konfiguration arbeiten, verfügen über eine HFT von 1. Alle anderen Elementeweisen keine Fehlertoleranz auf und haben daher eine HFT von 0.

Schließlich kann der SIL-Level, der für die strukturellen Eigenschaften der einzelnen Elementebeansprucht wird, mithilfe dieser Informationen in Tabelle 16 bestimmt werden.

Die Schwimmerschalter sind vom Typ A, weshalb die Kriterien für Typ A gelten. Mit einem SFFvon 0,40 und einer Fehlertoleranz von 1 entsprechen die Pegelgeber den strukturellenEinschränkungen von SIL2.

Auf ähnliche Weise können auch das SOV und das ESD-Ventil beurteilt werden. Das SOV,ebenfalls Typ A, weist eine Fehlertoleranz von 0 und einen SFF von 0,72 auf, was zu SIL2 führt.Das ESD-Ventil, Typ A, mit einer Fehlertoleranz von 0 und einem SFF von 0,25 führt zu SIL1.

TypSFFHFT

Architektur-SILZulässiger SIL (Arch)

Allgemein zulässiger SIL

A0,40

121

SIL1

B0,95

02

A0,72

02

A0,25

01

CCF 5 %

Schwimmer-schalter

Schwimmer-schalter

SPS 1oo1NE

SOV ESD-Ventil


134

PROZESS-SAFEBOOK 1


Abbildung 51: Strukturelle Einschränkungen für Pegelgeber

Die SPS wurde als Gerät des Typs B eingestuft. Dies gilt für die meisten speicherprogrammier -baren Steuerungen, da sie durch die Software gesteuert werden und deshalb ein Elementdarstellen, dessen Ausfallverhalten unsicher ist. Daher wird keine der Bedingungen für Typ Aerfüllt.

Die Beurteilung der SPS muss daher anhand der Anforderungen für Typ B erfolgen(Abbildung 52).

Abbildung 52: Strukturelle Einschränkungen der SPS

Zusammenfassend wird das strukturelle SIL-Niveau für jedes Element in Abbildung 50dargestellt und der SIL-Level, der für die gesamte Sicherheitsfunktion beansprucht werdenkann, ist SIL1. Die strukturelle SIL-Leistung für die gesamte Sicherheitsfunktion wird durchden niedrigsten beanspruchten SIL-Level begrenzt.

Definition von Subsystemen des Typs B: Ausfallmodus mindestens einer Komponente ist nicht ausreichend definiert oder das Verhaltendes Subsystems unter Fehlerbedingungen kann nicht vollständig bestimmt werden oder esliegen nicht genügend zuverlässige Daten zur Erfahrung im Feld zur Verfügung, die diebeanspruchten Ausfallraten für erkannte und unerkannte gefährliche Ausfälle unterstützen.

Anteil sicherer Ausfälle(SSF)


0 1 2

<60 % Unzulässig SIL1 SIL2

60 % – <90 % SIL1 SIL2 SIL3

90 % – <99 % SIL2 (SPS) SIL3 SIL4


Definition von Subsystemen des Typs A: Ausfallmodi aller Teile ausreichend definiert, Verhalten des Subsystems unter Fehlerbedingungenvollständig bestimmt und ausreichend zuverlässige Daten zu den Erfahrungen im Feld, diezeigen, dass die beanspruchten Ausfallraten für erkannte und unerkannte gefährliche Ausfälleerfüllt werden

Anteil ungefährlicherAusfälle (SSF)


0 1 2

<60 % SIL1 (ESD-Wert) SIL2 (LT) SIL3

60 % – <90 % SIL2 (SOV) SIL3 SIL4

90 % – <99 % SIL3 SIL4 SIL4


PROZESS-SAFEBOOK 1

SIL-Verifizierung

135

13.4. Anforderungen für die Auswahl von Komponenten und Subsystemen, IEC 61511-1, 11.5

13.4.1. Konzept

Für Anwendungen im Prozesssektor kann die Auswahl von Komponenten und Subsystemenauf einer Beurteilung der Eignung basieren. Ziel ist es, Anforderungen anzugeben für:

• die Auswahl von Komponenten und Subsystemen• die Qualifikation einer Komponente oder eines Subsystems zur Integration in die

Architektur einer SIF• die Angabe von Akzeptanzkriterien für Komponenten und Subsysteme

13.4.2. Allgemeine Anforderungen, IEC 61511-1, 11.5.2

Diese Vorgehensweise gilt nicht für SIL4-Anwendungen und für alle anderen Komponentenund Subsysteme muss Folgendes beachtet werden:

Die Darstellung der Eignung muss eine SIL-Beurteilung umfassen, die aus der Berechnungder PFD und strukturellen Einschränkungen anhand der Ziele besteht.

Die Darstellung der Eignung muss zudem Überlegungen zur Dokumentation der Hardwareund der integrierten Software der Hersteller umfassen. In der Praxis wird die Dokumentationfür ausgewählte Komponenten und Subsysteme in der Form technischer Spezifikationenbereitgestellt, die Funktionalität und Umweltleistung abdecken. Die FDS muss daher eineAnmerkung enthalten, die die Eignung der ausgewählten Komponenten und Subsystemebasierend auf der vom Hersteller bereitgestellten Spezifikationsdokumentation hinsichtlichder funktionalen Anforderungen umfasst.

Die Komponenten und Subsysteme müssen mit der Spezifikation der sicherheitstechnischenAnforderungen übereinstimmen. In der Praxis werden Komponenten und Subsystemebasierend auf ihrer Fähigkeit ausgewählt, die Sicherheitsanforderungen zu erreichen. DerNachweis der Konformität erfolgt durch eine Beurteilung, wobei die Anforderungenhinsichtlich struktureller Einschränkungen und der PFD weiterhin gelten.

13.4.3. Vor dem Einsatz, IEC 61511-1, 11.5.3

Primär sollte die Komponentenauswahl anhand der Beschaffungsspezifikation genehmigterAnbieter erfolgen.

Die Berücksichtigung des QMS und der Konfigurationsverwaltungssysteme des Herstellerssollten Teil der Beurteilung des Anbieters sein und beim Nachweis der Eignung in der FDSberücksichtigt werden.

136

PROZESS-SAFEBOOK 1


Für alle ausgewählten Komponenten und Subsysteme muss die FDS zudem auf denNachweis einer akkumulierten Verwendung verweisen. Der Nachweis kann auf Folgendembasieren:

• akkumulierte Gerätestunden für SIL1- und Feldgeräte;• akkumulierte Gerätestunden mit der Identifikation gefahrbringender Ausfälle für

SIL2- und komplexe Elemente.

Für SIL3-Logik-Solver-Anwendungen ist eine Zertifizierung erforderlich.

Die erforderliche akkumulierte Verwendung einer Komponente oder eines Subsystemshängt von der Zielausfallrate sowie davon ab, ob Ausfälle gemeldet wurden. Abbildung 53soll lediglich der Orientierung dienen und zeigt die erforderliche Anzahl der akkumuliertenGerätejahre (Anzahl der Geräte x Nutzungsjahre) für verschiedene Werte der Zielausfallrate.

Wenn beispielsweise die Zielausfallrate bei 1,00E-06/Stunden liegt und null Ausfällegemeldet wurden, müssen aus Abbildung 53 etwa 137 Gerätejahre nachgewiesen werden.Dies kann mit 14 Geräten erzielt werden, die 10 Jahre lang ohne Ausfall eingesetzt wurden.Falls Ausfälle bei der Feldpopulation gemeldet wurden, ist die tatsächliche Geräteausfallrate

1,00E-071

10

100

1000

10 000

1 000 000

1,00E-06 1,00E-05 1,00E-04Zielausfallrate (/Stunde)

X

X

X

Erfo

rder

liche

Ger

ätej

ahre

0 Ausfälle1 Ausfall5 Ausfälle10 Ausfälle15 AusfälleX

Abbildung 53: Anleitung zur erforderlichen Verwendung

PROZESS-SAFEBOOK 1

SIL-Verifizierung

137

höher, weshalb mehr ausfallfreie Betriebsstunden erforderlich sind, um dieselbeZielausfallrate zu erreichen.

Die Abbildung basiert auf einer Χ2-Verteilung bei einer Vertrauensgrenze von 70 % und darfdaher lediglich der Orientierung dienen. Außerdem bietet sie einen Anhaltspunkt, wann eineausreichende Anzahl von Gerätejahren akkumuliert wurde.

IEC 61511 erfordert auch die dokumentierte Überwachung von Rückgabedaten und einenÄnderungsprozess des Herstellers, der die Auswirkung der gemeldeten Ausfälle beurteilt.

In der Praxis stehen Ausfalldaten nur selten zur Verfügung, weshalb die Auswahl daher eineBeurteilung der Komponenten und Subsysteme umfassen kann, um sicherzustellen, dassdiese wie erforderlich funktionieren. Diese Beurteilung kann Diskussionen mit anderenBenutzern oder mit Herstellern oder Benutzern ähnlicher Geräte oder Anwendungenerfordern. Ein solcher unterstützender Nachweis muss in der FDS als Teil der Eignung derKomponenten und Subsysteme dokumentiert sein.

13.4.4. FPL-programmierbare Geräte (Fixed Programme Language), IEC 61511-1, 11.5.4

Wenn mit FPL programmierbare Komponenten und Subsysteme (z. B. Feldgeräte) verwendetwerden sollen, müssen für SIL1- und SIL2-Anwendungen die allgemeinen Anforderungen[13.4.2], die Anforderungen vor dem Einsatz [13.4.3] und die folgenden Anforderungen erfülltsein.

Darüber hinaus muss die FDS für jede ausgewählte Komponente die Auswahl von FPL-Komponenten rechtfertigen, indem angegeben wird, dass die Komponente die festgelegtenAnforderungen hinsichtlich der Funktionalität erfüllt:

a) Merkmale der Eingangs- und Ausgangssignale b) Verwendungsmodi c) Verwendete Funktionen und Konfigurationen d) Nicht verwendete Leistungsmerkmale wirken sich aller Wahrscheinlichkeit nach

nicht auf die Sicherheitsfunktionen aus

Für SIL3-Anwendungen muss eine formale Beurteilung ausgeführt werden.

Ein alternatives Konzept, das von einigen Systemintegratoren übernommen wurde, ist dieBeschaffung eines SIL3-geeigneten FPL-Geräts. Diese Geräte sollten bereits einer formalenBeurteilung durch eine entsprechende Organisation unterzogen worden sein und über eineSIL3-Zertifizierung sowie über einen dokumentierten, unterstützenden Nachweis verfügen.

Der Nachweis muss verdeutlichen, dass das Gerät die erforderliche Funktion ausführen kannund dass eine ausreichend geringe Wahrscheinlichkeit eines gefährlichen Ausfalls im Zuge

138

PROZESS-SAFEBOOK 1


zufälliger Hardwareausfälle oder systematischer Hardware- bzw. Softwareausfälle besteht.Für die Geräte muss ein Sicherheitshandbuch bereitgestellt werden, in dem die Betriebs- undWartungseinschränkungen angegeben sind.

13.4.5. LVL-programmierbare Geräte (Limited Variability Language), IEC 61511-1, 11.5.5

Wenn mit LVL programmierbare Komponenten und Subsysteme (z. B. Logik-Solver)verwendet werden sollen, müssen für SIL1- und SIL2-Anwendungen die allgemeinenAnforderungen [13.4.2], die Anforderungen vor dem Einsatz [13.4.3], die Anforderungenfür FPL-programmierbare Geräte [13.4.4] und die folgenden Anforderungen für LVL-programmierbare Komponenten und Subsysteme erfüllt sein.

Die Dokumentation muss eine Rechtfertigung dafür enthalten, wo ein Unterschied zwischendem Betriebsprofil und der physischen Umgebung wie zuvor dargestellt und dem Betriebs -profil und der physischen Umgebung bei Verwendung in der Sicherheitsfunktion besteht. Indiesem Fall muss die FDS diese Unterschiede benennen und nachweisen, dass die PFD nichtbeeinträchtigt wird.

Für SIL1- oder SIL2-Anwendungen kann ein für Sicherheit konfigurierter PE-Logik-Solver(programmierbar elektronisch), also ein allgemeiner industrieller PE-Logik-Solver, der speziellfür die Verwendung in Sicherheitsanwendungen konfiguriert wurde), verwendet werden,sofern dies in der Dokumentation gerechtfertigt wird.

Die vom Hersteller verfügbare Spezifikationsdokumentation muss aufweisen, dassentsprechende Informationen zu Hardware und Software zur Verfügung stehen, umsicherzustellen, dass das Ausfallverhalten klar definiert ist. Dies muss in der FDS bestätigtwerden, indem alle gefährlichen Ausfallmodi und, sofern zutreffend, alle Diagnose- undSchutzmaßnahmen aufgelistet werden. In der FDS müssen auch die Maßnahmen zumSchutz vor unautorisierten oder unbeabsichtigten Änderungen aufgeführt sein.

Für SIL2-Logik-Solver-Anwendungen muss die FDS die Schutztechnik bestätigen, dieFolgendes während der Programmausführung gewährleistet:

a) Überwachung der Programmabfolgeb) Schutz des Codes vor Änderungen oder Ausfallerkennung durch Online-

Überwachungc) Ausfallerklärung oder unterschiedliche Programmierungd) Bereichsüberprüfung von Variablen oder Plausibilitätsprüfung von Wertene) Modulares Konzeptf) Für die integrierte Software wurden angemessene Codierungsnormen

verwendet

PROZESS-SAFEBOOK 1

SIL-Verifizierung

139

Außerdem muss Folgendes nachgewiesen werden:

g) Es wurden Tests in typischen Konfigurationen durchgeführt, wobei die Testfällehinsichtlich der beabsichtigten Betriebsprofile repräsentativ sein müssen

h) Es wurden bewährte und verifizierte Softwaremodule und Komponentenverwendet

i) Das System wurde einer dynamischen Analyse und Tests unterzogenj) Das System verwendet weder künstliche Intelligenz noch eine dynamische

Neukonfigurationk) Es wurden dokumentierte Tests mit eingefügten Fehlern ausgeführt

Für SIL2-Anwendungen muss die FDS die Einschränkungen für Betrieb, Instandhaltung undFehlererkennung definieren und dabei die Konfigurationen des PE-Logik-Solvers und diebeabsichtigten Betriebsprofile abdecken.

Für SIL3-Anwendungen muss die Dokumentation die SIL-Zertifizierung für alle LVL-Logik-Solver angeben.

13.4.6. FVL-programmierbare Geräte (Full Variability Language), IEC 61511-1, 11.5.6

Die Dokumentation muss die SIL-Zertifizierung für alle FVL-Logik-Solver anführen.

13.5. Feldgeräte, IEC 61511-1, 11.6

Für die Auswahl von Feldgeräten müssen die allgemeinen Anforderungen [13.4.2], dieAnforderungen vor dem Einsatz [13.4.3] und die folgenden Anforderungen für Feldgeräteerfüllt sein. Sofern zutreffend, müssen auch die Anforderungen für FPL-programmierbareGeräte erfüllt sein.

Feldgeräte müssen ausgewählt und installiert werden, um Ausfälle zu minimieren, dieaufgrund von Bedingungen, die aus den Prozess- und Umgebungsbedingungen entstehen,zu ungenauen Informationen führen. Zu den Bedingungen, die berücksichtigt werdenmüssen, gehören Korrosion, das Gefrieren von Materialien in Rohrleitungen, schwebendeFeststoffe, Polymerisation, Kochen, Temperatur- und Druckextreme, Kondensation introckenen Impulsleitungen und unzureichende Kondensation in feuchten Impulsleitungen.

Für Feldgeräte muss das Spezifikationsdokument aufweisen, dass die Komponente dieangegebenen Anforderungen hinsichtlich der Funktionalität aller Prozess- und Umgebungs -bedingungen erfüllt, und die FDS muss bestätigen, dass dies der Fall ist. Die FDS mussebenfalls bestätigen, dass alle diskreten Eingangs-/Ausgangsschaltkreise, die für die Aus -lösung aktiviert werden, eine Methode anwenden, mit der die Integrität des Schaltkreisesund der Spannungsversorgung gewährleistet ist, z. B. die Leitungsüberwachung.

140

PROZESS-SAFEBOOK 1


Intelligente Sensoren müssen schreibgeschützt sein, um eine versehentliche Änderung voneinem dezentralen Standort aus zu verhindern, sofern nicht eine entsprechende Sicherheits -überprüfung die Verwendung von Lese-/Schreibvorgängen zulässt.

13.6. Bediener-, Wartungs- und Kommunikationsschnittstellen, IEC 61511-1, 11.7

Für alle Kommunikationsschnittstellen müssen die folgenden Anforderungen erfüllt werden.

Der Aufbau der SIS-Kommunikationsschnittstelle muss sicherstellen, dass ein Ausfall derKommunikationsschnittstelle die Fähigkeit des SIS, den Prozess in einen sicheren Zustandzu bringen, nicht beeinträchtigt. Dies muss in der Konstruktionsdokumentation bestätigtwerden.

In der Dokumentation muss zudem Folgendes bestätigt werden:

a) Die vorhergesagte Fehlerrate des Kommunikationsnetzwerksb) Die Kommunikation mit dem BPCS und den Peripheriegeräten hat keinerlei

Auswirkungen auf die SIFc) Die Kommunikationsschnittstelle ist ausreichend stabil, um elektromagnetischen

Störungen wie Stromstößen standzuhalten, ohne einen gefährlichen Ausfall desSIF zu verursachen

d) Die Kommunikationsschnittstelle eignet sich für die Kommunikation zwischenGeräten, die auf verschiedene elektrische Erdungspotenziale verweisen HINWEIS:Eventuell ist ein alternatives Medium (z. B. Lichtwellenleiter) erforderlich.

13.7. Anforderungen an den Instandhaltungs- oder Testaufbau, IEC 61511-1, 11.8

Der Aufbau des SIS muss so beschaffen sein, dass diese Tests entweder von Anfang bis Endeoder in Teilen ausgeführt werden können. Dabei wird Folgendes berücksichtigt:

• Online-Wiederholungsprüfung – der Testaufbau muss sicherstellen, dassunerkannte Ausfälle ausreichend entdeckt werden können

• Test- und Überbrückungseinrichtungen – ein Bediener muss gewarnt werden,wenn ein Teil des SIS zu Wartungs- oder Testzwecken überbrückt wird

• Das Forcen von Eingängen und Ausgängen ohne das SIS offline zu schalten, darfnur dann zulässig sein, wenn entsprechende Maßnahmen und Schutzvorrichtun -gen implementiert wurden. Bei der Überbrückungsfunktion muss der Bedienergewarnt werden, wenn Eingänge/Ausgänge geforct werden.

13.8. SIF-Ausfallwahrscheinlichkeit, IEC 61511-1, 11.9

Siehe Abschnitt [14].

PROZESS-SAFEBOOK 1

SIL-Verifizierung

141

13.9. Anforderungen für die Anwendungssoftware, IEC 61511-1, 12

In IEC 61511-1, 12 sind die Anforderungen aufgeführt, die für Software gelten, die Teil einesSIS ist oder zum Entwickeln eines SIS verwendet wird. Die Norm definiert die Anforderungenfür den Sicherheitslebenszyklus der Anwendungssoftware, um Folgendes zu gewährleisten:

• Alle erforderlichen Aktivitäten zum Entwickeln der Anwendungssoftware wurdendefiniert

• Die Software-Tools, die zum Entwickeln und Verifizieren der Anwendungssoftwareverwendet werden, z. B. Dienstprogramme, wurden vollständig definiert

• Es wurde ein Plan zum Erreichen der Ziele für die funktionale Sicherheitimplementiert

Die allgemeine Anforderung besteht darin, die anwendbaren Phasen des Sicherheitslebens -zyklus der Software zu berücksichtigen und alle relevanten Informationen zu dokumentieren.Hierzu gehören:

• Spezifikation der sicherheitstechnischen Anforderungen für die Software – ähnlichwie bei den Hardwareanforderungen muss eine Spezifikation definiert werden, inder alle sicherheitstechnischen Anforderungen für die Software eindeutig undstrukturiert aufgeführt sind, wodurch das Konstruktionsteam die Anwendungs -software entsprechend entwickeln kann.

• Planung der Sicherheitsvalidierung für die Software – diese muss im Rahmen einerallgemeinen Planung der SIS-Validierung ausgeführt werden.

• Planung und Entwicklung – die Anwendungssoftware muss so entwickelt werden,dass sie die Anforderungen der Systemkonstruktion hinsichtlich Sicherheitsfunk -tio nen und Sicherheits-Integritätslevel erfüllt, die in der Software-SRS beschriebensind. Es müssen geeignete Sprachen, Programmier- und Support-Tools verwendetwerden, die die Verifizierung, Validierung, Beurteilung und Änderung unterstützen.Die Konstruktion muss modular und strukturiert sein, sodass die Prüffreundlichkeitgegeben ist und sichere Änderungen zulässig sind. Es müssen geeignete Tests derSoftwaremodule ausgeführt werden, um die ordnungsgemäße Funktionalität zugewährleisten. Beachten Sie, dass die Verifizierung für jede Phase des Sicherheits -lebenszyklus der Software ausgeführt werden muss.

• Integration – Sobald die Software getestet und verifiziert wurde, muss sie in dasSIS-Subsystem integriert und erneut getestet werden, um nachzuweisen, dass siedie Anforderungen in der SRS erfüllt, wenn sie auf der Hardware ausgeführt wird.

• Validierung der Softwaresicherheit – diese muss im Rahmen der allgemeinen SIS-Validierung erfolgen (Phase 5).

• Änderung – alle Änderungen der validierten Software müssen auf kontrollierteWeise ausgeführt werden, damit die Softwareintegrität erhalten bleibt.

142

PROZESS-SAFEBOOK 1


14. SIF-Ausfallwahrscheinlichkeit

14.1. Konformität mit der Norm

Bisher wurde festgelegt, dass Maßnahmen für die Zielzuverlässigkeit definiert werdenmüssen, um sicherzustellen, dass das Gesamtrisiko nicht das maximal tolerierbare Risikoüberschreitet.

Außerdem wurde gezeigt, dass die Maßnahme für die Zielzuverlässigkeit in SILs ausgedrücktwerden kann. Um die Konformität mit der Norm zu gewährleisten, wurde nicht nur nachge -wiesen, dass die Sicherheitsfunktion quantitative Ziele erfüllt, sondern auch, dassentsprechende Kontrollen angewandt werden.

Für die Konformität mit der Norm müssen diese Maßnahmen für die Zielzuverlässigkeitabhängig vom anzuwendenden SIL-Level erreicht werden.

14.2. Anforderungen der SIL-Zuverlässigkeit

Die PFD für jeden SIL-Level hängt von der Betriebsart ab, in der ein SIS verwendet werdensoll, und bezieht sich auf seine Anforderungshäufigkeit. Diese Betriebsarten sind in Abschnitt[6.9] definiert und umfassen unter anderem folgende Modi:

Anforderungsbetriebsart – hier wird eine angegebene Aktion als Reaktion aufProzessbedingungen oder andere Anforderungen ausgeführt. Im Falle eines gefährlichenAusfalls des SIF tritt eine mögliche Gefahr nur bei einem Ausfall des Prozesses des BPCS ein.

Betriebsart mit kontinuierlicher Anforderung – wenn im Falle eines gefährlichen Ausfalls desSIF eine mögliche Gefahr ohne einen weiteren Ausfall auftritt, sofern nicht eine Maßnahmezur Verhinderung ergriffen wird.

Abhängig von diesen Kriterien können die in Tabelle 17 aufgelisteten Ziele angewandtwerden.

Tabelle 17: Von SIL angegebene PFD und Ausfallraten

SIL-Level Wahrscheinlichkeit einesgefahrbringenden Ausfallsbei Anforderung

Betriebsart mit kontinuier -licher AnforderungAusfallrate pro Stunde

SIL4 ≥10-5 bis <10-4 ≥10-9 bis <10-8

SIL3 ≥10-4 bis <10-3 ≥10-8 bis <10-7

SIL2 ≥10-3 bis <10-2 ≥10-7 bis <10-6

SIL1 ≥10-2 bis <10-1 ≥10-6 bis <10-5

PROZESS-SAFEBOOK 1

SIF-Ausfallwahrscheinlichkeit

143

14.3. Berechnung der PFD für eine Sicherheitsfunktion in der Anforderungsbetriebsart

Beim Ausführen von Zuverlässigkeitsberechnungen wird davon ausgegangen, dass Ausfällemit der Zeit zufällig und mit einer konstanten Rate auftreten. Wenn es zu einem Ausfallkommt, ist das ausgefallene Element erst wieder verfügbar, wenn der Ausfall erkannt und dasElement repariert wurde.

Beim Berechnen der PFD wird in erster Linie die Wahrscheinlichkeit berechnet, mit der dasSIS nicht verfügbar ist, wenn es angefordert wird. Unter der Voraussetzung, dass ein Kanalausgefallen ist, entspricht bei einem redundanten 1oo2-System die PFD der Wahrscheinlich -keit, dass der zweite Kanal danach ausfällt, während der erste Kanal noch nicht betriebsbereitist.

Beim Berechnen der PFD können die folgenden allgemeinen Beziehungen verwendetwerden. Die verwendeten Gleichungen sind Vereinfachungen der Standardgleichungenund werden in [19.6] abgeleitet.

Für erkannte Ausfälle:

PFD1oo1 = λDD.MDT Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Ref. IEC 61508-6, B.3.2.2.2

Für unerkannte Ausfälle:

PFD1oo1 = λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.1PFD1oo2 = λDU2.Tp2/3 + β.λDU.TP/2 Ref. IEC 61508-6, B.3.2.2.2

Dabei ist λDD die Rate der gefährlichen erkannten Ausfälle, λDU ist die Rate der gefährlichenunerkannten Ausfälle und β ist der Beitrag der Ausfälle infolge gemeinsamer Ursachen, derim Abschnitt [12.17] beschrieben ist. TP ist das Intervall für die Wiederholungsprüfung undMDT die mittlere Ausfalldauer.

Die generischen Formen dieser Gleichungen für verschiedene Konfigurationen werden fürSysteme in der Betriebsart mit kontinuierlicher Anforderung und in der Anforderungsbe -triebs art im Abschnitt [12.9] näher untersucht.

14.4. Ausfallraten

Bei der Berechnung von PFD und SFF verwendet die Analyse die zugrunde liegendeHypothese von IEC 61508-6, Anhang B.3, dass die Ausfallraten der Komponenten über dieLebensdauer des Systems konstant sind.

Die in Berechnungen verwendeten Ausfallraten können durch die FMECA-Analyse ermittelt,durch Felddaten oder durch Verweise auf veröffentlichte Daten aus Industriequellen

144

PROZESS-SAFEBOOK 1


quantifiziert werden. Die verwendeten Ausfallraten müssen mit verfügbaren Daten fürähnliche Module mit derselben Komplexität und Technologie verglichen werden. DiesesKonzept gewährleistet einen konservativen Ansatz hinsichtlich der Zuverlässigkeitsmodel -lierung und sorgt für Vertrauen, dass die berechnete Zuverlässigkeitsleistung während desBetriebs erreicht werden kann.

Ausfallraten und ihre Quellen werden in 14.8 näher erläutert.

14.5. Zuverlässigkeitsmodellierung

In diesem Beispiel aus Abschnitt [6.5] sind der Prozess und die SIF hervorgehoben(Abbildung 54).

Die Berechnung der PFD erfolgt am einfachsten mithilfe der RBD-Technik (Reliability BlockDiagram – Zuverlässigkeitsblockdiagramm). In den RBDs werden die Elemente oderKomponenten aufgezeigt, die für ein zuverlässiges System erforderlich sind. Sie stellenjedoch nicht unbedingt ein physisches Layout oder Verbindungen dar. Die RBD-Model -lierung ist in IEC 61508-6, Anhang B, 4.2, beschrieben.

Druck- sender

Druck-regler

Prozess & BPCS

Sicherheitstechnische Funktion

ESD-Logik

Magnet-ventil



Gasleitungs-einlass


Abschalt-ventil

Druckregler-ventil


PC

SPT

Abbildung 54: Sicherheitstechnische Funktion in der Anforderungsbetriebsart

PROZESS-SAFEBOOK 1


145

Das RBD für das SIS ist in Abbildung 55 dargestellt.

Das RBD zeigt die Berechnung der PFD. Unter jedem Element befinden sich Werte für dieRate erkannter gefährlicher Ausfälle λDD, die Rate unerkannter gefährlicher Ausfälle λDU, diemittlere Ausfalldauer (MDT) und den Zeitraum der Wiederholungsprüfung.

14.6. Beispiel für die Beurteilung des Sicherheits-Integritätslevels für die Änderungeiner Präpolymer-Schleife in der Anforderungsbetriebsart

Im Folgenden ist ein Beispiel für die SIL-Beurteilung der PFD und die strukturellenEigenschaften einer SIF beschrieben.

Aufgabenbereich

Die ESD-Funktion S-005 verhindert eine unkontrollierte Reaktion in 39-R-050 und schütztdadurch vor dem Auslaufen des Reaktors, was Verletzungen der Bediener und Umweltschä -den nach sich ziehen könnte. Im Moment wird die Sicherheitsfunktion S-005 durch dasErkennen hoher Temperaturen oder hoher Drücke im Reaktor ausgelöst und das AblassventilROV0503 wird geöffnet, damit der hohe Druck gesenkt werden kann.

Es ist klar, dass Bedenken bestanden, dass ROV0503 eventuell nicht genügend Kapazität zumAblassen des Drucks bietet, weshalb die ESD-Aktion von S-005 so geändert wurde, dass auchdie Aktivierung eines zusätzlichen Ablassventils ROV0501 berücksichtigt wird.

Darüber hinaus wurden während des Upgrade-Programms zwei Handschalter (ZustimmungHS0900 und Überbrückung HS2004) zu Wartungszwecken integriert.

λDDMTD

Konfigurations-PFD

λDUZeitraum für die Beständigkeitsprüfung

Konfigurations-PFD

PFD (erkannt)PFD (unerkannt)

PFDZulässiger SIL (PFD)

2,64E-0748

1,27E-05

4,00E-088760

1,75E-04

1,77E-042,38E-022,40E-02

SIL1

0,00E+0048

0,00E+00

6,00E-078760

2,63E-03

3,42E-0648

1,64E-04

1,63E-078760

7,14E-04

0,00E+0048

0,00E+00

4,64E-068760

2,03E-02

Druck- sender

ESD-Logik

Magnet-ventil

Abschalt-ventil


146

PROZESS-SAFEBOOK 1


Ziele

Der Kunde verwaltet zahlreiche Sensoren, die Bestandteil des SIS sind, und möchte diesenKostenfaktor natürlich minimieren. Daher hat diese Analyse folgende Ziele:

1. Bestimmen, welche Elemente in einer Analyse der geänderten ESD-Sicherheitsfunktion S-005 berücksichtigt werden sollen

2. Erstellen eines RBD, um die PFD und Architektur von S-005 zu bestimmen3. Vorschlagen einer Philosophie für eine Wiederholungsprüfung (Prüfintervalle für

Sensoren, Handschalter, Logik und Ablassventile), mit der die Ziele (Tabelle 18)erreicht werden können, während die Häufigkeit der Sensorprüfungen minimiertwird

Hinweis: Der Kunde wünscht, dass die Intervalle für die Wiederholungsprüfung für jedesElement maximal 36 Monate betragen sollen. Aus der Engineering-Perspektive ist der Kundemit Teilen des SIS nicht zufrieden, die längere Zeit nicht verwendet wurden.

Zustimmung und Überbrückung

Die beiden Handschalter HS2004 und HS0900 sind der ESD S-005 zugeordnet.

Es ist klar, dass HS0900 zur Steuerung des Katalysators für den Reaktor verwendet wird unddaher, sofern sich der Schalter in der falschen Position befindet oder im falschen Zustandversagt, die Gefahr nicht auftreten kann. HS2004 wird als Auslösungsüberbrückung bei der S-005 verwendet. Wenn HS2004 nach Instandhaltungsarbeiten versehentlich in derÜberbrückungsposition gelassen wird oder im Überbrückungszustand versagt, wird dieSicherheitsfunktion S-005 deaktiviert.

Hardware-Konfiguration

Der Logik-Solver basiert auf einer TMR-Konfiguration (Triple Modular Redundant – Dreifachmodular, redundant) und stimmt für 2 aus 3 (2oo3). Abbildung 56 zeigt ein Schema derHardwarekonfiguration.

PROZESS-SAFEBOOK 1


147

Analysierte Sicherheitsfunktionen

In Tabelle 18 sind die definierten SIL- und PFD-Ziele aufgeführt.

Tabelle 18: Sicherheitsfunktionen für die Analyse

Diagnosedeckungsgrad

Es wird angenommen, dass alle unerkannten Ausfallmodi durch die Wiederholungsprüfung,also durch eine vollständige Ausführung der SIS-Funktion, aufgedeckt werden können.

Mittlere Ausfalldauer

In dieser Analyse muss eine MDT von 72 Stunden zugrunde gelegt werden.

Schleife Initiator ESD-Aktion

Erforderliche Bedingun -gen zur Minderung derGefahr

PFD-Ziel SIL-Bewer -tung

1 Hoher Druck[PT0500H] oderhohe Temperatur[TT0504HH]

Aktiviert S-005

ROV0503 und ROV0501geöffnet

5,56E-03 SIL2

Logik (2oo3)

AI(1oo2)

IS-Sperr-schicht

AI(1oo2)

AI(1oo2)

DI DI DI CPU CPU CPU DO DO DO

ROV0501

ROV0503

S-005Druck- senderPT0500H

Temp.-transmitterPT0500H

Hand-schalter

Hand-schalter

Abbildung 56: Hardwareschema

148

PROZESS-SAFEBOOK 1


Zeitraum für die Wiederholungsprüfung

Die Intervalle für die Wiederholungsprüfung sind so auszuwählen, dass die Ziele erreichtwerden, während das Sensorprüfintervall maximiert wird.

Berücksichtigung von Ausfällen infolge gemeinsamer Ursachen

CCFs sind Ausfälle, die eventuell nur eine Ursache haben, jedoch gleichzeitig mehrere Kanälebetreffen können. Ihre Ursache kann beispielsweise ein systematischer Fehler, ein Fehler inder Konstruktionsspezifikation oder eine externe Belastung wie übermäßige Temperaturensein, der zum Ausfall von Komponenten in beiden redundanten Kanälen führt.

Der Beitrag von CCFs in parallelen redundanten Pfaden wird durch die Einbeziehung eines β-Faktors berücksichtigt. Die CCF-Ausfallrate, die in die Berechnung einbezogen wird,entspricht β x gesamte Ausfallrate einer der redundanten Pfade. Die in der Analyse zuverwendenden β-Faktoren sind in Tabelle 19 zusammengefasst.

Tabelle 19: β-Faktoren

Komponenten vom Typ A

Die folgenden Elemente können als Typ A eingestuft werden:

• IS-Sperrschicht (Isolator des Gebernetzteils, PB0500)• Temperaturtransmitter (TT0504)• Handschalter (HS0900, HS2004)• Ablassventil für die Präpolymerisation

RedundanteKonfiguration

β-Faktor Rechtfertigung

Sensor PT0500,TT0504

3 % Da die Sensoren eine andere Technologie aufweisen, dieandere Regelgrößen messen, ist die Wahrscheinlichkeit fürAusfälle infolge gemeinsamer Ursachen auf den Prozessselbst, den Mechanismus zum Befestigen der Sensoren sowiedie Kabelführung und Trennung der Sensoranschlüssebeschränkt. Der Wert von 3 % muss daher als entsprechendkonservativ beurteilt werden.

SPS-TMR-Logik 5 % Ausfälle infolge gemeinsamer Ursache sind in einerredundanten TMR-Konfiguration jedoch selten, weshalb einWert von 5 % verwendet wurde, um einen konservativenAnsatz aufrechtzuerhalten.

PROZESS-SAFEBOOK 1


149

Komponenten vom Typ B

Die folgenden Elemente können als Typ B eingestuft werden:

• SPS-Logikmodule• Druckgeber (PT0500).

Ausfallraten der Komponenten

Bei der Analyse muss von konstanten Ausfallraten ausgegangen werden, da erwartet wird,dass die Auswirkungen früherer Ausfälle durch entsprechende Prozesse eliminiert werden.Diese Prozesse umfassen die Verwendung ausgereifter Produkte von bewährten Quellen,unternehmensinterne Tests vor der Auslieferung und erweiterte Betriebs- und Funktionsprü -fun gen im Rahmen der Installation und Inbetriebnahme. Feldrückgabedaten zu ähnlichenProjekten sagen aus, dass Ausfälle in der frühen Lebensphase nicht zu einer signifikantenAnzahl von Rückgaben führen, weshalb die implementierten Techniken als ausreichenderachtet werden können.

Außerdem wird davon ausgegangen, dass Komponenten nicht über ihre betriebsgewöhn -liche Nutzungsdauer hinaus eingesetzt werden, um sicherzustellen, dass Ausfälle nichtaufgrund von Verschleißmechanismen auftreten. Die Ausfallraten (in Ausfällen/Stunde),die bei der Berechnung der PFD im Modell verwendet werden können, λDD und λDU, sindin Tabelle 20 zusammengefasst. Die Ausfallraten stammen dabei aus unterschiedlichenQuellen.

150

PROZESS-SAFEBOOK 1


Tabelle 20: Ausfallraten (/Stunde) und Berechnung des SFF

Element-Ref/Tag

Beschreibung λ λD λDU λDD λS SFF

Eingangsgeräte

PT 0500 Druckgeber (IS) 1,5E-06 1,4E-06 6,0E-07 7,5E-07 1,5E-07 0,60

PT 0501 Druckgeber (IS) 1,5E-06 1,4E-06 6,0E-07 7,5E-07 1,5E-07 0,60

PB 0500 Sperrschicht – für PT oben(Nicht-IS)

2,1E-07 6,3E-08 6,3E-08 0,0E+00 1,5E-07 0,70

PB 0501 Sperrschicht – für PT oben(Nicht-IS)

2,1E-07 6,3E-08 6,3E-08 0,0E+00 1,5E-07 0,70

FT 0041 Coriolis-Durchfluss-Messgerät

2,6E-06 2,2E-06 9,0E-07 1,3E-06 4,0E-07 0,65

TT 0504 3-adriger Widerstands -tempera turfühler mit amKopf montiertem Geber

2,0E-06 1,4E-06 4,0E-07 1,0E-06 6,0E-07 0,80

HS 2004 Überbrückungsschalter 2,00E-06 8,00E-07 8,00E-07 0,00E+00 1,20E-06 0,60

HS0900 Zustimmschalter 2,00E-06 8,00E-07 8,00E-07 0,00E+00 1,20E-06 0,60

Logikgeräte

CPU CPU 1,51E-06 5,16E-07 6,42E-09 5,09E-07 9,91E-07 1,00

32-Punkt-DI-Modul

32-Punkt-Digitaleingangsmodul

2,19E-08 1,09E-08 9,91E-11 1,08E-08 1,09E-08 0,99

32-Punkt-AI-Modul

32-Punkt-Analogeingangsmodul

1,40E-08 7,00E-09 9,86E-11 6,90E-09 7,00E-09 0,99

16-Punkt-DO-Modul

16-Punkt-Digitalausgangsmodul

2,95E-08 1,47E-08 9,93E-11 1,46E-08 1,47E-08 0,99

Ausgangsgeräte

39-PM-050 Pumpenbetriebsstatusvon Schütz- und Relais-Schließerkontakt

3,0E-07 2,0E-07 1,95E-07 0,00E+00 1,05E-07 0,35

ROV 0501 AOV- (FO-) Ausgabewerteinschließlich SOV

5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734


5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734

ROV 0404 AOV (FC) einschließlichSOV

9,72E-06 3,03E-06 3,03E-06 0,00E+00 6,69E-06 0,688


5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734


5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734

PROZESS-SAFEBOOK 1


151

Eine mögliche Lösung

Ziel dieser Analyse:

1. Bestimmen, welche Elemente in einer Analyse der geänderten ESD-Sicherheitsfunktion S-005 berücksichtigt werden sollen

2. Erstellen eines RBD, um die PFD und Architektur von S-005 zu bestimmen3. Vorschlagen einer Philosophie für eine Wiederholungsprüfung (Prüfintervalle für

Sensoren, Handschalter, Logik und Ablassventile), mit der die Ziele (Tabelle 18)erreicht werden können, während die Häufigkeit der Sensorprüfungen minimiertwird

Das in Abbildung 57 dargestellte RBD zeigt die Elemente, die im Rahmen der Sicherheits -funktion erforderlich sind. Es ist nicht erforderlich, HS0900 bei der Beurteilung der Sicher -heitsfunktion zu berücksichtigen, da der Ausfall dieses Handschalters den ordnungsgemä -ßen Betrieb der Sicherheitsfunktion nicht verhindern kann. Wenn HS0900 ausfällt oder in derfalschen Position gelassen wird, kann die Gefahr nicht auftreten.

HS2004 muss berücksichtigt werden, weil die Sicherheitsfunktion S-005 deaktiviert wird,wenn er nach Instandhaltungsarbeiten versehentlich in der Überbrückungsposition gelassenwird oder im Überbrückungszustand ausfällt.

Für die Berechnung der PFD muss die Einstellung der Intervalle für die Wiederholungsprü -fung (Tp) beurteilt werden. Die Anforderung war, das Intervall auf bis zu 3 Jahre zu maxi -mieren, während die Ziel-PFD erreicht wird. Es gibt viele potenzielle Lösungen, die in derPraxis mit dem Kunden erörtert werden müssten. Eine mögliche Philosophie für dieWiederholungsprüfung ist in Tabelle 21 aufgeführt.

Tabelle 21: Mögliche Intervalle für die Wiederholungsprüfung

Diese Intervalle für die Wiederholungsprüfung bieten eine berechnete PFD von 4,91E-03,wobei das Ziel bei 5,56E-03 liegt, und die PFD sowie die strukturellen Eigenschaften erfüllenjeweils die Bewertung von SIL2.

Zeitraum für Wiederholungsprüfung (Sensoren) 24 Monate 17 520 Stunden

Zeitraum für Wiederholungsprüfung (Handschalter) 6 Monate 4380 Stunden

Zeitraum für Wiederholungsprüfung (Logik) 36 Monate 26 280 Stunden

Zeitraum für Wiederholungsprüfung (Ventile) 3 Monate 2190 Stunden

152

PROZESS-SAFEBOOK 1


6-Pu

nkt-

DO

-M

odul

32-P

unkt

-DI-

Mod

ul

32-P

unkt

-DI-

Mod

ulCC

FH

S 20

04

6-Pu

nkt-

DO

-M

odul

CCF

CPU

CPU

CPU

32-P

unkt

-DI-

Mod

ul16

-Pun

kt-D

O-

Mod

ul32

-Pun

kt-A

I-M

odul

32-P

unkt

-AI-

Mod

ul

32-P

unkt

-AI-

Mod

ulTT

050

4

PT 0

500

Verz

wei

gung

A

Verz

wei

gung

B

PB 0

500

CCF-

Beitr

ag3

%5

%M

enge

11

11

11

11

Konfi

gura

tion

1oo2

2oo3

λDD

[Ver

zwei

gung

A]

7,50

E-07

0,00

E+00

2,25

E-08

0,00

E+00

6,90

E-09

5,09

E-07

1,08

E-08

1,46

E-08

2,71

E-08

λDD

[Ver

zwei

gung

B]

1,00

E-06

0,00

E+00

λDD

für V

erzw

eigu

ng2,

25E-

080,

00E+

005,

42E-

072,

71E-

08M

DT

7272

7272

72Ko

nfigu

ratio

n P

FD3,

89E-

091,

62E-

060,

00E+

004,

56E-

091,

95E-

06

λDU

[Ver

zwei

gung

A]

6,00

E-07

6,30

E-08

1,99

E-08

8,00

E-07

9,86

E-11

6,42

E-09

9,91

E-11

9,93

E-11

3,36

E-10

λDU

[Ver

zwei

gung

B]

4,00

E-07

0,00

E+00

λDU

für V

erzw

eigu

ng1,

99E-

088,

00E-

076,

72E-

093,

36E-

10Ze

itrau

m fü

r Bes

tänd

igke

itspr

üfun

g, T

17 5

2017

520

4380

26 2

8026

280

Konfi

gura

tion

PFD

2,71

E-05

1,74

E-04

1,75

E-03

3,11

E-08

4,41

E-06

PFD

(erk

annt

)3,

58E-

06PF

D (u

nerk

annt

)4,

91E-

03

PFD

4,92

E-03

Zulä

ssig

er S

IL (P

FD)

2

Typ

BA

AB

BB

SFF

0,60

0,70

0,60

>99

>99

>99

Redu

ndan

z1

00

11

1A

rchi

tekt

ur-S

IL2

22

33

3Zu

läss

iger

SIL

(Arc

h)2

Abbildung 57: Lösungs-RBD

PROZESS-SAFEBOOK 1


153

14.7. Nachverfolgbarkeit von Daten zur Ausfallrate

Beim Ausführen von PFD-Berechnungen müssen alle Berechnungen transparent undalle verwendeten Daten bis zur Quelle nachverfolgbar sein. Microsoft Excel ist dabei einnützliches Tool, da es beide Anforderungen erfüllen kann und zudem die Entwicklung einergrafischen Darstellung des Zuverlässigkeitsmodells ermöglicht (siehe Abbildung 57).

Die Kalkulationstabelle ermöglicht den Verweis jeder Datenzelle auf eine Datentafel, in deralle zusammengestellten Daten zu Ausfallraten und die entsprechenden Datenquellendargestellt werden können. Eine Beispieldatentabelle ist in Tabelle 22 dargestellt. Es istwichtig, dass der Verweis auf die Datenquelle ausführlich genug angegeben wird, damitjeder die verwendeten Werte überprüfen und bestätigen kann.

Wenn ein Excel-Format verwendet wird, können auch der Komponententyp und dieangenommene MDT sowie der in der Berechnung verwendete Zeitraum der Wiederholungs -prüfung komfortabel angegeben werden. Dies ermöglicht die einfache Änderung desIntervalls für die Wiederholungsprüfung und die automatische Berechnung der Auswirkungauf die PFD.

Tabelle 22: Typische Datentafel

Artikel/Teilenum -mer

λ λD λDD λDU λS Typ SFF MDT Tp Daten -quelle

PT0500 1,35E-06

8,18E-07

7,50E-07

6,80E-08

5,27E-07

B 0,95 4380 4380 exida[14.8.2]

SIL3-Logik-Solver

5,57E-06

2,23E-06

2,21E-06

2,20E-08

3,34E-06

B 1,00 168 4380 Sintef[14.8.8]

Analogein -gangsmodul

1,07E-06

5,34E-07

5,08E-07

2,60E-08

5,34E-07

B 0,98 168 4380 Sintef[14.8.8]

DiskretesAusgangs -modul

5,26E-07

2,63E-07

2,50E-07

1,30E-08

2,63E-07

B 0,98 168 4380 Sintef[14.8.8]

12-Zoll-HIPPS-Ventil

5,29E-06

2,12E-06

0,00E+00

2,12E-06

3,17E-06

A 0,60 730 4380 Oreda2002[14.8.6]

154

PROZESS-SAFEBOOK 1


14.8. Quellen der Daten zur Ausfallrate

14.8.1. Konzept

Daten zur Ausfallrate dürfen nur aus geeigneten Quellen abgerufen werden und dies hängtvon der Anwendung ab. Im Folgenden sind Datenquellen aufgeführt, die verwendet wurdenund für den Prozesssektor geeignet sind.

14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3rd Edition Volume 1 –Sensors, ISBN 978-0-9727234-3-5/Volume 2 – Logic Solvers and Interface Modules, ISBN 978-0-9727234-4-2/Volume 3 – Final Elements, ISBN 978-0-9727234-5-9

14.8.3. Handbook of Reliability Data for Electronic Components used in TelecommunicationsSystems, HRD-5.

14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 May 1992

14.8.5. IEEE-Norm 500-1984. Guide to the Collection and Presentation of Electrical, Electronic,Sensing Component, and Mechanical Equipment Reliability Data.

14.8.6. OREDA, The Offshore Reliability Data Handbook 4th Edition 2002 ISBN 82-14-02705-5

14.8.7. Parloc 2001: 5th Edition, The Institute of Petroleum, published by the Energy InstituteISBN 0 85293 404 1.

14.8.8. Reliability Data for Control and Safety Systems, 2006 Edition, PDS Data Handbook,SINTEF, ISBN 82-14-03898-7.

14.8.9. Reliability Technology, AE Green and AJ Bourne, Wiley, ISBN 0-471-32480-9.

PROZESS-SAFEBOOK 1

Montage, Inbetriebnahme und Validierung

155

15. Montage, Inbetriebnahme und Validierung



Ziele der in IEC 61511-1, 14 und 15, definierten Phasen:

• Installation des SIS gemäß den Spezifikationen und der Dokumentation [15.2]• Inbetriebnahme des SIS, sodass es für die endgültige Systemvalidierung bereit ist

[15.3];• Überprüfung, ob das installierte und in Betrieb genommene SIS die in der SRS

definierten Anforderungen erfüllt [15.4]

Man

agem

ent u

nd B

eurt

eilu

ng d

er fu

nktio

nale

nSi

cher

heit

und

Aud

its

10

Auf

bau

und

Plan

ung

des

Sich

erhe

itsle

bens

zykl

us

11

Verifi

katio

n


1



2





Modifikation7

Außerbetriebnahme8


156

PROZESS-SAFEBOOK 1


15.2. SIF-Installation

Die Anforderungen für die Installation müssen im Installations- und Inbetriebnahmeplandefiniert oder in den allgemeinen Projektplan integriert werden. In den Installationsverfah -ren sollten die auszuführenden Aktivitäten, die zu verwendenden Techniken und Maßnah -men, die verantwortlichen Personen, Abteilungen oder Organisationen und das Timing derInstallationsaktivitäten definiert sein.

15.3. Inbetriebnahme der SIF

Das SIS muss in Übereinstimmung mit der Planung und den Verfahrensvorschriften inBetrieb genommen werden. Es müssen Datensätze erstellt werden, in denen neben denTestergebnissen auch angegeben ist, ob die während der Konstruktionsphase definiertenAkzeptanzkriterien erfüllt wurden. Ausfälle müssen überprüft und protokolliert werden.Sofern festgelegt ist, dass die tatsächliche Installation nicht mit den Konstruktionsdatenübereinstimmt, müssen die Abweichungen überprüft und die Auswirkungen auf dieSicherheit bestimmt werden.

15.4. SIF-Validierung

Die Validierungsverfahren müssen alle Betriebsarten des Prozesses und die zugeordnetenEinrichtungen umfassen sowie Folgendes berücksichtigen:

• Inbetriebnahme, normaler Betrieb, Abschaltung• Manueller oder automatischer Betrieb• Instandhaltungsmodi, Überbrückungsanforderungen• Timing• Rollen und Verantwortlichkeiten• Kalibrierungsverfahren

Außerdem muss die Validierung der Anwendungssoftware Folgendes umfassen:

• Identifikation der Software für jede Betriebsart• Zu verwendendes Validierungsverfahren• Zu verwendende Tools und Einrichtungen• Akzeptanzkriterien

Bei der Validierung muss sichergestellt werden, dass das SIS in allen Betriebsartenordnungsgemäß funktioniert und nicht durch die Interaktion des BPCS und andererangeschlossener Systeme beeinträchtigt wird. Mit der Leistungsvalidierung musssichergestellt werden, dass alle redundanten Kanäle, Überbrückungsfunktionen,Inbetriebnahmeüberbrückungen und manuellen Abschaltsysteme ordnungsgemäßarbeiten.

PROZESS-SAFEBOOK 1

Montage, Inbetriebnahme und Validierung

157

Der definierte (oder sichere) Zustand muss im Falle eines Energieausfalls (z. B. Spannungs -ausfall, Ausfall der Hydraulikleistung oder Betriebsluft) erreicht werden. Die in der SRSdefinierten Funktionen der Diagnosealarme müssen ordnungsgemäß ausgeführt werdenund wie für ungültige Regelgrößen definiert arbeiten, z. B. bei Eingaben, die außerhalb desgültigen Bereichs liegen. Nach der Validierung müssen die entsprechenden Datensätzeerstellt und das zu prüfende Element, die Prüfeinrichtung, die Testdokumente undTestergebnisse einschließlich aller Abweichungen identifiziert werden. Darüber hinausmüssen Analysen oder Änderungsanforderungen folgen.

158

PROZESS-SAFEBOOK 1


16. Betrieb und Instandhaltung



Ziele dieser Phase, die in IEC 61511-1, 16.1 definiert sind:

• Sicherstellen, dass der erforderliche SIL-Level jeder SIF während des Betriebs undder Instandhaltung aufrechterhalten wird [16.2]

• Bedienen und Warten des SIS, sodass die vorgesehene funktionale Sicherheitaufrechterhalten wird [16.3]

16.2. SIF-Betrieb und -Instandhaltung (O&M)

Die Anforderungen für O&M (Operation and Maintenance – Betrieb und Instandhaltung)müssen im O&M-Plan definiert sein oder in den allgemeinen Projektplan integriert werden.

Man

agem

ent u

nd B

eurt

eilu

ng d

er fu

nktio

nale

nSi

cher

heit

und

Aud

its

10

Auf

bau

und

Plan

ung

des

Sich

erhe

itsle

bens

zykl

us

11

Verifi

katio

n


1



2





Modifikation7

Außerbetriebnahme8


PROZESS-SAFEBOOK 1

Betrieb und Instandhaltung

159

O&M-Verfahren müssen den Routinebetrieb definieren, der ausgeführt werden muss, um diefunktionale Sicherheit des SIS aufrechtzuerhalten. Dieser Betrieb muss Anforderungen fürFolgendes umfassen:

• Wiederholungsprüfung• Überbrückung einer SIF zu Test- oder Reparaturzwecken• Routinemäßige Zusammenstellung von Daten: z. B. Ergebnisse der Prüfungen und

Tests des SIS, Aufzeichnungen der SIF-Anforderungen, Ausfälle sowie Ausfallzeitenaufgrund von Reparaturarbeiten oder Wiederholungsprüfungen.

Verfahren für Wiederholungsprüfungen müssen entwickelt werden, damit jede SIF sogetestet wird, dass gefahrbringende Ausfälle, die durch Diagnosen unentdeckt bleiben,aufgedeckt werden [16.4].

Die Instandhaltungsverfahren sind erforderlich für Fehlerdiagnosen, Reparaturen, dieerneute Validierung von Systemen nach Reparaturarbeiten, Aktionen, die nach Abweichun -gen des tatsächlichen Verhaltens vom erwarteten Verhalten ausgeführt werden, für dieKalibrierung und Instandhaltung von Prüfeinrichtungen und für die Erstellung vonInstandhaltungsberichten.

Berichterstellungsverfahren sind erforderlich, wenn die Berichtsfunktion ausfällt, wennsystematische Ausfälle und Ausfälle infolge gemeinsamer Ursachen analysiert werdenmüssen, und wenn die Instandhaltungsleistung verfolgt werden muss.

16.3. O&M-Schulung

Die Schulung der O&M-Mitarbeiter muss geplant und in guten Zeiten ausgeführt werden,damit das SIS in Übereinstimmung mit der SRS betrieben und instand gehalten werden kann.Die Schulung sollte Folgendes umfassen:

• Gefahren• Auslösungspunkte• Auszuführende Aktionen• Betrieb aller Überbrückungen und alle Einschränkungen hinsichtlich deren

Verwendung• Manuelle Bedienung, z. B. Inbetriebnahme, Abschaltung und alle Einschränkungen

hinsichtlich deren Verwendung• Betrieb der verfügbaren Alarme und Diagnosen

16.4. Wiederholungsprüfung

Die Verfahren für die Wiederholungsprüfung sollten die Überprüfung der gesamten SIFumfassen – vom Sensorelement bis zum endgültig aktivierten Gerät. Es muss dasselbe

160

PROZESS-SAFEBOOK 1


Prüfintervall wie bei der Quantifizierung der PFD [14] verwendet werden.

Unter folgenden Bedingungen ist es zulässig, verschiedene Elemente der SIF inunterschiedlichen Intervallen zu testen:

• Die berechnete PFD ist noch immer akzeptabel• Es gibt Überlappungen im Test, sodass kein Teil der SIF ungetestet bleibt.

PROZESS-SAFEBOOK 1

Änderung und Außerbetriebnahme

161

17. Änderung und Außerbetriebnahme


In Abbildung 60 sind die Phasen des anzuwendenden Lebenszyklus dargestellt.

Die Ziele dieser Phase, wie in IEC 61511-1, 17.1 und 18.1, definiert, sollen Folgendessicherstellen:

• Alle Änderungen an den SIFs wurden vor der Ausführung sorgfältig geplant,überprüft und genehmigt [17.2]

• Die erforderliche Sicherheitsintegrität bleibt nach allen eventuell durchgeführtenÄnderungen erhalten [17.3]

• Vor der Außerbetriebnahme findet eine ordnungsgemäße Überprüfung statt undes wird eine Genehmigung eingeholt, um sicherzustellen, dass die Sicherheitsinte -gri tät während der Außerbetriebnahme aufrechterhalten bleibt [17.4]

Man

agem

ent u

nd B

eurt

eilu

ng d

er fu

nktio

nale

nSi

cher

heit

und

Aud

its

10

Auf

bau

und

Plan

ung

des

Sich

erhe

itsle

bens

zykl

us

11

Verifi

katio

n


1



2





Modifikation7

Außerbetriebnahme8

Abbildung 60: Lebenszyklusphase 7 & 8

162

PROZESS-SAFEBOOK 1


17.2. SIF-Änderung

Vor dem Ausführen von Änderungen müssen Verfahren zur Genehmigung und Kontrolleder Änderungen definiert werden. Typischerweise erfolgt dies über einen Hinweis zurÄnderungsanforderung (CRN – Change Request Note), der in der Regel Teil eines QMS ist.

Alle Änderungsanforderungen sollten die erforderliche Änderung beschreiben und dieGründe für die Anforderung anführen. Sie können von den O&M-Mitarbeitern aufgrund vonVorfällen während des Betriebs oder der Instandhaltung eingereicht werden. Der üblicheGenehmigungsprozess für Änderungsanforderungen sollte verschiedene Abteilungeninnerhalb einer Organisation durchlaufen, um die Auswirkungen der Änderung auf dieKonstruktion, die installierte Basis und die erforderliche Implementierung zu bestimmen.

Sobald in einer Organisation funktionale Sicherheit erforderlich ist, müssen alle Ände -rungsanforderungen zusätzlich von einer kompetenten Person (z. B. der Sicherheitsinstanz)überprüft werden, um zu bestimmen, ob die Änderung die Sicherheit betreffen könnte. Fallsdies der Fall ist, muss eine entsprechende Einflussanalyse ausgeführt werden.

17.3. Einflussanalyse

Die Ergebnisse der Analyse erfordern eventuell die erneute Überprüfung der frühen Phasendes Lebenszyklus. Beispielsweise kann es erforderlich sein, erkannte Gefahren und Risiko -beurteilungen zu überprüfen. Die Änderungsaktivitäten können erst beginnen, wenn dieserProzess abgeschlossen und die Sicherheitsinstanz die Änderung genehmigt hat.

Die Auswirkung der Änderungen auf die SIF können in der Folge weitere Auswirkungen aufdie O&M-Mitarbeiter haben, sodass eventuell zusätzliche Schulungen erforderlich sind.

17.4. Außerbetriebnahme der SIF

Die Außerbetriebnahme sollte eine geplante Aktivität im Rahmen der Lebenszyklusphase 11sein und kann als Änderung am Ende des Projektlebenszyklus implementiert werden.

Zu Beginn der Außerbetriebnahmephase muss eine Einflussanalyse eingeleitet werden, umdie Auswirkungen der Außerbetriebnahme auf die funktionale Sicherheit zu bestimmen. DieAnalyse muss die Überprüfung der Gefahrenidentifikation und der Risikobeurteilung umfas -sen, wobei vor allem die Gefahren überprüft werden müssen, die in Folge der Außerbetrieb -nahmeaktivitäten auftreten können.

PROZESS-SAFEBOOK 1

Management, Beurteilung und Prüfung

163

18. Management der funktionalen Sicherheit und Beurteilung sowieÜberprüfung der funktionalen Sicherheit



Das Ziel dieser Phase, wie in IEC 61511-1, 5 definiert, ist die Bestimmung der Verwaltungs -aktivitäten und der Dokumentation, die erforderlich ist, damit die jeweiligen Verantwort -lichen sich angemessen um die entsprechenden Lebenszyklusphasen kümmern können.

In der Norm sind allgemeine Anforderungen für die Verwaltung und Dokumentationaufgeführt, damit sich die jeweiligen Verantwortlichen angemessen um die entsprechendenLebenszyklusphasen kümmern können.

Man

agem

ent u

nd B

eurt

eilu

ng d

er fu

nktio

nale

nSi

cher

heit

und

Aud

its

10

Auf

bau

und

Plan

ung

des

Sich

erhe

itsle

bens

zykl

us

11

Verifi

katio

n


1



2





Modifikation7

Außerbetriebnahme8

Abbildung 61: Lebenszyklusphase 10 & 11

164

PROZESS-SAFEBOOK 1


Dies bedeutet, dass die Projektdokumentation ausreichend Informationen für jede abge -schlossene Phase des Lebenszyklus und für die effiziente Ausführung der Verifizierungs -aktivitäten enthalten muss.

Um Konformität mit der Norm zu erreichen, muss Folgendes festgelegt werden:

• Verantwortlichkeiten beim Management der funktionalen Sicherheit• Durch die Verantwortlichen auszuführende Aktivitäten

Die Konformität mit den Anforderungen kann erreicht werden, indem Verfahren für dieeinzelnen Anforderungen definiert und diese Verfahren implementiert werden. Außerdemist sicherzustellen, dass genügend Informationen verfügbar sind, um das effizienteManagement der funktionalen Sicherheit zu gewährleisten.

18.2. Management der funktionalen Sicherheit

Die Anforderungen hinsichtlich des Managements der funktionalen Sicherheit sind inTabelle 23 zusammengefasst.

Die meisten Anforderungen werden eventuell bereits durch das Qualitäts-Management-System (QMS) einer Organisation abgedeckt. In den folgenden Abschnitten sind einigeBereiche beschrieben, die in der Regel beachtet werden müssen.

Anforderung an das Management derfunktionalen Sicherheit

Beschreibung

Allgemeine Anforderungen, IEC 61511-1,5.2.1Zusammen mit den Kommunikationsmöglich -keiten innerhalb der Organisation müssen eineRichtlinie und eine Strategie angegebenwerden.

Richtlinie und KommunikationEs muss eine Richtlinie für funktionale Sicherheit definiertsein, die innerhalb der Organisation kommuniziert werdenmuss. Der Inhalt der Richtlinie sollte nach Möglichkeit bestimmteZiele der funktionalen Sicherheit zusammen mit den Mög -lichkeiten der Evaluierung umfassen, ob diese Ziele erreichtwurden. Zudem sollte die Kommunikationsmethodeinnerhalb der Organisation definiert sein.

Ein Managementsystem für die funktionaleSicherheit muss vorhanden sein, um sicherzu -stellen, dass das SIS in der Lage ist, den Prozessin einen sicheren Zustand zu bringen und zuverwalten.

Ein Dokument zum Management der funktionalen Sicherheitauf hoher Ebene muss verfügbar sein, in dem alle Lebens -zyklusphasen im Aufgabenbereich identifiziert werden. DasManagementdokument muss auf die erforderlichen Ver -fahren verweisen, die für alle sicherheitsrelevantenAktivitäten erforderlich sind.Es müssen Verfahren festgelegt sein, die alle Verwaltungs-und technischen Aktivitäten angeben, die für das Projektausgeführt werden sollen. Die Verfahren müssen die zuerstellenden Dokumente definieren. Projekte müssen mithilfe eines Qualitäts- und Sicherheits -plans kontrolliert werden, in dem die auszuführendenAktivitäten, die Kontrollmaßnahmen und die Bedingungenzur Freigabe nach Abschluss festgelegt sind.

PROZESS-SAFEBOOK 1


165


Beschreibung

Organisation und Ressourcen, IEC 61511-1,5.2.2Personen, Abteilungen, Organisationen oderandere Einheiten, die für die Ausführung undÜberprüfung der einzelnen Sicherheitslebens -zyklen verantwortlich sind, müssen festgelegtund über die Verantwortlichkeiten informiertwerden, die ihnen zugewiesen wurden (hierzuzählen, sofern relevant, Lizenzierungsstellenoder Sicherheitskontrollorgane).

Rollen und VerantwortlichkeitenAlle Personen, Abteilungen und Organisationen, die für dieAusführung und Überprüfung sicherheitsrelevanter Aktivi -täten verantwortlich sind, müssen festgelegt und ihreVerantwortlichkeiten klar definiert werden.Typischerweise könnte dies innerhalb einer Organisationdurch veröffentliche Organisationsdiagramme erreichtwerden, in denen Personen und ihre Rollen aufgeführt sind.In Aufgabenbeschreibungen würden dann die Verantwort -lichkeiten für die einzelnen Rollen festgelegt.

Personen, Abteilungen oder Organisationen,die in Aktivitäten des Sicherheitslebenszyklusinvolviert sind, müssen eine ausreichendeKompetenz für die Ausführung der Aktivitätenaufweisen, für die sie verantwortlich sind.

KompetenzDie Kompetenz aller oben aufgeführten verantwortlichenPersonen muss dokumentiert sein.Es müssen Verfahren festgelegt sein, um sicherzustellen, dassdie verantwortlichen Personen über die entsprechende Kom -petenz für die ihnen zugewiesenen Aktivitäten verfügen. DasVerfahren muss eine Überprüfung und Beurteilung derKompetenz- und Schulungsanforderungen umfassen. Bei der Dokumentation der Kompetenz muss Folgendesberücksichtigt werden: a) Engineering-Know-how (dies gilt für den Prozess, die

Technologie, die Neuheit und Komplexität der Anwen -dung, der Sensoren und der endgültigen Elemente)

b) Ausreichende Management- und Führungsqualitäten fürdie Rolle im Sicherheitslebenszyklus

c) Grundlegendes Verständnis der möglichen Konsequenzeines Ereignisses, der Sicherheitsintegrität der SIFs, desSicherheits-Engineerings und der rechtlichen Anforde -rungen sowie der Anforderungen hinsichtlich derSicherheitsvorschriften.

Risikobeurteilung und RisikoverwaltungIEC 61511-1, 5.2.3Die Gefahren müssen erkannt, Risiken beurteiltund die erforderliche Risikominderungbestimmt sein.

SIL-BestimmungSiehe Abschnitt [6].

Planung, IEC 61511-1, 5.2.4Die Sicherheitsplanung dient der Definition dererforderlichen Aktivitäten, die zusammen mitden Personen, der Abteilung, Organisation oderanderen Einheiten ausgeführt werden müssen,die für diese Aktivitäten verantwortlich sind.Diese Planung muss bei Bedarf während desgesamten Sicherheitslebenszyklus aktualisiertwerden.

PlanungDie Planung muss sicherstellen, dass die Aktivitäten zumManagement von FS, zur Verifizierung und zur FS-Beurtei -lung geplant und auf die relevanten Lebenszyklusphasenangewandt werden.Die Planung kann in den Projektqualitätsplan integriertwerden und muss alle sicherheitsrelevanten Aktivitäten, dasTiming und die verantwortlichen Personen oder Organisatio -nen genau festlegen.Jede sicherheitsrelevante Aktivität kann Verweise aufVerfahren oder Arbeitspraktiken, Entwicklungs- oderProduktionstools umfassen.

166

PROZESS-SAFEBOOK 1



Beschreibung

Implementierung und Überwachung,IEC 61511-1, 5.2.5Die Verfahren müssen implementiert werden,um ein schnelles Nachfassen und eine zufrie -den stellende Lösung für die Empfehlungen zugewährleisten, die sich aus Folgendem ergeben: a) Gefahrenanalyse und Risikobeurteilungb) Beurteilung und Prüfungen c) Verifizierung und Validierung d) Aktivitäten nach einem Zwischenfall

Implementierung und ÜberwachungDie Verfahren sollten die Erstellung von Empfehlungenermöglichen, die sich aus Analyse- und Prüfaktivitätenergeben. Außerdem sollte eine Methode für die Überprüfungund Verfolgung von Empfehlungen bis zu ihrer Ausführungimplementiert werden.Es muss ein Verfahren vorhanden sein, das sicherzustellt,dass alle Empfehlungen, die sich aus Zwischenfällen oderGefahren ergeben, umgesetzt werden können.

Es müssen Verfahren zur Bewertung der Leis -tung des SIS hinsichtlich der sicherheitstech -nischen Anforderungen implementiert werden:a) Zusammenstellung und Analyse von

Feldausfalldaten während des Betriebsb) Aufzeichnung der Anforderungen an die SIF,

um sicherzustellen, dass die Annahmen, vondenen während der SIL-Bestimmung ausge -gangen wurde, weiterhin gültig bleiben.

Wenn die Organisation für die Betriebs- und Wartungs -phasen verantwortlich ist, müssen Verfahren definiertwerden, mit denen die Betriebs- und Instandhaltungs -leistung erkannt werden kann. Hierzu gehören:• Systematische Fehler• Wiederkehrende Fehler• Beurteilung von Anforderungsraten und Ausfallraten in

Übereinstimmung mit den Annahmen während derKonstruktion oder FS-Beurteilung

Beispiele für die Anforderungen an FS-Prüfungen: Häufigkeit,Unabhängigkeit, erforderliche Dokumentation undNachverfolgung.

Jeder Lieferant, der einer Organisation Produkteoder Dienstleistungen anbietet und die Ver ant -wortung für mindestens eine Phase des Sicher -heitslebenszyklus hat, muss Produkte oderDienstleistungen wie von dieser Organisationangegeben liefern und über ein entsprechendesQualitäts-Management-System verfügen.Es müssen Verfahren definiert werden, um dieEignung des Qualitäts-Management-Systemsfestzulegen.

LieferantenverwaltungLieferanten müssen Produkte wie angegeben liefern undüber ein entsprechendes QMS verfügen. Typischerweiseerfolgt die Beschaffung über eine Liste genehmigterLieferanten und wird durch eine Beschaffungsspezifikationkontrolliert.Es müssen Verfahren definiert sein, mit denen dieGenehmigung der Lieferanten geprüft werden kann.

Beurteilung, Prüfung und Überarbeitung,IEC 61511-1, 5.2.6 Es muss ein Verfahren für die Beurteilung derfunktionalen Sicherheit definiert und ausgeführtwerden, damit die funktionale Sicherheit unddie Sicherheitsintegrität durch das sicherheits -technische System erzielt werden können. Für das Verfahren wird ein Beurteilungsteambestimmt, dessen Mitglieder über das tech -nische, anwendungs- und betriebsbezogeneKnow-how verfügen, das für die jeweiligeAnwendung erforderlich ist.Unter den Mitgliedern des Beurteilungsteamsmuss sich mindestens eine leitende, kompeten -te Person befinden, die nicht Teil des Projektkon -struk tionsteams ist. Die Phasen im Sicherheitslebenszyklus, für diedie Aktivitäten zur Beurteilung der funktionalenSicherheit ausgeführt werden müssen, werdenwährend der Sicherheitsplanung festgelegt.

Beurteilung der funktionalen SicherheitAktivitäten für die FS-Beurteilung – siehe Abschnitt [13].Es muss ein Verfahren zur Aktivierung der auszuführendenFS-Beurteilung implementiert sein. Die Anforderungen fürden Nachweis der Konformität mit den SIL- und PFD- (oderPFH-) Zielen, die während der SIL-Bestimmung [6] festgelegtwurden, sind in Abschnitt [11.1] ausführlicher beschrieben.Es kann ein Team innerhalb der Organisation bestimmtwerden, sofern die Anforderungen hinsichtlich Kompetenzund Unabhängigkeit erfüllt sind. Wenn eine externeOrganisation eingesetzt wird, müssen die Anforderungenhinsichtlich der Kompetenz Teil des Lieferantenverwaltungs -verfahrens sein.In der Aufgabenbeschreibung sollten auch dieAnforderungen hinsichtlich des MTR enthalten sein [8.6.6].

PROZESS-SAFEBOOK 1


167

Tabelle 23: Anforderungen für das Management der funktionalen Sicherheit


Beschreibung

Es muss mindestens eine Beurteilung derfunktionalen Sicherheit ausgeführt werden,bevor die erkannten Gefahren auftreten.Außerdem muss Folgendes bestätigt werden:• Die Gefährdungs- und Risikobeurteilung

wurde ausgeführt• Empfehlungen, die sich aus der Gefahren-

und Risikobeurteilung ergeben, wurdenbefolgt

• Das SIS wurde in Übereinstimmung mit derSRS geplant, konstruiert und installiert

• Die Sicherheits-, Betriebs- undInstandhaltungsverfahren wurden definiert

• Validierungsaktivitäten wurden ausgeführt• O&M-Schulung wurde ausgeführt und es

wurden entsprechende Informationen zumSIS bereitgestellt

• Es wurden Strategien für weitereBeurteilungen implementiert

Die FS-Beurteilung muss gemäß einem Plan ausgeführtwerden, um Konformität zu gewährleisten. Die Punkte imProjektplan oder im Sicherheitslebenszyklus, sofern erstattfindet, sollten im Projektqualitäts- und Sicherheitsplanangegeben werden.Es ist wichtig, dass mindestens eine FS-Beurteilungausgeführt wird, bevor die erkannten Gefahren an derAnlage oder im Prozess auftreten.

Es müssen unter anderem folgende Verfahrenzur Überprüfung der Konformität mit denAnforderungen definiert und ausgeführtwerden: a) Häufigkeit der Prüfaktivitäten b) Grad der Unabhängigkeit zwischen den

Personen, Abteilungen, Organisationen odersonstigen Einheiten, die die Arbeit ausführen,und denen, die die Prüfaktivitäten ausführen

c) Aufzeichnungs- und Nachverfolgungs -aktivitäten

Die funktionale Sicherheit muss überprüft werden, umsicher zustellen, dass die entsprechenden Verfahrensvor -schrif ten im Projekt definiert sind und implementiertwurden.Typischerweise muss eine Überprüfung der funktionalenSicherheit sehr früh im Projektlebenszyklus stattfinden, umsicherzustellen, dass die implementierten Verfahren allesicherheitsrelevanten Aktivitäten abdecken. NachfolgendePrüfungen sollten während des Projekts in bestimmtenIntervallen ausgeführt werden, um sicherzustellen, dass dieVerfahrensvorschriften eingehalten werden und dass alleEmpfehlungen oder Nachverfolgungsaktivitäten ausgeführtwurden.

Verwaltung der SIS-Konfiguration,IEC 61511-1, 5.2.7 Es sollten Verfahren für die Konfigurations -verwaltung des SIS während des Lebenszyklusverfügbar sein. Es ist Folgendes anzugeben:a) Phase, in der die formale

Konfigurationskontrolle implementiert wirdb) Methode zur Identifikation von Teilen

(Hardware und Software)c) Verfahren, mit denen verhindert wird, dass

nicht genehmigte Teile im Serviceimplementiert werden

Konfigurationsverwaltung In einem typischen QMS können bereits Verfahren für dieKonfigurationsverwaltung, die Einleitung von Änderungenund Methoden implementiert sein, mit denen die Nach -verfolgung von Änderungsanforderungen gewährleistetwerden kann. Wenn allerdings Änderungen an einer Sicherheitsfunktion inBetracht gezogen werden, ist eine Form der Einflussanalysezu definieren, um bestimmen zu können, ob die Sicherheitbeeinträchtigt würde und bis zu welchem Punkt im Lebens -zyklus zurückgegangen werden muss, um mit der erneutenBeurteilung zu beginnen. Eventuell ist ein Verfahren zum Ausführen der Einflussanalyseund zum Verwalten der erneuten Beurteilung erforderlich.

168

PROZESS-SAFEBOOK 1


18.3. Allgemeine Anforderungen

Es muss eine Richtlinie und Strategie vorhanden sein, um funktionale Sicherheit innerhalbeiner Organisation zu erreichen. Außerdem müssen Möglichkeiten definiert werden, mitderen Hilfe diese Richtlinie und die Strategie in der ganzen Organisation kommuniziert wird.

Es ist wichtig, dass die Organisation ihre eigene funktionale Sicherheitsrichtlinie entwickelt,da hierfür Interessenvertreter innerhalb der Organisation erforderlich sind, die sorgfältigerwägen, was genau funktionale Sicherheit für die Organisation bedeutet, wie dies kom -muniziert werden kann, um eine Kultur der funktionalen Sicherheit aufzubauen, die dieganze Organisation mit all ihren Aktivitäten erreicht.

18.4. Organisation und Ressourcen

Alle Mitarbeiter des Projekts müssen basierend auf ihrer Kompetenz und den definiertenVerantwortlichkeiten ermittelt werden. Die Kompetenz der Belegschaft muss in einemKompetenzregister erfasst werden und es ist ein Verfahren festzulegen, mit dem dieKompetenz überprüft, das Register abhängig von den gewonnenen Erfahrungen aktualisiertund die Schulungsanforderungen überarbeitet werden. Die Kompetenzanforderungenmüssen für jede Projektrolle definiert werden.

Für die meisten Organisationen, für die funktionale Sicherheit noch neu ist, erscheint eseventuell von Vorteil, eine Sicherheitsinstanz (SA – Safety Authority) einzusetzen, die für diefunktionale Sicherheit und die Kommunikation, die Lebenszyklusphasen und die Planungvon Aktivitäten verantwortlich ist. Die SA muss unabhängig von den Projekten sein.

Höchstwahrscheinlich werden sie auch ein Kompetenzregister einrichten und verwaltenoder ein bestehendes System weiterentwickeln, um Aktivitäten und Verantwortlichkeitenhinsichtlich der funktionalen Sicherheit zu integrieren.

18.5. Projektimplementierung und -überwachung

Wenn einige Aktivitäten für den Aufgabenbereich neu sind, z. B. HAZOP-Studien, muss einVerfahren für deren Ausführung definiert werden. Wenn beispielsweise eine Entwicklungbedeutet, dass sicherheitsrelevante Anwendungssoftware integriert wird, muss ein Verfahrenfestgelegt sein, das sicherstellt, dass die Software in Übereinstimmung mit Lebenszyklus -phase 4 [11] entwickelt wird.

18.6. Konfigurationsverwaltung und -änderung

In der Regel sind in einem typischen QMS bereits Verfahren für die Konfigurations verwal -tung, die Einleitung von Änderungen, Genehmigungsverfahren und Verfahren zum Sicher -stellen der Nachverfolgung von Änderungsanforderungen enthalten.

PROZESS-SAFEBOOK 1


169

Wenn allerdings Änderungen an einer Sicherheitsfunktion in Betracht gezogen werden, isteine Form der Einflussanalyse zu definieren, um bestimmen zu können, ob die Sicherheitbeeinträchtigt würde und bis zu welchem Punkt im Lebenszyklus zurückgegangen werdenmuss, um mit der erneuten Beurteilung zu beginnen. Eventuell ist ein Verfahren zumAusführen der Einflussanalyse und zum Verwalten der erneuten Beurteilung erforderlich.

18.7. O&M-Leistung

Abhängig von den Phasen des Lebenszyklus im Aufgabenbereich müssen eventuellVerfahrensvorschriften implementiert sowie Informationen zusammengestellt und verwaltetwerden, die sich aus Folgendem ergeben: Gefahren, Zwischenfälle und Änderungen. DieseVerfahrensvorschriften können außerdem Folgendes beschreiben:

• Handhabung gefährlicher Zwischenfälle• Analyse erkannter Gefahren• Verifizierung von Aktivitäten

Die Zusammenstellung von Daten und die Verwaltung von Datensätzen kann erforderlichsein, weil eventuell während der Sicherheitsbeurteilung angenommen wurde, dass dieSicherheitsfunktion beispielsweise für ein System in der Anforderungsbetriebsart konzipiertwurde. Die Überwachung der Anforderungsrate für die Sicherheitsfunktion gewährleistetdaher, dass die entsprechenden Ziele und Leistungsmessgrößen festgelegt wurden undgültig bleiben.

170

PROZESS-SAFEBOOK 1


19. Referenzen

19.1. IEC 61508:2010, Funktionale Sicherheit sicherheitsbezogenerelektrischer/elektronischer/programmierbarer elektronischer Systeme.

19.2. IEC 61511:2004: Funktionale Sicherheit: Sicherheitstechnische Systeme für dieProzessindustrie.

19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.

19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),2001

19.5. IEC 61784-3:2010 Industrielle Kommunikationsnetze. Profile – Teil 3: Funktionalsichere Übertragung bei Feldbussen – Allgemeine Regeln und Profilfestlegungen.

19.6. Derivation of the Simplified PFDavg Equations, D Chauhan, Rockwell Automation(FSC).

19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy,Rockwell Automation (FSC).

19.8. Funktionale Sicherheit: Sicherheitstechnische Systeme für die Prozessindustrie.ANSI/ISA-84.00.01-2004 Teil 1 (Mod. von IEC 61511-1).

PROZESS-SAFEBOOK 1

Definitionen

171

20. Definitionen2oo3 Zwei von drei Logikschaltkreisen (2/3-Logikschaltkreis). Ein Logikschaltkreis mit drei

unabhängigen Eingängen. Der Ausgang des Logikschaltkreises weist denselbenZustand auf wie zwei beliebige übereinstimmende Eingangszustände. Beispielsweisewenn ein Sicherheitsschaltkreis, in dem drei Sensoren vorhanden sind, ein Signal vonzwei beliebigen dieser Sensoren eine Abschaltung anfordern muss. Dieses 2oo3-Systemgilt als einzelfehlertolerant (HFT = 1), da einer der Sensoren einen gefährlichen Ausfallaufweisen und das System trotzdem sicher heruntergefahren werden kann. WeitereAbstimmsysteme sind 1oo1, 1oo2, 2oo2, 1oo3 und 2oo4.

ALARP As Low As Reasonably Practicable (so niedrig wie vernünftigerweise möglich). DiePhilosophie zum Umgang mit Risiken, die zwischen einem oberen und einem unterenExtrem liegen. Am oberen Extrem ist das Risiko so groß, dass es vollständig abgelehntwird, während das Risiko am unteren Extrem nicht mehr relevant ist oder entsprechendgeändert wurde. Bei dieser Philosophie wird davon ausgegangen, dass die Kosten undVorteile der Risikominderung das Risiko „so niedrig wie vernünftigerweise möglich“machen.

Analyse desEreignisbaums

Eine Methode zur Modellierung der Fehlerverbreitung. Bei der Analyse wird einbaumähnliches Bild der Ereignisverkettung erstellt und führt von einem anfänglichenEreignis zu verschiedenen möglichen Ergebnissen. Der Baum wird vom anfänglichenEreignis in Verzweigungen mit sich zwischenzeitlich fortpflanzenden Ereignissenerweitert. Jede Verzweigung stellt eine Situation dar, in der ein anderes Ergebnismöglich ist. Nachdem alle entsprechenden Verzweigungen eingefügt wurden, endetder Baum mit verschiedenen möglichen Ergebnissen.

Anteil ungefährlicherAusfälle

Siehe SFF.

Architektur Die Abstimmstruktur verschiedener Elemente in einer sicherheitstechnischen Funktion.Siehe „Strukturelle Einschränkungen“, „Fehlertoleranz“ und „2oo3“.

Ausfall im geöffnetenZustand

Eine Bedingung, bei der sich die zum Schließen des Ventils verwendete Komponente indie geöffnete Stellung bewegt, wenn die Energiequelle für die Ansteuerung ausfällt.

Ausfall imgeschlossenenZustand

Eine Bedingung, bei der sich die zum Schließen des Ventils verwendete Komponente indie geschlossene Stellung bewegt, wenn die Energiequelle für die Ansteuerung ausfällt.

Ausfall infolgegemeinsamerAusfallart

Eine zufällige Belastung, die zum gleichzeitigen Ausfall von mindestens zwei Kompo -nen ten zur selben Zeit und aus demselben Grund führt. Ein solcher Ausfall unterschei -det sich von einem systematischen Ausfall, da er zufällig und wahrscheinlichkeits -theoretisch ist, doch nicht auf feste, vorhersehbare Weise mit Ursache und Wirkungauftritt. Siehe „Systematischer Ausfall“.

Ausfallmodi Die Art und Weise wie ein Gerät ausfällt. Diese Ausfallarten sind in der Regel in einenvon vier Ausfallmodi gruppiert: Ungefährlich erkannt (SD – Safe Detected), Gefährlicherkannt (DD – Dangerous Detected), Ungefährlich unerkannt (SU – Safe Undetected)und Gefährlich unerkannt (DU – Dangerous Undetected) gemäß ISA TR84.0.02.

Ausfallrate Anzahl der Ausfälle pro Einheitenzeit einer Einrichtung. Es wird im Allgemeinen davonausgegangen, dass es sich hierbei um einen konstanten Wert handelt. Dieser kann inverschiedene Kategorien aufgeschlüsselt werden, wie z. B. ungefährlich und gefährlich,erkannt und unerkannt sowie unabhängig/normal und mit gemeinsamer Ursache. Esmuss unbedingt sichergestellt werden, dass Alterung und Verschleiß angemessenberücksichtigt werden, damit die Annahme der konstanten Fehlerrate gültig ist.

172

PROZESS-SAFEBOOK 1


Betriebs- undÜberwachungs -einrichtung (BPCS)

System, das auf Eingangssignale vom Prozess und seinen zugehörigen technischenEinrichtungen und/oder von einem Bediener antwortet und Ausgangssignale erzeugt,die den Prozess und seine zugehörigen technischen Einrichtungen in der gewünschtenWeise steuern. Die Betriebs- und Überwachungseinrichtung (BPCS) übernimmt keinesicherheitstechnischen Funktionen, die mit einem Sicherheits-Integritätslevel von 1oder besser klassifiziert wurden, sofern es nicht betriebsbewährte Anforderungenerfüllt. Siehe „betriebsbewährt“.

Betriebsbewährt Grundlage für die Nutzung einer Komponente oder eines Systems im Rahmen einesfür einen bestimmten Sicherheits-Integritätslevel (SIL) klassifizierten sicherheitstech -nischen Systems (SIS), das nicht in Übereinstimmung mit IEC 61508 entwickelt wurde.Dabei wird mithilfe von ausreichenden Betriebsstunden des Produkts, einer Überar -beitungshistorie, von Fehlerberichtssystemen und Felddaten zu Ausfällen bestimmt, obein Produkt systematische Konstruktionsfehler aufweist. IEC 61508 stellt für jeden SILEbenen der Betriebshistorie bereit.

BPCS Siehe „Betriebs- und Überwachungseinrichtung“.

D-Diagnosen Einige sicherheitsrelevante Logik-Solver sind als Solver mit D-Diagnosen definiert. DieseDiagnosen unterscheiden sich von regulären Diagnosen dadurch, dass die Einheit ihreArchitektur neu konfigurieren kann, nachdem bei einer Diagnose ein Ausfall erkanntwurde. Die größte Auswirkung ergibt sich dadurch für 1oo2D-Systeme, die beimErkennen eines sicheren Ausfalls für den 1oo1-Betrieb umkonfiguriert werden können.Daher wird die Rate der Fehlauslösungen für ein solches System wesentlich verringert.

Diagnosedeckungs -grad

Ein Maß für die Fähigkeit eines Systems, Ausfälle zu erkennen. Dies entspricht demVerhältnis zwischen den Raten erkannter Ausfälle zur Rate aller Ausfälle im System.

E/E/PE – Elektrisch/elektronisch/program -mierbar elektronisch

Siehe 61508 und 61511.

Eintrittswahrschein -lichkeit (Likelihood)

Die Wahrscheinlichkeit eines gefährlichen Ereignisses wird oft in Ereignissen pro Jahroder pro Millionen Stunden ausgedrückt. Eine der beiden Komponenten, die zumDefinieren eines Risikos verwendet werden. Der Begriff unterscheidet sich von derDefinition des herkömmlichen Begriffs „Wahrscheinlichkeit“.

Fehlauslösung Siehe „Ungefährlicher Ausfall“

Fehlerbaum -diagramm

Methode zum Kombinieren von Wahrscheinlichkeiten, um komplexe Wahrscheinlich -keiten abschätzen zu können. Da in der Regel die Ausfallansicht eines Systems erforder -lich ist, eignet sich dieses Diagramm zur Modellierung mehrerer Ausfallmodi. BeiVerwendung dieses Diagramms zum Berechnen integrierter Durchschnittswahrschein -lichkeiten muss sorgfältig vorgegangen werden.

Fehlersicher (oderbevorzugtes Aus -schalten für dieAuslösung)

Ein Merkmal eines bestimmten Geräts, das dazu führt, dass das Gerät in einen sicherenZustand wechselt, wenn die Versorgung mit elektrischer oder pneumatischer Energieunterbrochen wird.

Fehlertoleranz Fähigkeit einer funktionalen Einheit, eine erforderliche Funktion auszuführen, wennbeliebige Fehler vorliegen. Beispielsweise kann ein 1oo2-Abstimmsystem einenzufälligen Komponentenausfall tolerieren und dennoch weiterhin seine Funktionausführen. Die Fehlertoleranz ist eine der spezifischen Anforderungen für denSicherheits-Integritätslevel (SIL) und wird in IEC 61508, Teil 2, Tabelle 2 und 3, sowiein IEC 61511 (ISA 84.01 2004) in Abschnitt 11.4 ausführlicher beschrieben.

PROZESS-SAFEBOOK 1

Definitionen

173

FMECA Failure Modes Effects and Criticality Analysis – Hierbei handelt es sich um einedetaillierte Analyse der verschiedenen Ausfallmodi und die Kritikalitätsanalyse für eine Einrichtung.

FunktionaleSicherheit

Das Nichtvorhandensein nicht akzeptabler Risiken während des gesamtenSicherheitslebenszyklus. Siehe IEC 61508, IEC 65111, Sicherheitslebenszyklusund tolerierbares Risiko.

GefahrbringenderAusfall

Ein Ausfall einer Komponente in einer sicherheitstechnischen Funktion, die verhindert,dass diese Funktion in einen sicheren Zustand übergeht, wenn dies erforderlich ist.Siehe Ausfallmodus.

Gefährdung Das Potenzial für das Auftreten eines Schadens.

HAZOP (HAZard and OPerability) Studie zu Gefahren und Bedienbarkeit. Ein Verfahren zurAnalyse von Prozessgefahren, das ursprünglich in den 70er Jahren von ICI entwickeltwurde. Die Methode ist äußerst strukturiert, unterteilt den Prozess in verschiedenebetriebsbasierte Knoten und untersucht das Verhalten der verschiedenen Teile jedesKnotens basierend auf einem Datenfeld mit möglichen Abweichungsbedingungenoder Leitwörtern.

HFT Hardwarefehlertoleranz (siehe Fehlertoleranz)

HSE (UK) (Health and Safety Executive) Gesundheits- und Sicherheitsbeauftragter

IEC (International Electrotechnical Commission) Internationale Elektrotechnik-Kommission.Eine weltweite Organisation für Normung. Ziel der IEC ist die Förderung der internatio -na len Zusammenarbeit hinsichtlich aller Fragen zur Normung auf dem Gebiet derElektrik und Elektronik. Zu diesem Zweck und für weitere Aktivitäten veröffentlicht dieIEC internationale Normen. Siehe 61508 und 61511. Aktivität für die Einflussanalysezum Bestimmen der Auswirkung, die die Änderung einer Funktion oder Komponenteauf andere Funktionen oder Komponenten in diesem System sowie auf andere Systemehat.

IEC 61508 Die IEC-Norm, die die funktionale Sicherheit elektrischer/elektronischer/programmier -barer elektronischer sicherheitsrelevanter Systeme abdeckt. Hauptziel von IEC 61508 istdie Verwendung sicherheitstechnischer Systeme zur Reduzierung des Risikos auf eintolerierbares Maß, indem die Verfahren für den allgemeinen Sicherheitslebenszyklusund die Verfahren für den Sicherheitslebenszyklus von Hardware und Software befolgtwerden und indem die zugehörige Dokumentation gepflegt wird. Die 1998 und 2000veröffentlichte Norm hat sich zu einer gängigen Norm bei Anbietern von Sicherheits -einrichtungen entwickelt, um zu zeigen, dass sich ihre Einrichtung für die Verwendungin gemäß Sicherheits-Integritätslevels klassifizierten Systemen eignet.

IEC 61511 Die IEC-Norm zur Verwendung elektrischer/elektronischer/programmierbarerelektronischer sicherheitsrelevanter Systeme in der Prozessindustrie. Ähnlich wieIEC 61508 konzentriert sich diese Norm auf eine Reihe von Prozessen für Sicherheits -lebenszyklen, mit denen das Prozessrisiko verwaltet werden kann. Sie wurdeursprünglich 2003 durch das IEC veröffentlicht und 2004 von den USA als ISA 84.00.01-2004 übernommen. Im Gegensatz zu IEC 61508 zielt diese Norm auf die Benutzersicherheitstechnischer Systeme in der Prozessindustrie ab.

Intervall für dieWiederholungs -prüfung

Das Zeitintervall zwischen den Wartungsaktivitäten für die Einrichtung.

174

PROZESS-SAFEBOOK 1


IPL (Independent Protection Layer) Unabhängige Schutzebene. Dies bezieht sich aufverschiedene andere Methoden zur Risikominderung, die für einen Prozess möglichsind. Zu den Beispielen gehören Elemente wie Berstscheiben und Ablassventile, dieunabhängig die Wahrscheinlichkeit verringern, dass eine Gefahr zu einem Unfall mitallen gefährlichen Folgen eskaliert. Um effizient zu sein, muss jede Ebene explizitverhindern, dass die entsprechende Gefahr Schäden verursacht. Außerdem muss jedeEbene unabhängig von anderen Ebenen agieren, über eine ausreichende Funktions -wahrscheinlichkeit verfügen und in der Lage sein, überprüft zu werden, sobald dieAnlage relativ zur ursprünglich erwarteten Leistung arbeitet.

Konsequenz Das Ausmaß des Schadens oder das resultierende Ergebnis eines gefährlichenEreignisses. Eine der beiden Komponenten, die zum Definieren eines Risikos verwendetwerden.

Lambda Ausfallrate für ein System. Siehe Ausfallrate.

LOPA (Layer of Protection Analysis) Analyse der Schutzebenen. Eine Methode zur Analyse derEintrittswahrscheinlichkeit (Häufigkeit) eines gefährlichen Folgeereignisses basierendauf einer anfänglichen Ereignishäufigkeit und auf der Wahrscheinlichkeit eines Ausfallsmehrerer unabhängiger Schutzebenen, die vor der gefährlichen Folge schützenkönnen.

Modus (Betriebsartmit kontinuierlicherAnforderung)

Wenn die Anforderungen zur Aktivierung einer Sicherheitsfunktion (SIF) im Vergleichzum Prüfintervall der SIF häufig sind. Beachten Sie, dass andere Sektoren eine separateBetriebsart mit hoher Anforderungsrate definieren, je nachdem, ob die Diagnosen dieUnfallhäufigkeit verringern können. In jedem Fall wird in der Betriebsart mitkontinuierlicher Anforderung die Häufigkeit eines unerwünschten Unfalls im Grundedurch die Häufigkeit eines gefährlichen SIF-Ausfalls bestimmt. Wenn das SIF ausfällt,tritt die Anforderung nach seiner Aktion in einem wesentlich kürzeren Zeitrahmen aufals der Funktionstest. Daher ist es nicht sinnvoll, von seiner Ausfallwahrscheinlichkeit zusprechen. Im Grunde genommen werden alle gefährlichen Fehler eines SIF in derBetriebsart mit kontinuierlicher Anforderung durch eine Prozessanforderung und nichtdurch einen Funktionstest erkannt. Siehe „Betriebsart mit niedriger Anforderungsrate“,„Betriebsart mit hoher Anforderungsrate“ und „SIL“.

Modus (hoheAnforderungsrate)

(auch Betriebsart mit kontinuierlicher Anforderungsrate gemäß IEC 61511) Ähnlich wiedie Betriebsart mit kontinuierlicher Anforderung, nur dass automatischen Diagnosenbesonders berücksichtigt werden. Die Trennung zwischen der Betriebsart mit hoherAnforderungsrate und der Betriebsart mit kontinuierlicher Anforderungsrate gibt an,ob die automatischen Diagnosen wesentlich schneller ausgeführt werden als dieAnforderungsrate der Sicherheitsfunktion. Wenn die Diagnosen langsamer sind alsdiese Rate, werden sie nicht berücksichtigt und es wird die Betriebsart mit kontinuier -licher Anforderungsrate angewandt.

Modus (niedrigeAnforderungsrate)

(auch Anforderungsbetriebsart gemäß IEC 61511) wenn Anforderungen für dieAktivierung der sicherheitstechnischen Funktion (SIF) im Vergleich zum Prüfintervall derSIF selten sind. In der Prozessindustrie ist dieser Modus definiert, wenn die Anforderun -gen zum Aktivieren der SIF seltener als alle zwei Prüfintervalle erfolgen. Die Betriebsartmit niedriger Anforderungsrate ist die gängigste Betriebsart in den Prozessindustrien.Beim Definieren eines Sicherheits-Integritätslevels für die Betriebsart mit niedrigerAnforderungsrate wird die Leistung eines SIF in PFDavg (Probability of Failure onDemand – Versagenswahrscheinlichkeit) gemessen. In dieser Anforderungsbetriebsartbestimmt die Häufigkeit des einleitenden Ereignisses, modifiziert durch die Wahr -schein lichkeit eines gefahrbringenden Ausfalls bei Anforderung der SIF multipliziertmit der Anforderungsrate und eventuell nachfolgender Schutzebenen, die Häufigkeitunerwünschter Unfälle.

PROZESS-SAFEBOOK 1

Definitionen

175

MTTR (Mean Time to Repair) mittlere Dauer bis zur Wiederherstellung – Die durchschnittlicheZeit zwischen dem Auftreten eines Ausfalls und dem Abschluss der Reparatur diesesFehlers. Dies umfasst die Zeit, die erforderlich ist, um den Ausfall zu erkennen, dieReparatur einzuleiten und vollständig zu beenden.

Nutzung Ein Maß für die Wahrscheinlichkeit, dass der Wirkungsbereich eines Unfalls mindestenseinen Mitarbeiterrezeptor der Auswirkung umfasst. Diese Wahrscheinlichkeit mussmithilfe einer anlagenspezifischen Personalbesetzungsphilosophie und Praxisbestimmt werden.

P&ID (Piping and Instrumentation Diagram) Rohrleitungs- und Instrumentierungspläne.Zeigt die Verbindung zwischen der Prozesseinrichtung und der Instrumentierung, diezum Steuern des Prozesses verwendet wird. In der Prozessindustrie wird ein Standard -symbolsatz verwendet, um Zeichnungen der Prozesse vorzubereiten. Die in diesenZeichnungen verwendeten Instrumentensymbole basieren im Allgemeinen auf der ISA-Norm S5. 1. 2. Die primäre Zeichnung, die für die Planung einer Prozesssteuerungs -installation verwendet wird.

PFDavg (Probability of Failure on Demand average) mittlere Wahrscheinlichkeit einesgefahrbringenden Ausfalls bei Anforderung – Dies ist die Wahrscheinlichkeit, dass beieinem System ein gefährlicher Ausfall auftritt und die Sicherheitsfunktion bei Bedarfnicht ausführen kann. Die PFD kann als durchschnittliche Wahrscheinlichkeit odermaximale Wahrscheinlichkeit während eines bestimmten Zeitraums bestimmt werden.IEC 61508/61511 und ISA 84.01 verwenden PFDavg als Systemmetrik, nach der der SILdefiniert wird.

Redundanz Verwendung mehrerer Elemente oder Systeme zum Ausführen derselben Funktion.Redundanz kann durch identische Elemente (identische Redundanz) oder durchunterschiedliche Elemente (unterschiedliche Redundanz) implementiert werden.Redundanz wird vor allem verwendet, um die Zuverlässigkeit oder Verfügbarkeit zuverbessern.

RRF (Risk Reduction Factor) Risikominderungsfaktor – Der Kehrwert von PFDavg

Schutzebene Siehe IPL.

SFF (Safe Failure Fraction) Anteil ungefährlicher Ausfälle – Der Anteil der gesamtenAusfallrate eines Geräts, der entweder zu einem ungefährlichen Fehler oder einemdiagnostizierten (erkannten) gefährlichen Fehler führt. Der Anteil ungefährlicherAusfälle umfasst erkennbare gefährliche Ausfälle, wenn die Ausfälle angekündigtwerden und Verfahren für die Reparatur oder Abschaltung implementiert wurden.

Sicherer Zustand Der Zustand des Prozesses, nachdem die Gefahr beseitigt wurde, die zu keinemschwerwiegenden Schaden führt.

SIF (Safety Instrumented Function) Sicherheitstechnische Funktion – Eine Reihe vonEinrichtungen, mit denen das Risiko aufgrund einer bestimmten Gefahr reduziertwerden soll (Sicherheitsregelkreis). Zweck dieser Funktion ist 1. der automatischeÜbergang eines Industrieprozesses in einen sicheren Zustand, wenn die angegebenenBedingungen verletzt wurden, 2. das Zulassen der Fortsetzung eines Prozesses aufsichere Weise, wenn dies die angegebenen Bedingungen erlauben (Zustimmfunktio -nen) oder 3. das Ausführen einer Aktion zur Minderung der Konsequenzen einerindustriellen Gefahr. Hierzu zählen Elemente, die das unmittelbare Bevorstehen einesUnfalls erkennen, die eine Entscheidung zum Ergreifen entsprechender Maßnahmentreffen und schließlich die erforderliche Aktion ausführen, um den Prozess in einensicheren Zustand zu bringen. Die Fähigkeit dieser Aktion, solche Umstände zuerkennen, die richtige Entscheidung zu treffen und zu handeln, wird durch denSicherheits-Integritätslevel (SIL) der Funktion bestimmt. Siehe „SIL“.

176

PROZESS-SAFEBOOK 1


SIL Safety Integrity Level (Sicherheits-Integritätslevel) – Ein quantitatives Ziel für dasMessen der für eine Sicherheitsfunktion erforderlichen Leistungsstufe, um eintolerierbares Risiko für eine Prozessgefahr zu erreichen. Die Definition eines Ziel-SIL-Levels für den Prozess muss auf der Bewertung der Wahrscheinlichkeit basieren, dassein Unfall auftreten wird, und welche Konsequenzen er haben wird. In der folgendenTabelle ist der SIL für die verschiedenen Betriebsarten beschrieben.

SIL-Verifizierung Der Prozess zum Berechnen der durchschnittlichen Wahrscheinlichkeit eines gefahr -bringenden Ausfalls bei Anforderung (oder der Wahrscheinlichkeit eines gefahrbrin gen -den Ausfalls pro Stunde) und der strukturellen Einschränkungen für die Konstruktion einerSicherheitsfunktion, um festzustellen, ob sie den erforderlichen SIL-Level erfüllt.

SIS (Safety Instrumented System) Sicherheitstechnisches System – Implementierung vonmindestens einer sicherheitstechnischen Funktion. Ein SIS besteht aus einer beliebigenKombination aus Sensoren, Logik-Solvern und finalen Elementen. Ein SIS verfügt in derRegel aus verschiedenen Sicherheitsfunktionen mit unterschiedlichen Sicherheits-Integritätsleveln (SIL), sodass die Beschreibung mit einem einzelnen SIL möglichstvermieden werden sollte. Siehe „SIF“.

StrukturelleEinschränkungen

Die für die ausgewählte Hardware geltenden Einschränkungen für die Implementierungeiner sicherheitstechnischen Funktion, unabhängig von der für ein Subsystem berechne -ten Leistung. Strukturelle Einschränkungen werden (in IEC 61508-2-Tabelle 2 undIEC 61511-Tabelle 5) abhängig vom erforderlichen SIL des Subsystems, des verwendetenKomponententyps und des SFF der Subsystemkomponenten angegeben. Komponentenvom Typ A sind einfache Geräte, die keine Mikroprozessoren umfassen, während Gerätevom Typ B komplexe Geräte sind, die beispielsweise Mikroprozessoren umfassen. SieheFehlertoleranz.

SystematischerAusfall

Ein Ausfall, der auf deterministische (nicht zufällige) und vorhersehbare Weise aufgrundeiner bestimmten Ursache entsteht, die nur durch eine Änderung der Konstruktionoder des Fertigungsprozesses, der Betriebsverfahren, Dokumentation oder andererrelevanter Faktoren eliminiert werden kann. Da diese mathematisch nicht vorhersehbarsind, umfasst der Sicherheitslebenszyklus zahlreiche Verfahren, um sie zu verhindern.Diese Verfahren sind strenger, wenn es sich um Systeme und Komponenten mit einemhöheren Sicherheits-Integritätslevel handelt. Solche Ausfälle können nicht durch eineeinfache Redundanz verhindert werden.

Ungefährlicher Ausfall Ausfall, der nicht das Potenzial hat, ein sicherheitstechnisches System in einen gefähr -lichen Zustand oder in einen Zustand zu bringen, in dem es nicht mehr funktioniert. DieSituation, in der ein sicherheitsrelevantes System oder eine Komponente nicht mehrordnungsgemäß funktioniert, sodass das System heruntergefahren werden muss, oderdie sicherheitstechnische Funktion aktiviert wird, auch wenn keine Gefahr vorhanden ist.

Ursache-Wirkung-Diagramm

Eine häufig eingesetzte Methode, um die Beziehung zwischen den Sensoreingängen zueiner Sicherheitsfunktion und den erforderlichen Ausgängen aufzuzeigen. Wird oft imRahmen einer Spezifikation für sicherheitstechnische Anforderungen verwendet. DieStärken der Methode sind ein geringer Aufwand und eine äußerst transparenteDarstellung, während ihre Schwächen das steife Format (einige Funktionen könnennicht mit Ursache-Wirkung-Diagrammen dargestellt werden) und die Tatsache sind,dass sie die Funktion möglicherweise zu einfach darstellt.

Verfügbarkeit Die Wahrscheinlichkeit, dass ein Gerät an einem bestimmten Zeitpunkt ordnungs gemäßfunktioniert. Dies ist ein Maß für die „Betriebszeit“ und wird in Prozent angegeben. Für diemeisten getesteten und reparierten Sicherheitssystemkomponenten variiert die Verfüg -bar keit im Verlauf der Zeit sägezahnförmig, da sie Wiederholungsprüfungen und Repara -turzyklen unterliegt. Daher wird die integrierte durchschnittliche Verfügbarkeit zumBerechnen der durchschnittlichen Wahrscheinlichkeit eines gefahrbringenden Ausfalls beiAnforderung verwendet. Siehe „PFDavg“.

PROZESS-SAFEBOOK 1

Definitionen

177

Wiederholungs -prüfung

Testen von Sicherheitssystemkomponenten, um Ausfälle zu erkennen, die nicht durchautomatische Onlinediagnosen erkannt werden, z. B. gefährliche Ausfälle, Diagnoseaus -fälle, parametrische Ausfälle, gefolgt von der Reparatur dieser Ausfälle, um einenZustand zu erreichen, der mit einem neuen Zustand gleichwertig ist. Die Wiederho -lungs prüfung ist ein wichtiger Teil des Sicherheitslebenszyklus und kritisch, wenn esdarum geht, dass ein System seinen erforderlichen Sicherheits-Integritätslevel währenddes Sicherheitslebenszyklus erreicht.

Wiederholungs -prüfungsgrad

Der Prozentsatz an Ausfällen, die während der Wartung einer Einrichtung erkannt werden.Im Allgemeinen wird davon ausgegangen, dass beim Ausführen einer Wiederholungs -prüfung eventuell im System vorhandene Fehler erkannt und korrigiert werden (100 %Wiederholungsprüfungs-Deckungsgrad).

Zufälliger Ausfall Ein Ausfall, der zu einer beliebigen Zeit auftritt und auf mindestens einen Abbaumecha -nis mus zurückzuführen ist. Zufällige Ausfälle können effizient mithilfe von Statistikenvorhergesagt werden und sind die Grundlage für die Versagenswahrscheinlichkeit,basierend auf den Berechnungsanforderungen für Sicherheits-Integritätslevel. Siehe„Systematischer Ausfall“.

Zuverlässigkeit 1. Die Wahrscheinlichkeit, dass ein Gerät seine Aufgabe ordnungsgemäß für dieangegebene Zeit und unter den angegeben 2. Die Wahrscheinlichkeit, dass eine Komponente, ein Anlagenteil oder System seinevorgesehene Funktion für einen bestimmten Zeitraum, in der Regel Betriebsstunden,ausführt, ohne dass eine korrigierende Instandhaltung erforderlich ist.enBetriebsbedingungen ausführt.

Zuverlässigkeits -blockdiagramm

Methode zum Kombinieren von Wahrscheinlichkeiten, um komplexe Wahrscheinlich -keiten abschätzen zu können. Da normalerweise ein System aus der Perspektive des„Erfolgs“ betrachtet wird, kann es verwirrend sein, wenn es zur Modellierung mehrererAusfallmodi eingesetzt wird.

Zwischenfall Das Ergebnis eines einleitenden Ereignisses, dessen Verbreitung nicht gestoppt werdenkann. Ein Zwischenfall ist die grundlegendste Beschreibung eines unerwünschtenUnfalls und stellt die wenigsten Daten zur Verfügung. Der Begriff „Zwischenfall“ wirdeinfach verwendet, um mitzuteilen, dass im Prozess eine Chemikalie ausgelaufen istoder eine mögliche Energiequelle nicht mehr zur Verfügung steht. Daher besteht dieGefahr, dass Schäden entstehen können, wobei jedoch das gefährliche Ergebnis nochkeine besondere Form angenommen hat.

178

PROZESS-SAFEBOOK 1


Abkürzungen1oo1 1 out of 1 (Abstimmung von 1 aus 1 – Simplex)1oo2 1 out of 2 (1 aus 2)AI Analogue Input (Analogeingang)ANSI American National Standards Institute (Amerikanisches Institut für Normung)ALARP As Low As Reasonably Practicable (so niedrig wie vernünftigerweise möglich)BMS Brenner-Management-SystemBPCS Basic Process Control System (Betriebs- und Überwachungseinrichtung)C&E Cause and Effect (Ursache und Wirkung)CBA Cost Benefit Analysis (Kosten-Nutzen-Analyse)CCF Common Cause Failure (Ausfälle infolge gemeinsamer Ursache)COMAH Control Of Major Accident Hazards (Kontrolle schwerer Unglücksfälle)DCS Distributed Control System (Prozessleitsystem)DD Dangerous Detected (gefährlich erkannt)DI Digital Input (Digitaleingang)DO Digital Output (Digitalausgang)DU Dangerous Undetected (gefährlich unerkannt)E/A Eingang/AusgangE/E/PES Elektrisches/elektronisches/programmierbares elektronisches SystemESD Emergency Shutdown (Notabschaltung)ESDV Emergency Shutdown Valve (Notabschaltventil)F&G Feuer und Gasf/hr Failures per hour (Ausfälle pro Stunde)FC Fail Closed (Ausfall im geschlossenen Zustand)FDS Functional Design Specification (funktionale Konstruktionsspezifikation)FMECA Failure Modes, Effects and Criticality AnalysisFO Fail Open (Ausfall im geöffneten Zustand)FPL Fixed Programmable Language (feste Programmiersprache)FSC Functional Safety Capability (Fähigkeit für die funktionale Sicherheit)FVL Full Variability Language (Programmiersprache mit nicht eingeschränktem Sprachumfang)Gefahrbringender Ausfall Dies ist ein Ausfallmodus, der das sicherheitsrelevante System möglicherweise in einen

gefahrbringenden oder funktionsunfähigen Zustand bringtHAZAN Hazard Analysis (Gefahrenanalyse)HASAW Health and Safety at Work Act (HSW) (Gesetz zur Gesundheit und Sicherheit am Arbeitsplatz)HAZOP Hazard and Operability Study (Studie zu Gefahren und Bedienbarkeit)HFT HardwarefehlertoleranzHIPPS High Integrity Pressure Protection System (Druckschutzsysteme mit hoher Integrität)HSE Health and Safety Executive (Gesundheits- und Sicherheitsbeauftragter)IEC International Electrotechnical Commission (Internationale Elektrotechnik-Kommission)IPL Independent Protection Layer (Unabhängige Schutzebene)ISA International Society of Automation (Internationale Automatisierungsgesellschaft)LOPA Layer of Protection Analysis (Analyse der Schutzebenen)LVL Limited Variability Language (Programmiersprachen mit eingeschränktem Sprachumfang)MDT Mean Down Time (Mittlere Ausfalldauer)MooN M out of N (M aus N; allgemeiner Fall)MTBF Mean Time Between Failures (mittlere Betriebsdauer zwischen Ausfällen)MTR Maximal tolerierbares RisikoMTTF Mean Time To Failure (Mittlere Zeit bis zum Ausfall)MTTR Mean Time To Repair (Mittlere Dauer bis zur Wiederherstellung)Nicht-SR Nicht sicherheitsrelevantO&M Operation and Maintenance (Betrieb und Instandhaltung)OPSI Office of Public Sector Information (Behörde für Informationen im öffentlichen Sektor in

Großbritannien)P&ID Piping and Instrumentation Diagram (Rohrleitungs- und Instrumentierungspläne)PA Per Annum (pro Jahr)

PROZESS-SAFEBOOK 1

Abkürzungen

179

PE Programmable Electronic (programmierbare Elektronik)PFD Probability of Failure on Demand (Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei

Anforderung)PFH Probability of Failure per Hour (Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro

Stunde)PSD Process Shutdown (Prozessabschaltung)PT Pressure Transmitter (Druckgeber)PTI Proof Test Interval (Intervall für die Wiederholungsprüfung)QMS Quality Management System (Qualitäts-Management-System)R2P2 Reducing Risk Protecting People (Risikominderung zum Schutz von Personen)RBD Reliability Block Diagram (Zuverlässigkeitsblockdiagramm)RRF Risk Reduction Factor (Risikominderungsfaktor)S SicherSA Safety Authority (Sicherheitsinstanz)SFF Safe Failure Fraction (Anteil sicherer Ausfälle)SIF Safety Instrumented Function (sicherheitstechnische Funktion)SIL Sicherheits-IntegritätslevelSIS Safety Instrumented System (sicherheitstechnisches System)SOV Solenoid Operated Valve (Magnetventil)SRS Safety Requirements Specification (Spezifikation der sicherheitstechnischen Anforderung)STR Spurious Trip Rate (Rate der Fehlauslösungen)TMR Triple Modular Redundant (Dreifach modular, redundant)Tp Proof Test Interval (Intervall für die Wiederholungsprüfung)Ungefährlicher Ausfall Dies ist ein Ausfallmodus, der nicht über das Potenzial verfügt, das sicherheitsrelevante System

in Gefahr zu bringen oder funktionsunfähig zu machen.λ Ausfallrate, Verhältnis der Gesamtzahl der Ausfälle, die während eines bestimmten Zeitraums

auftretenλD Rate gefährlicher AusfälleλDD Rate gefährlicher Ausfälle, die durch Diagnosen erkannt wurdenλDU Rate gefährlicher Ausfälle, die durch Diagnosen nicht erkannt wurdenλS Rate ungefährlicher Ausfälle

180

PROZESS-SAFEBOOK 1


PRO

ZESS

-SAF

EBO

OK

1

Funktionale Sicherheit in derProzessindustrieGrundsätze, Normen und Realisierung

Hauptverwaltung für Antriebs-, Steuerungs- und InformationslösungenAmerika: Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204 USA, Tel: +1 414 382 2000, Fax: +1 414 382 4444Europa/Naher Osten/Afrika: Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgien, Tel: +32 2 663 0600, Fax: +32 2 663 0640 Asien/Australien/Pazifikraum: Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, China, Tel: +852 2887 4788, Fax: +852 2508 1846

Deutschland: Rockwell Automation GmbH, Parsevalstraße 11, 40468 Düsseldorf, Tel: +49 (0)211 41553 0, Fax: +49 (0)211 41553 121Schweiz: Rockwell Automation AG, Industriestrasse 20, CH-5001 Aarau, Tel: +41(62) 889 77 77, Fax: +41(62) 889 77 11, Customer Service – Tel: 0848 000 277Österreich: Rockwell Automation, Kotzinastraße 9, A-4030 Linz, Tel: +43 (0)732 38 909 0, Fax: +43 (0)732 38 909 61

www.rockwel lautomation.com

Publikation: SAFEBK-RM003A-DE-P – März 2013 © 2013 Rockwell Automation, Inc. Alle Rechte vorbehalten. PRO

ZESS

-SA

FEBO

OK

1–

Funk

tiona

leSi

cher

heit

in d

er P

roze

ssin

dust

rie/G

rund

sätz

e, N

orm

en u

nd R

ealis

ieru

ng

Ebenfalls verfügbar:Safebook 4 – Sicherheitsbezogene Steuerungssystemefür Maschinen.In diesem praktischen Handbuch sind die Grundsätze derMaschinensicherheit, Gesetzgebung, Theorie und Praxisbeschrieben.Publikation Nummer: SAFEBK-RM002B

Ein Exemplar dieses Handbuchs erhalten Sie bei IhremRockwell Automation-Vertreter oder unterwww.rockwellautomation.com

Documents

SAFEBK-RM-3A-DE-P, PROZESS-SAFEBOOK 1 - … · Kapitel 8 LOPA-Analyse ... mit Techniken erläutert werden, mit deren Hilfe sich diese Anforderungen erfüllt lassen. Haftungsausschluss