Vorlesung Prozessleittechnik 2 - TU Dresden · Sicherheitslebenszyklus - Analyse Folie 17 von 46 HAZOP: Beispielanalyse [1] Gegen-stand Abweichung Ursachen Auswirkung Schutzeinrichtung

Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik

Dresden, 17.04.2013

Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen - Sicherheitslebenszyklus

Teil 1: Analyse

A. Krause, L. Urbas

Sicherheitslebenszyklus - Analyse Folie 2 von 46

Sicherheitslebenszyklus nach DIN EN 61511 [1]

Teil 1: Analyse

• Gefährungs- und

Risikobeurteilung

• Zuordnung der

Sicherheitsfunktionen

zu Schutzebenen

17.04.2013


GEFÄHRUNGS- UND RISIKOBEURTEILUNG

10.04.2013


Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (1/2)

Phase: Gefährdungs- und Risikobeurteilung

Ziele:

• Ermittlung von Gefährdungen und gefährlichen

Ereignissen durch den Prozess,

• Bestimmung von Ereignisketten, die zu gefährlichen

Ereignissen führen können,

• Bestimmung des Prozessrisikos,

• Bestimmung der Anforderungen zur Risikoreduzierung

und der sicherheitstechnischen Funktionen

17.04.2013



Phase: Gefährdungs- und Risikobeurteilung

Anforderungen: DIN EN 61511-1 Abschnitt 8

Eingaben: Verfahrenstechnischer Entwurf,

Auslegung, personelle Maßnahmen,

Sicherheitsziele

Ergebnisse: Beschreibung der Gefährdungen, der

benötigten Sicherheitsfunktionen und der

jeweiligen Risikoreduzierung

17.04.2013


Begriffe nach DIN EN 61511 [1]

Gefährdung (en. hazard) - potentielle Schadensquelle

Schaden (en. harm) – physische Verletzung oder Schädigung der

Gesundheit von Menschen, entweder direkt oder indirekt als ein

Ergebnis von Schäden am Eigentum oder an der Umwelt

Risiko (en. risk) – Kombination der Wahrscheinlichkeit des

Auftretens eines Schadens und des Schweregrads dieses

Schadens

17.04.2013


Anforderungen nach DIN EN 61511 [1]

• nur Anforderungen an das Ergebnis

• jede Arbeitstechnik kann verwendet werden, wenn sie für

geeignet erachtet wird

• Betrachtung aller vorhersehbarer Umstände

• in der Prozessindustrie: frühzeitige vorläufige Gefährdungs-

und Risikoanalysen und Anwendung des Prinzips der

Eigensicherheit (liegt außerhalb der DIN EN 61511)

• strukturierte Vorgehensweise bei komplexen Entwürfen

oder neuen Prozessen (DIN EN 31010 „ Risikomanagement –

Verfahren zur Risikobeurteilung“ [2])

17.04.2013


DIN EN 31010 [2] - Risikomanagement

Schritte des Risikobeurteilungsprozesses

• Risikoermittlung

• Risikoanalyse

Folgen analysieren

qualitative, semi-quantitative und quantitative Schätzung der

Wahrscheinlichkeit

Beurteilung der Wirksamkeit eventuell vorhandener

Schutzmaßnahmen

Schätzung des Risikoniveaus

• Risikobewertung

17.04.2013


Gefährdungsanalyse – qualitative Methoden [1]

• Sicherheits-Durchsprachen

• Checklisten

• Was-wäre-wenn-Analysen

• HAZOP (national PAAG genannt)

• FMEA

• Ursache-Wirkungsanalyse

17.04.2013


Eignung der Verfahren nach [2]

17.04.2013


Einflussfaktoren für die Verfahrensauswahl [2]

• Komplexität des Problems und des Verfahren

• Art und Grad der Ungewissheit der Risikobeurteilung

verfügbare Informationen Zielsetzung

• Art und Menge der erforderlichen Ressourcen

Zeit Grad des erforderlichen Fachwissens Datenerfordernisse Kostenaufwand

• Art des Ergebnisses

quantitativ qualitativ

17.04.2013


Einschätzung der Einflussfaktoren nach [2]

17.04.2013


Weitere Betrachtung der folgenden Verfahren

Induktive Verfahren (bottom-up)

• HAZard and OPerability study (HAZOP)

• Failure Mode and Effects Analysis (FMEA)

• Event Tree Analysis (ETA)

Deduktive Verfahren (top-down)

• Fault Tree Analysis (FTA)

17.04.2013


INDUKTIVE VERFAHREN

Gefährungs- und Risikobeurteilung

10.04.2013


HAZOP [3] nach IEC 61882 HAZard and OPerability Study

17.04.2013

Systematische Untersuchung

des Prozesses durch Leitworte


HAZOP: Beispiel [1] - Systembeschreibung

• Druckbehälter mit flüchtigem brennbarem Gas

• BPCS misst Stand und stellt Ventil

• unabhängiger Druckmesser mit Hochalarm

–> Eingriff durch Bediener

• Nicht-PLT-Schutzebene z.B. Berstscheibe oder Sicherheitsventil

17.04.2013

L001

P001PA+

LC

V001VC

BPCS

Schutzebene Fackel


HAZOP: Beispielanalyse [1]

Gegen-stand

Abweichung Ursachen Auswirkung Schutzeinrichtung Maß-nahmen

Behälter Hoher Durchfluss

Versagen der Durchflussregelung

Druckanstieg

Druck hoch 1) Versagen der Durchflussregelung

2) Brand in der Umgebung

Zerstörung des Behälters und Freisetzung in die Umgebung

1) Hoch-Alarm für den Druck

2) Flutungs-system

3) Druck-entlastungs-ventil

Bewertung der Entwurfs-bedingungen für die Freisetzung des Druckent-lastungs-ventils in die Umgebung

Niedriger oder kein Durchfluss

Versagen der Durchflussregelung

Keine maßgeb-lichen Folgen

Rückströmung Keine maßgeb-lichen Folgen

17.04.2013

L001

P001PA+

LC

V001VC

BPCS

Schutzebene Fackel


FMEA nach DIN EN 60812 [4] Failure Mode and Effects Analysis

• in erster Linie auf die Untersuchung von Material- und

Geräteausfällen abgestimmt

• anwendbar auf Systeme mit unterschiedliche Technologien

(elektrisch, mechanisch, usw.)

• auf alle Ebenen des Systementwurfs anwendbar (System,

Teilsystem, Komponente, Einheit), aber besonders für die

untere Ebene (mit vielen Einheiten) geeignet

• liefert wesentliche Informationen für Diagnose- und

Instandhaltungsverfahren

17.04.2013


FMEA: Beispiel [3]

17.04.2013


ETA nach DIN EN 62502 (VDE 0050-3) [6] Event Tree Analysis

• Visualisierung von Ereignisketten

• Identifizierung von Fehlerausbreitungspfaden

• Modellierung der Reihenfolge und Wechselwirkung

verschiedener schadensmindernder Faktoren

• Bestimmung der Wahrscheinlichkeiten kann durch

andere Verfahren ergänzt werden

17.04.2013

Schritt 1:Definition des Systems, das betrachtet werden

soll

Schritt 2:Ermittlung der zu

betrachtenden Startereignisse

Schritt 3:Ermittlung der schadens-

mindernden Faktoren und physikalischen Phänomene

Schritt 4:Definition einer Reihenfolge und deren Ergebnisse sowie

deren Quantifizierung

Schritt 5:Analyse der Ergebnisse


ETA: Beispielanalyse [1]

17.04.2013

Druck-Hoch-Alarm

Reaktion des Bedieners

Schutzebene

Überdruck10-1/Jahr

Erfolgreich?

Erfolgreich?Erfolg

Erfolgreich?Nein

Erfolgreich?Ausfall/Versagen

Ja

Ja

Nein

Ja

Nein

0,9

0,1

Wahrschein-lichkeit

Auswirkungen

1. Keine Freisetzung von Stoffen

2. Entspannung über eine Fackel durch Schutzebene


3. Freisetzung in die Umgebung


8 x 10-2/Jahr

8 x 10-3/Jahr

9 x 10-4/Jahr

9 x 10-3/Jahr

1 x 10-3/Jahr

Aktuelles Risiko: 1 x 10-3/Jahr + 9 x 10-4/Jahr = 1,9 x 10-3/Jahr


DEDUKTIVE VERFAHREN

Gefährungs- und Risikobeurteilung

10.04.2013


FTA nach DIN EN 61025 [5] Fault Tree Analysis

• geordnete graphische Darstellung

• zeigt die Ursachen und die Kombinationen von

Ursachen, die zum Hauptereignis führen

• kann qualitativ oder quantitativ sein

• kann komplexe Systeme mit abhängigen

Subsystemen untersuchen

• kann Wechselbeziehungen zwischen mechanischen,

elektrischen und softwaretechnischen Teilsystemen

darstellen

17.04.2013


FTA: Beispielanalyse [1]

Ursachen für unerwünschtes

Ereignis (Hauptereignis):

Überdruck im Behälter Legende:

17.04.2013

Überdruck0,1/Jahr

Äußere Ereignisse

(Feuer)

BPCS-Funktion versagt

BPCS-Funktion versagt Sensor

versagtVentil

verklemmt

Hauptereignis oderZwischenereignis

ODER-Gatter

An anderer Stelle untersucht

Grundereignis


Kombination von induktiven und deduktiven Verfahren am Beispiel FTA [5]

• FTA + FMEA

• FTA + ETA (Ursachen- und Folgeanalyse)

• FTA + Markov-Modell

• FTA + binäres Entscheidungsdiagramm

• FTA + Zuverlässigkeitsblockdiagramm

17.04.2013


ZUORDNUNG DER SICHERHEITSFUNKTIONEN ZU SCHUTZEBENEN

10.04.2013



Phase: Zuordnung der Sicherheitsfunktionen

zu Schutzebenen

Ziele: Zuordnung der Sicherheitsfunktionen zu

den entsprechenden Schutzebenen und für

jede sicherheitstechnische Funktion das

zugehörige Sicherheits-Integritätslevel (SIL)

17.04.2013



Anforderungen: DIN EN 61511-1 Abschnitt 9

Vorgaben: Eine Beschreibung der benötigten

sicherheitstechnischen Funktionen einschließlich

der Anforderungen an die Sicherheitsintegrität

Ergebnisse: Eine Beschreibung der Zuordnung

von Sicherheitsanforderungen

17.04.2013


Zuordnung jeder Sicherheitsfunktion

Nicht-SIS-Schutzebene

SIF Andere Schutzebenen

SIL

Zuordnung zu den Schutzfunktionen

10.04.2013


Begriff nach DIN EN 61511 [1]

Sicherheitsfunktion

Funktion, die von einem SIS, von einem

sicherheitsbezogenen System anderer

Technologie oder von externen Einrichtungen

zur Risikominderung ausgeführt wird, mit dem

Ziel, [..] einen sicheren Zustand für den Prozess zu

erreichen oder aufrecht zu erhalten

17.04.2013



Sicherheitstechnisches System (en. Safety

instumented system; kurz: SIS)

Sicherheitstechnisches System zur Ausführung

einer oder mehrerer sicherheitstechnischer

Funktionen. Ein SIS besteht aus Sensor(en),

Logiksystem und Aktor(en).

17.04.2013



Sicherheitstechnische Funktion (en. safety

instrumented function; kurz: SIF) – Funktion

mit vorgegebenem SIL, die zum Erreichen der

funktionalen Sicherheit notwendig ist. Eine

sicherheitstechnische Funktion kann entweder

eine sicherheitstechnische Schutzfunktion

oder sicherheitstechnische Regelfunktion sein.

17.04.2013


Schutzebene [1]

Schutzebene -

jede unabhängige Maßnahme,

die das Risiko durch Regelung

oder Steuerung, Schutz- oder

Schadensbegrenzungsmaßnahmen

vermindert

Dazu gehören auch: verfahrenstechnische und

organisatorische Maßnahmen

Beispiel für Schutzebenen

17.04.2013

Öffentliche Maßnahmen in NotfällenRundfunkinformation im Notfall

Anlagenbezogene Maßnahmen in NotfällenEvakuierungsmaßnahmen

SchadensbegrenzungMechanische Systeme

Sicherheitstechnische RegeleinrichtungenSicherheitstechnische Schadensbegrenzungseinrichtungen

Betriebliche Überwachung

SchutzMechanische Systeme

Prozessalarme mit BedienereingriffSicherheitstechnische RegeleinrichtungenSicherheitstechnische Schutzeinrichtungen

Regelung und ÜberwachungBetriebs- und

ÜberwachungseinrichtungenProzessalarme

Prozess


Begriffe [1]

Sicherheitsintegrität – mittlere Wahrscheinlichkeit, dass ein

sicherheitstechnisches System die geforderten sicherheitstechnischen

Funktionen unter allen festgelegten Bedingungen innerhalb eines

festgelegten Zeitraumes anforderungsgemäß ausführt

Sicherheits-Integritätslevel (SIL) – eine von vier diskreten Stufen zur

Spezifikation der Anforderungen für die Sicherheitsintegrität der

sicherheitstechnischen Funktionen, die dem sicherheitstechnischen System

zugeordnet werden, wobei SIL 4 den höchsten Grad, SIL 1 den niedrigsten

darstellt

17.04.2013


Was heißt SIL 1 bis SIL 4 in quantitativen

Werten? [1]

Anforderungsbetriebsart

SIL PFDavg Erforderliche Risikominderung

4 10-5 bis < 10-4 > 104 bis 105

3 10-4 bis < 10-3 > 103 bis 104

2 10-3 bis < 10-2 > 102 bis 103

1 10-2 bis < 10-1 > 10 bis 100

Betriebsart mit kontinuierlicher Anforderung

SIL PFH (Ausfälle pro Stunde)

4 10-9 bis < 10-8

3 10-8 bis < 10-7

2 10-7 bis < 10-6

1 10-6 bis < 10-5

10.04.2013


Ziel: Risikominderung durch SIS [1]

10.04.2013


ETA: Beispielanalyse [1]

Tolerierbares Risiko: 1 x 10-4/Jahr

Aktuelles Risiko: 1,9 x 10-3/Jahr

17.04.2013

Druck-Hoch-Alarm


Schutzebene

Überdruck0,1/Jahr

Erfolgreich?

Erfolgreich?Erfolg

Erfolgreich?Nein


Ja

Ja

Nein

Ja

Nein

0,9

0,1

Wahrschein-lichkeit

Auswirkungen






8 x 10-2/Jahr

8 x 10-3/Jahr

9 x 10-4/Jahr

9 x 10-3/Jahr

1 x 10-3/Jahr


Mögliche Risikominderung durch weitere Schutzebene [1]

10.04.2013

Druck-Hoch-Alarm


Schutzebene 1

Überdruck10-1/Jahr

Erfolgreich?

Erfolgreich?Erfolg

Erfolgreich?Nein


Ja

Ja

Nein

Ja

Nein

0,9

0,1

Wahrschein-lichkeit

Auswirkungen


2. Entspannung über eine Fackel

5. Entspannung über eine Fackel



8 x 10-2/Jahr

8 x 10-3/Jahr

9 x 10-5/Jahr

9 x 10-3/Jahr

1 x 10-4/Jahr

Schutzebene 2

Erfolgreich?

Erfolgreich?

Ja 3. Entspannung über eine Fackel 8 x 10-4/Jahr

Nein

Ja

Nein

6. Entspannung über eine Fackel 9 x 10-4/Jahr

Realisierbares Risiko: 1,9 x 10-4/Jahr > 10-4/Jahr


Mögliche Risikominderung durch SIS [1]

10.04.2013

Realisierbares Risiko: 1,9 x 10-5/Jahr < 10-4/Jahr

Druck-Hoch-Alarm


SIS

Überdruck10-1/Jahr

Erfolgreich?

Erfolgreich?Erfolg

Erfolgreich?Nein


Ja

Ja

Nein

Ja

Nein

0,9

0,1

Wahrschein-lichkeit

Auswirkungen






8 x 10-2/Jahr

9 x 10-3/Jahr

9 x 10-6/Jahr

1 x 10-2/Jahr

1 x 10-5/Jahr

Schutzebene

Erfolgreich?

Erfolgreich?

Ja 3. Entspannung über eine Fackel 8 x 10-5/Jahr

Nein

Ja

Nein

6. Entspannung über eine Fackel 9 x 10-5/Jahr

0,99

0,01

0,99

0,01


Bestimmung des Sicherheits-Integritätslevel: Qualitative und quantitative Methoden [1]

• Risikograph (qualitativ oder teilqualitativ)

• ALARP-Methode

• Risikomatrix

• LOPA-Methode (quantitativ)

17.04.2013


Risikograph – qualitativ [1]

17.04.2013


Analyse der Schutzebenen - LOPA [1]

17.04.2013


Typische Ausfallwahrscheinlichkeiten von Schutzebenen [1]

17.04.2013

Schutzebene Ausfallwahrscheinlichkeit (PFDavg)

Regelung 10-1

Menschliche Leistung (ausgebildet, kein Stress)

10-2 bis 10-4

Menschliche Leistung (Stress) 0,5 bis 1

Bedieneingriffe des Betriebspersonals aufgrund von Alarmen

10-1

Auslegung von Behältern für einen Druck oberhalb innerer und äußerer Druckerzeuger

10-4 oder besser, wenn die Unversehrtheit des Behälters sichergestellt ist


NÄCHSTE VORLESUNG

10.04.2013


Sicherheitslebenszyklus

Teil 1: Analyse

Gefahren erkennen & Risiken bewerten

Teil 2: Spezifikation & Entwurf Risiken reduzieren

Teil 3: Inbetriebnahme & Betrieb

Sicherheit aufrecht erhalten

10.04.2013

[1]


Quellen

[1] DIN EN 61511: Funktionale Sicherheit - Sicherheitstechnische Systeme für die

Prozessindustrie.

[2] DIN EN 31010 (VDE 0050-1): Risikomanagement – Verfahren zur

Risikobeurteilung.

[3] DIN EN 60300-3-1: Zuverlässigkeitsmanagement – Teil 3-1: Anwendungsleitfaden

– Verfahren zur Analyse der Zuverlässigkeit – Leitfaden zur Methodik.

[4] DIN EN 60812: Analysetechniken für die Funktionsfähigkeit von Systemen –

Verfahren für die Fehlzustandsart- und -auswirkungsanalyse (FMEA).

[5] DIN EN 61025: Fehlzustandsbaumanalyse.

[6] DIN EN 62502: Verfahren zur Analyse der Zuverlässigkeit – Ereignisbaumanalyse

(ETA).

17.04.2013

Documents

Vorlesung Prozessleittechnik 2 - TU Dresden · Sicherheitslebenszyklus - Analyse Folie 17 von 46 HAZOP: Beispielanalyse [1] Gegen-stand Abweichung Ursachen Auswirkung Schutzeinrichtung