Manuskript
Prozessleittechnik,
Funktionale Sicherheit
Die elektronische Version im Internet ist die gültige Textvorlage
Kopien oder Ausdrucke unterliegen keiner Versionskontrolle
Version 16/02/2015
Inhalt
• Prozessleittechnik in der Prozessindustrie
• Bau und Betrieb von prozessleittechnischen
Einrichtungen
• Prozessleittechnik im Einklang mit Sicherheit und
Verfügbarkeit
• Funktionale Sicherheit
Dr. Schrörs , Seite 2
Inhalt
•
Tag 1
– Prozessleittechnik in der Prozessindustrie
•
•
•
Intention
Begriffe
Mess- und Regelungstechnik/Prozessleittechnik
–
–
•
Historischer Rückblick und heutiger Stand
Prozessgrößen messen, Prozesse beeinflussen
Ebenenmodel
– Bau und Betrieb von prozessleittechnischen Einrichtungen
•
Klassifizierung von PLT-Einrichtungen
–
–
•
Planung und Errichtung von PLT-Einrichtungen
–
–
•
Dr. Schrörs , Seite 3
PLT-Einrichtungen (BPCS)
PLT-Schutzeinrichtungen (SIS)
Organisatorische Voraussetzungen
Technische Anforderungen
Betrieb prozessleittechnischer Einrichtungen
Inhalt
•
Tag 2
– Prozessleittechnik im Einklang mit Sicherheit und
Verfügbarkeit
•
•
•
•
•
Verfügbarkeit von PLT-Einrichtungen
Funktionsprüfung, Prüftiefe
Diagnose
Mitbenutzung von Komponenten der Schutzeinrichtung für
betriebliche Zwecke
Alarmmanagement
– Funktionale Sicherheit
•
•
•
•
•
Dr. Schrörs , Seite 4
Intention und Motivation
Management der Funktionalen Sicherheit, Lebenszyklus
Risikobewertung
Safety and Security
Verfügbarkeitsdaten und Betriebsbewährung
Internet
Dr. Schrörs , Seite 5
Manuskript
Dr. Schrörs , Seite 6
Prüfung
• Klausur
– Vom Institut organisiert
– Von Mitarbeitern des Instituts in der vorlesungsfreien
Zeit abgehalten
Dr. Schrörs , Seite 7
Intention
Verfahrenstechnische
Anlage in der
chemischen Industrie
Die Lehrinhalte dieser Veranstaltung sollen einen Teil der Kenntnisse vermitteln, die
erforderlich sind, um komplexe Prozesse in der verfahrenstechnischen Industrie sicher,
zuverlässig und qualitativ hochwertig zu beherrschen. Das kann gewiss nur eine
Teilmenge des Ganzen sein, weil die verschiedenen Prozesse oftmals so unterschiedlich
sind, dass individuelle Erfahrungen einen großen Teil des gesamten Wissens ausmachen.
Dr. Schrörs , Seite 8
Begriffe
Begriffe
Prozess
Gesamtheit von aufeinander einwirkenden Vorgängen in einem System, durch die Materie,
Energie oder Information
•
•
•
umgeformt,
transportiert,
gespeichert
wird. (DIN IEC 60050-351)
Ein technischer Prozess ist ein Prozess, dessen physikalische oder chemische Größen mit
technischen Mitteln erfasst und beeinflusst werden. Man unterscheidet:
•
•
•
•
Verfahrensprozesse
Fertigungsprozesse
Verteilungsprozesse
Mess- und Prüfprozesse
Dr. Schrörs , Seite 10
Begriffe
Prozess
•
kontinuierliche Prozesse
(Beispiele: Erdölraffinerien oder Stromerzeugung)
•
diskontinuierliche Prozesse
(Batch-Prozess, Beispiele: Medikamentenerstellung oder Kaffeerösten)
Einteilung von Herstellungsprozessen
Fließgüter
Stückgüter
kontinuierlich
stückweise
Prozessautomatisierung
Fertigungsautomatisierung
Dr. Schrörs , Seite 11
Begriffe
Leiten (DIN IEC 60050-351), en: control
zweckmäßige Maßnahmen an oder in einem Prozess, um vorgegebene Ziele zu
erreichen
Leittechnik
Produktionsleittechnik
Kraftwerksleittechnik
Netzleittechnik
Gebäudeleittechnik
Verkehrsleittechnik
Kommunikationsleittechnik
Dr. Schrörs , Seite 12
Verfahrensleittechnik
Fertigungsleittechnik
Begriffe
Ziel
Aufgabe
Dr. Schrörs , Seite 13
Was zu
erreichen ist
Was dazu
erforderlich ist
Maßnahme
Wie es zu
machen ist
Einrichtung
Wie es technisch
zu realisieren ist
Begriffe
Leiteinrichtung (DIN IEC 60050-351), en: control system
Gesamtheit aller für die Aufgabe des Leitens verwendeten Geräte und
Programme sowie im weiteren Sinne auch aller Anweisungen und Programme
A
Mensch
B
Leiteinrichtung
C
Prozess
Dx
Störungen aus der Umgebung
E
überwachen, auswerten, optimieren
F
eingreifen
G
messen, zählen
H
auswerten, überwachen, steuern, regeln,
optimieren, schützen
I
anzeigen, melden, aufzeichnen,
protokollieren
J
Umgebung
K
stellen, schalten
L
Anweisungen
Dr. Schrörs , Seite 14
Begriffe
automatisch (DIN IEC 60050-351), en: automatic
einen Prozess oder eine Einrichtung bezeichnend, der oder die unter
festgelegten Bedingungen ohne menschliches Eingreifen abläuft oder arbeitet
Automatisierungsgrad (DIN IEC 60050-351), en: degree
of automation
Anteil der selbsttätigen Funktionen an der Gesamtheit der Funktionen eines
Systems oder einer technischen Anlage
Dr. Schrörs , Seite 15
Begriffe
Prozessleittechnik (PLT)
Als Prozessleittechnik bezeichnet man Mittel und Verfahren, die dem Steuern,
Regeln und Sichern verfahrenstechnischer Anlagen dienen. Zentrales Mittel sind
dabei das Prozessleitsystem und die Speicherprogrammierbare Steuerung.
Daneben gibt es noch die Verbindungsprogrammierte Steuerung, die für
kompliziertere Anwendungen allerdings sehr aufwendig ist und daher heutzutage
nur noch dort eingesetzt wird, wo die Installation einer SPS zu aufwändig
erscheint oder besondere Anforderungen an die Sicherheit gestellt werden.
Die Grundaufgabe der Prozessleittechnik ist es, Prozesse zu steuern und zu
überwachen, um bestimmte Sollzustände (Temperatur, Füllstand, Luftfeuchte,
usw.) einzuhalten und bei großen Abweichungen einen Alarm auszulösen oder
eine Sicherheitsfunktion zu aktivieren.
Dr. Schrörs , Seite 16
Regelwerke
IEC 61508
• Welche Art der Unterstützung
haben wir auf unserem Weg?
– Gesetze
EN 50128 (Bahn)
DIN EN 61513 (Nuklear)
– Verordnungen
DIN EN 62061(Maschinen)
– Technische Regeln
EN 50402 (Gas Sensoren)
DIN EN 61511
(Prozessindustrie)
Dr. Schrörs , Seite 17
Globalisierung technischer Regelwerke
EN 61511
ANSI/ISA
84.00.01-2004
GB-T-21109
IEC 61511
Dr. Schrörs , Seite 18
Begriffe
Funktionale Sicherheit (DIN EN 61511-1)
Teil der Gesamtsicherheit, der sich auf den Prozess und das BPCS
bezieht und der von der bestimmungsgemäßen Funktion des SIS und
anderer Sicherheitsebenen abhängt
Dr. Schrörs , Seite 19
Begriffe
Abkürzung
AC/DC
ALARP
ANSI
BPCS
DC
Englische Benennung
Alternating current/direct current
As low as reasonably practicable
American National Standards Institute
Basic process control system
Diagnostic coverage
E/E/PE
Dr. Schrörs , Seite 20
Deutsche Benennung
Wechsel-/Gleichstrom
So niedrig wie vernünftigerweise möglich
US-amerikanische Normungsorganisation
Betriebs- und Überwachungseinrichtungen als ein System
Diagnose-Deckungsgrad
Electrical/electronic/programmable electronic
Electrical/electronic/programmable electronic
E/E/PES
system
EMC (EMV) Electro-magnetic compatibility
FAT
Factory acceptance testing
FPL
Fixed program language
FTA
Fault tree analysis
FVL
Full variability language
HFT
Hardware fault tolerance
elektrisch/elektronisch/programmierbar elektronisch
elektrisches/elektronisches/programmierbares elektronisches
System
Elektromagnetische Verträglichkeit
Werksendprüfung
Feste Programmiersprache
Fehlerbaumanalyse
Programmiersprache mit nicht eingeschränktem Sprachumfang
Hardware-Fehlertoleranz
HMI
H & RA
HRA
H/W
IEC
IEV
ISA
Human machine interface
Hazard & risk assessment
Human reliability analysis
Hardware
International Electrotechnical Commission
International Electrotechnical Vocabulary
Instrument Society of America
ISO
LVL
MooN
NP
PE
PES
PFD
PFDavg
PLC
SAT
SFF
SIF
International Organization for Standardization
Limited variability language
M out of N
Non-programmable
Programmable electronics
Programmable electronic system
Probability of failure on demand
Average probability of failure on demand
Programmable logic controller
Site acceptance test
Safe failure fraction
Safety instrumented function
SIL
SIS
SRS
S/W
Safety integrity level
Safety instrumented system
Safety requirements specification
Software
Mensch-Maschine-Schnittstelle
Gefährdungs- und Risikobeurteilung
Analyse menschlicher Zuverlässigkeit
Hardware
Internationale Elektrotechnische Kommission
Internationales Elektrotechnisches Wörterbuch
Instrument Society of America
Internationale Organisation für
Normung
Sprache mit eingeschränktem Sprachumfang
M von N
nicht programmierbar
Programmierbare Elektronik
Programmierbares elektronisches System
Wahrscheinlichkeit eines Ausfalls bei Anforderung
mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung
Speicherprogrammierbare Steuerung
Vor-Ort-Abnahme
Anteil ungefährlicher Ausfälle
Sicherheitstechnische Funktion
SicherheitsIntegritätslevel
Sicherheitstechnisches System
Spezifikation der Sicherheitsanforderungen
Software
Begriffe
PLT-Schutzeinrichtung
PLT-Schutzeinrichtungen sind PLT-Einrichtungen, die das Erreichen
eines unzulässigen Fehlbereiches durch einen selbsttätigen Eingriff in
den Prozess verhindern oder das Bedienpersonal durch eine Meldung zu
einem Eingreifen veranlassen oder im Fall des Eintritts eines
unerwünschten Ereignisses die möglichen Auswirkungen dieses
Ereignisses begrenzen.
Sicherheitstechnisches System (SIS)
Synonym zu PLT-Schutzeinrichtung. Ein SIS besteht aus Sensor(en),
Signalverarbeitung und Aktore(n). In einem sicherheitstechnischen
System werden eine oder mehrere PLT-Schutzfunktionen ausgeführt.
Dr. Schrörs , Seite 21
Begriffe
Sicherheitsintegritätslevel (SIL)
Eine von vier diskreten Stufen zur Spezifikation der
Anforderungen an die PLT-Schutzfunktionen, die der PLTSchutzeinrichtung zugeordnet werden, wobei der SicherheitsIntegritätslevel 4 den höchsten Grad der Sicherheitsintegrität, der
Sicherheits-Integritätslevel 1 den niedrigsten darstellt.
Dr. Schrörs , Seite 22
Begriffe
Prozessleitsystem (BPCS) (en: basic process control system
(BPCS))
System, das auf Eingangssignale vom Prozess und seinen zugehörigen
technischen Einrichtungen, von anderen programmierbaren Systemen
und/oder von einem Bediener antwortet und Ausgangssignale erzeugt,
die den Prozess und seine zugehörigen technischen Einrichtungen in der
gewünschten Weise steuern. Das BPCS übernimmt jedoch keine
sicherheitstechnischen Funktionen mit einem SIL ≥ 1.
Dr. Schrörs , Seite 23
Begriffe
MooN-System (en: MooN, M out of N)
System oder Teil davon, das aus „N“ unabhängigen Kanälen besteht, die
derart miteinander verbunden sind, dass jeweils „M“ Kanäle genügen,
um die Funktion auszuführen
MooND
Architektur mit M-aus-N Kanälen mit Diagnose
Dr. Schrörs , Seite 24
Begriffe
Ausfall infolge gemeinsamer Ursache (en: common cause failure)
Ausfall, der das Ergebnis eines oder mehrerer Ereignisse ist, die Ausfälle
von zwei oder mehreren getrennten Kanälen in einem mehrkanaligen
System verursachen und zu einem Systemausfall führen
Ausfall infolge gemeinsamer Ausfallart (en: common mode failure)
gleichartiger Ausfall von zwei oder mehr Kanälen, der das gleiche
falsche Ergebnis erzeugt
Dr. Schrörs , Seite 25
Begriffe
zufälliger Hardware-Ausfall (en: random hardware failure)
Ausfall, der zu einem zufälligen Zeitpunkt auftritt und der aus einem oder
mehreren möglichen Mechanismen in der Hardware resultiert, die zu
einer Verschlechterung der Eigenschaften von Bauteilen führen
systematischer Ausfall (en: systematic failure)
systematisches Versagen/Ausfall, bei dem eindeutig auf eine Ursache
geschlossen werden kann, die nur durch eine Modifikation des Entwurfs
oder des Fertigungsprozesses, der Art und Weise des Betreibens, der
Bedienungsanleitung oder anderer Einflussfaktoren beseitigt werden
kann
Dr. Schrörs , Seite 26
Begriffe
ungefährlicher Ausfall (en: safe failure)
Ausfall ohne das Potential, das (sicherheitstechnische) System in einen
gefahrbringenden oder funktionsunfähigen Zustand zu versetzen
gefährlicher Ausfall (en: dangerous failure)
Ausfall mit dem Potential, das (sicherheitstechnische) System in einen
gefahrbringenden oder funktionsunfähigen Zustand zu versetzen
Dr. Schrörs , Seite 27
Begriffe
erkannt, offenkundig (en: detected, revealed, overt)
in Verbindung mit Hardwareausfällen und Softwarefehlern erkannt durch
Diagnosetests oder den üblichen Betrieb
nicht erkannt, verdeckt (en: undetected, unrevealed, covert)
in Verbindung mit Hardware- und Softwarefehlern, die nicht durch
Diagnosetests oder den normalen Betrieb erkannt werden
Dr. Schrörs , Seite 28
Begriffe
Fehlertoleranz (en: fault tolerance)
Fähigkeit einer Funktionseinheit, eine geforderte Funktion bei Bestehen
von Fehlern oder Abweichungen weiter auszuführen
Hardware-Fehlertoleranz
Die Hardware-Fehlertoleranz ist das Maß für die Fähigkeit einer
Komponente oder eines Teilsystems, trotz des Vorliegens eines oder
mehrerer Hardwarefehler die geforderte Funktion auszuführen. Eine
Hardware-Fehlertoleranz von 1 bedeutet, dass beispielsweise zwei
Geräte vorhanden und so angeordnet sind, dass ein Ausfall eines der
Geräte oder Teilsysteme die Durchführung der Funktion nicht verhindert.
Dr. Schrörs , Seite 29
Begriffe
(Sicherheits-)Lebenszyklus (en: (safety) life cycle)
notwendige Tätigkeiten im Rahmen der Realisierung von
sicherheitstechnischen Funktionen während eines Zeitraumes, der mit
der Konzeptphase eines Projektes beginnt und endet, wenn alle
sicherheitstechnischen Funktionen nicht mehr für die Verwendung
verfügbar sind
Dr. Schrörs , Seite 30
Begriffe
Validierung (en: validation)
Nachweis, dass die betrachteten Funktionen und das System nach der
Montage in jeder Hinsicht die Spezifikation der Anforderungen erfüllt
Verifikation (en: verification)
durch Analyse oder Tests in jeder Phase des Lebenszyklus geführter
Nachweis, dass für bestimmte Eingaben die Ergebnisse in jeder Hinsicht
die Ziele und Anforderungen der betreffenden Phase erfüllen
Dr. Schrörs , Seite 31
Mess- und
Regelungstechnik/Prozessleittechnik
Historischer Rückblick und heutiger Stand
Leitstände
Dr. Schrörs , Seite 33
Leitstände
Dr. Schrörs , Seite 34
Leitstände, um 1950
Quelle: TU Dresden
Dr. Schrörs , Seite 35
Leitstände
Quelle: TU Dresden
Dr. Schrörs , Seite 36
Grundstruktur einer PLT-Einrichtung
Messwarte
Sensor Subsystem
Erzeugung der
Information
Dr. Schrörs , Seite 37
Anlage
BPCS
Aktor Subsystem
Verarbeitung der
Information
Entscheidung
zur Aktion
Ausführung der
Aktion, z.B.
Ventil, Motor,
Hupe
Anzeiger mit pneumatischen Grenzkontakten
Die Grenzwerte werden berührungslos über Abgriffe mit
einer Strahl-Fang-Düse (P 1) erfasst. Im Normalbetrieb
befindet sich die Steuerfahne (P 2) außerhalb des
Abgriffes (P 1). Die Zuluft pZ strömt ungehindert über die
Strahldüse (P 1.1) zur Fangdüse (P 1.2), deren
Ausgangsdruck dem Binärsignal "1" entspricht. Dieses
Signal wird über den Verstärker (P 3) dem Anschluss 2
des pneumatischen Umschalters (P 4) zugeführt, dessen
Ausgang (Anschluss 3) mit Anschluss 5 verbunden ist.
Bei Erreichen eines Grenzwertes wird der Luftstrom im
Abgriff (P 1) durch die Steuerfahne (P 2) unterbrochen,
der Ausgangsdruck der Fang-Düse (P 1.2) fällt ab und
nimmt den Wert "0„ an. Dadurch schaltet der Schalter
(P 4) um, der Ausgang (Anschluss 3) wird mit Anschluss
4 verbunden.
Bei Ausfall der Zuluft pZ ergibt sich die gleiche
Schaltstellung wie im Normalbetrieb, d. h. der Ausgang
(Anschluss 3) ist mit Anschluss 5 verbunden.
Der zu schaltende Druck kann anlagengemäß an den
Eingang 4 oder 5 angelegt werden. Einer der Eingänge
muss mit der Atmosphäre verbunden sein.
Dr. Schrörs , Seite 38
Aktuatoren (Aktor)
Dr. Schrörs , Seite 39
Einperlverfahren zur Standmessung
Niveaumessung nach dem Einperlverfahren
DE 03: Differenzdrucktransmitter
DZ 35: 3-Spindel-Absperr- und Ausgleichsventil
p(h) = ρ · g · h
mit:
p(h) - Hydrostatischer Druck als Funktion der Wasserhöhe; [p] = Pa
g - Ortsfaktor (Fallbeschleunigung); [g] = m/s²
ρ - Dichte (für Wasser: = 1.000 kg/m³); [ρ] = kg/m³
h - Höhe der Flüssigkeitssäule; [h] = m, cm oder mm
Dr. Schrörs , Seite 40
Messwertumformer
Dr. Schrörs , Seite 41
Sensor Subsystem
Thermometer
(Temperature)
Stand
(Level)
Dr. Schrörs , Seite 42
Druck
(Pressure)
Durchfluss
(Flow)
Sensor Subsystem, Füllstand
Vibrationsgrenzschalter für
Flüssigkeiten
Füllstandgrenzschalter
Dr. Schrörs , Seite 43
Sensor Subsystem, Analyse
Dr. Schrörs , Seite 44
Aktor Subsystem, Ventil
Ventilkonstruktionen für
verfahrenstechnische Anlagen,
Dr. Schrörs , Seite 45
Regelventil, Stellventil
Stellantrieb
Der Ventilantrieb verändert die Position des Ventilkegels und damit den
Durchfluss durch das Ventil
Dr. Schrörs , Seite 46
PLT-Leitsystem
BPCS
Dr. Schrörs , Seite 47
Moderne Leitwarte
•
•
•
Verfahrenstechnische
Prozesse werden von
zentralen Leitwarten
bedient.
Die eigentlichen
verfahrenstechnischen
Anlagen können weit
entfernt sein.
Dezentrale
Leitsystemkomponenten
verbunden über
Lichtwellenleitern
erlauben es, mehrere
Anlagen von einem Ort
zu lenken
Dr. Schrörs , Seite 48
Leitsystem-Architektur
Dr. Schrörs , Seite 49
Mess- und
Regelungstechnik/Prozessleittechnik
Prozessgrößen messen, Prozesse beeinflussen
Grundstruktur der Prozessleittechnik
Messwarte
Sensor Subsystem
Erzeugung der
Information
Dr. Schrörs , Seite 51
Anlage
BPCS
Aktor Subsystem
Verarbeitung der
Information
Entscheidung
zur Aktion
Ausführung der
Aktion, z.B.
Ventil, Motor,
Hupe
Prozesse regeln und sichern
TIC
T0001
UZ
U0001
TIZ+
T0003
U0001
Y0001
Y0002
Y0003
Wenn T0002 oder T0003 > 220°C, dann schließe Y0002 und Y0003.
Sensorik: 1oo2, Aktorik: 1oo2
Dr. Schrörs , Seite 52
TIZ+
T0002
Gerätetechnik
• Sensoren
• Aktuatoren (Aktoren)
• Logik
Gerätetechnik, Sensoren
•
Messtechnik: Überwachung von Produktqualität, Sicherheit, Verbesserung
von Wirkungsgrad und Umweltverträglichkeit
Sensoren (Messaufnehmer): Umwandlung eines nichtelektrischen
Eingangssignals in geeignetes (elektrisches) Messsignal
Geforderte Eigenschaften einer Messstelle:
•
•
•
•
•
•
•
Eindeutige Kennlinie
Ausreichende Dynamik
EMV, Explosionssicherheit
Selektivität (verschwindende
Querempfindlichkeit)
Zeit- und Betriebsinvarianz
Dr. Schrörs , Seite 54
Gerätetechnik, Sensoren
Verfahrenstechnik
Fertigungstechnik
Druck
Temperatur
Länge/Weg/Position
Durchfluss
Beschleunigung
Füllstand
Drehzahl
Dichte
Kraft/Wägung/Drehmoment
Viskosität
Neigung/Winkel
Analytik, z.B. pH-Wert
Geschwindigkeit
Konzentration
Spannungsanalyse (DMS)
Anwendungen
Dr. Schrörs , Seite 55
Sensor Subsystem, Temperatur,
Messprinzip Widerstandsmessung (Pt 100)
Zweileiterschaltung
• Mini-Thermometer
• Mignon Anschlusskopf
• Schnelle Ansprechzeit
Drei- und Vierleiterschaltung zur
Kompensation des
Leitungswiderstandes
Quelle: Wikipedia
Dr. Schrörs , Seite 56
• Kabeleinführung: M16
• Schutzart: IP55
• Messbereich: -50…+400°C
Sensor Subsystem, Druck (Pressure)
Absolutdruck
•
Relativdruck
•
Differenzdruck
Dr. Schrörs , Seite 57
Messung des Drucks über
eine Messung der Kraft auf
eine definierte Fläche
Membranmanometer:
Gummi oder
Metallmembran wird ein
oder beidseitig mit Druck
beaufschlagt
Sensor Subsystem, Druck
•
Passivdrucksensoren
•
Relativdrucksensoren
•
Absolutdrucksensoren
•
Differenzdrucksensoren
Dr. Schrörs , Seite 58
Sensor Subsystem, Druck
•
Passivdrucksensoren
•
Relativdrucksensoren
•
Absolutdrucksensoren
•
Differenzdrucksensoren
Dr. Schrörs , Seite 59
Sensor Subsystem, Füllstand (Level)
•
Schwimmergeräte
Anwendung in Lagerbehältern oder
als Grenzstandschalter (z. B.
Überfüllsicherung)
•
Dr. Schrörs , Seite 60
Kapazitive Füllstandmessung
• Geeignet für elektrisch nicht
leitende Materialien
(Flüssigkeiten oder Schüttgut)
• Messprinzip: kapazitive
Wegmessung
• Auch möglich: Anwendung als
Grenzstandschalter
Sensor Subsystem, Füllstand (Level)
•
Dr. Schrörs , Seite 61
Laufzeitverfahren
• Messung der Laufzeit eines
abgestrahlten Signals, das von
der Oberfläche des zu
messenden Mediums reflektiert
wird
• Meist Ultraschall, auch Laser
oder Mikrowellenradar
• Schallgeschwindigkeit ist
temperaturabhängig;
Temperaturmessung oder
Referenzmessung einer
bekannten Strecke notwendig
Sensor Subsystem, Füllstand
Hydrostatische
Messsonde
Kontinuierliche
Messung
Dr. Schrörs , Seite 62
• Mechanische Füllstandmessung
• Schwimmer
• Vibrationssensoren
• Drehflügelschalter
• Elektromechanische Lotsysteme
• Druckmessung
• Hydrostatisch
• Differenzdruck
• Leitfähigkeitsmessung
• Kapazitive Messung
• Optische Messung
• Ultraschall
• Mikrowellen
• Radar
• Geführtes Radar
• Radiometrie
Sensor Subsystem, Füllstand
Vibrationsgrenzschalter für
Flüssigkeiten
Füllstandgrenzschalter
Dr. Schrörs , Seite 63
Sensor Subsystem, Durchfluss (Flow)
Massedurchfluss qM ≈ √Δp
Quelle: Wikipedia
Dr. Schrörs , Seite 64
Sensor Subsystem, Durchfluss
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Unmittelbare Volumenzähler
Mittelbare Volumenzähler
Schwebekörper-Durchflussmesser
Magnetisch Induktiver Durchflussmesser (MIDs)
Ultraschalldurchflusssensor (USD)
Coriolis-Massendurchflussmesser
Wirbeldurchflussmesser
Korrelationsdurchflussmesser
Laminardurchflussmesser
Durchflussmesser mit Strömungsmesssonden
Durchflussmessung mit Drosselgeräten
Messverfahren für offene Anlagen
Thermische Massendurchflussmessung
Luftmassensensor
Laser-Doppler
Dr. Schrörs , Seite 65
Sensor Subsystem, Durchfluss
•
Gyroskopische
Massedurchflussmessung
• Medium wird durch geeignet
geformtes Rohr geleitet, das
senkrecht zur Durchflussrichtung
beschleunigt wird
• Coriolis-Kraft (Fc = 2m · v × ω) übt
auf Rohr mechanische Verformung
aus
• Messung der Verformung geeignet
für Flüssigkeiten und Gase und
nahezu unabhängig von
physikalischen Eigenschaften des
Mediums (z. B. Temperatur, Dichte,
Viskosität)
• hohe Genauigkeit bei großem
Messbereich
• schwingungsarme Montage und
Mindest-Flussgeschwindigkeit
erforderlich
Dr. Schrörs , Seite 66
Sensor Subsystem, Analyse
Dr. Schrörs , Seite 67
Gerätetechnik
• Sensoren
• Aktuatoren (Aktoren)
• Logik
Aktor Subsystem, Ventil
Ventilkonstruktionen für
verfahrenstechnische Anlagen,
Regelventil, Stellventil
Normale Sitz
Kegel-Garnitur
Dr. Schrörs , Seite 69
Lochkegel zur
Schallpegelminderung
Aktor Subsystem, Ventil
Kugelhahn
Ventilkonstruktionen für
verfahrenstechnische Anlagen,
Sperrventil
Dr. Schrörs , Seite 70
Klappe
Ventilarten
•
•
•
•
Handbetätigte Ventile
Mediumbetätigte Ventile
Maschinell (elektromotorisch) betätigte Ventile mit Ventilantrieb
Elektromagnetisch betätigte Ventile, unterteilt in
–
–
–
–
–
–
•
•
•
•
Direktgesteuerte Ventile 2/2 Wege-Ventile
Direktgesteuerte Ventile 3/2 Wege-Ventile
Servogesteuerte Ventile
Zwangsgesteuerte Ventile
Vorgesteuerte Ventile
Fremdgesteuerte Ventile
Elektrisch betätigte Ventile
Pneumatisch betätigte Ventile
Hydraulisch betätigte Ventile
Feder- und gewichtsbelastete Ventile, vor allem in der Bauform
Eckventil als Sicherheitsventil
Dr. Schrörs , Seite 71
Stellantrieb
Der Ventilantrieb verändert die Position des Ventilkegels und damit den
Durchfluss durch das Ventil
Dr. Schrörs , Seite 72
Stellantrieb
•
Elektrische Antriebe
– Gleichstrom- oder Drehstrommotoren mit Getrieben und
Gewindespindeln
– Hoher Aufwand für Ex-Schutz nötig, aber vorhandene Elektronik
erleichtert Feldbusanschluss
•
Hydraulische Antriebe
– Sehr große Stellkräfte, Drehmomente und Stellgeschwindigkeiten möglich
– Hohe Hubsteifigkeit
•
Pneumatische Antriebe
– Häufig in explosionsgeschützten Bereichen eingesetzt, da inhärent
eigensicher
– Ausfall der Druckluftversorgung: Federpakete sorgen für Überführung in
– definierte Ruhelage (schließend/öffnend)
– Stellventil mit pneumatischem Membranantrieb:
Dr. Schrörs , Seite 73
Aktor Subsystem,
Ventil
Klassische Bauform
Dr. Schrörs , Seite 74
Gerätetechnik
• Sensoren
• Aktuatoren (Aktoren)
• Logik
Komponenten
Quelle: Siemens
Dr. Schrörs , Seite 76
Komponenten
Quelle: Siemens, Hima
Dr. Schrörs , Seite 77
Komponenten
Quelle: Siemens
Dr. Schrörs , Seite 78
Komponenten
Dr. Schrörs , Seite 79
Bedienung und Beobachtung
Dr. Schrörs , Seite 80
PLT-Leitsystem
BPCS
Dr. Schrörs , Seite 81
Moderne Leitwarte
•
•
•
Verfahrenstechnische
Prozesse werden von
zentralen Leitwarten
bedient.
Die eigentlichen
verfahrenstechnischen
Anlagen können weit
entfernt sein.
Dezentrale
Leitsystemkomponenten
verbunden über
Lichtwellenleitern
erlauben es, mehrere
Anlagen von einem Ort
zu lenken
Dr. Schrörs , Seite 82
Leitsystem-Architektur
Dr. Schrörs , Seite 83
Ebenenmodell
Automatisierungspyramide
ERP
MES
SCADA
SPS/PLS
Ein-/Ausgangssignale
Prozess
Quelle: Wikipedia
Dr. Schrörs , Seite 85
Unternehmensleitebene
Produktions-/Betriebsleitebene
Führungsebene
Prozessleitebenebene
Steuerungsebene
Feldebene
Begriffliche Unterschiede
•
•
•
Verfahrenstechnik
Ebene
Fertigungstechnik
Unternehmensleitebene
6
Unternehmensleitebene
Produktionsleitebene
5
Betriebsleitebene
Betriebsleitebene
4
Produktionsleitebene
Prozessleitebene
3
Prozessführungsebene
Prozessleitebene
2
Prozesssteuerungsebene
Feldebene
1
Prozessebene
Unterschiedliche Definition des Begriffs „Betrieb“
Unterschiedliche Hardware in den Ebenen 1-3
Unterschiedliche Prozessmodellierungen (bei Verhaltens- und Funktionsmodellen)
Dr. Schrörs , Seite 86
Automatisierungspyramide, Entscheidungen
strategisch
ERP
MES
taktisch
SCADA
SPS/PLS
operativ
Ein-/Ausgangssignale
Prozess
Quelle: Wikipedia
Dr. Schrörs , Seite 87
Unternehmensleitebene
Produktions-/Betriebsleitebene
Führungsebene
Prozessleitebenebene
Steuerungsebene
Feldebene
Automatisierungspyramide, Zeithorizont
Monate
Tage
ERP
Tage
Stunden
MES
Stunden
Minuten
SCADA
Minuten
< Sekunden
SPS/PLS
< Sekunden
Ein-/Ausgangssignale
Prozess
Quelle: Wikipedia
Dr. Schrörs , Seite 88
Unternehmensleitebene
Produktions-/Betriebsleitebene
Führungsebene
Prozessleitebenebene
Steuerungsebene
Feldebene
Automatisierungspyramide
ERP
MES
SCADA
SPS/PLS
Ein-/Ausgangssignale
Prozess
Quelle: Wikipedia
Dr. Schrörs , Seite 89
Unternehmensleitebene
Produktions-/Betriebsleitebene
Führungsebene
Prozessleitebenebene
Steuerungsebene
Feldebene
Feldebene
•
•
•
Funktionen und Komponenten zum direkten Informationsaustausch mit
Anlage bzw. Prozess
Sensor-/Aktorsystem zum:
–
–
–
•
•
•
Messen
Stellen
Schalten
Meldesystem
Sicherheits- und Schutzsystem
Signal- (und Energie-)transportsystem
Dr. Schrörs , Seite 90
Leitsystem-Architektur
Dr. Schrörs , Seite 91
Automatisierungspyramide
ERP
MES
SCADA
SPS/PLS
Ein-/Ausgangssignale
Prozess
Quelle: Wikipedia
Dr. Schrörs , Seite 92
Unternehmensleitebene
Produktions-/Betriebsleitebene
Führungsebene
Prozessleitebenebene
Steuerungsebene
Feldebene
Leitsystem-Architektur
Dr. Schrörs , Seite 93
Automatisierungspyramide
ERP
MES
SCADA
SPS/PLS
Ein-/Ausgangssignale
Prozess
Quelle: Wikipedia
Dr. Schrörs , Seite 94
Unternehmensebene
Produktions-/Betriebsleitebene
Führungsebene
Prozessleitebenebene
Steuerungsebene
Feldebene
Leitsystem-Architektur
Dr. Schrörs , Seite 95
SCADA
Unter Supervisory Control and Data Acquisition (SCADA)
versteht man das Überwachen und Steuern technischer
Prozesse mittels eines Computer-Systems.
Quelle: Wikipedia
Dr. Schrörs , Seite 96
Prozessleitebene
•
•
•
•
•
•
prozessnahe Informationsverarbeitung (Regeln, Verknüpfungs- und
Ablaufsteuerungen, Sichern)
Ermittlung abgeleiteter Prozessgrößen (z.B. Bestimmung von
Säurekonzentrationen aus Leitfähigkeitsmessungen)
Grenzwertprüfungen
Informationsbeschaffung und -aufarbeitung für den Menschen (Überwachen,
Melden, Protokollieren, Trendverfolgung)
Advanced Process Control (APC)
Werkzeuge: z. B. Step7, PCS7
–
–
SPS: speicherprogrammierbare Steuerung (programmable logic control, PLC)
PLS: Prozessleitsystem (distributed control system, DCS)
Dr. Schrörs , Seite 97
Automatisierungspyramide
ERP
MES
SCADA
SPS/PLS
Ein-/Ausgangssignale
Prozess
Quelle: Wikipedia
Dr. Schrörs , Seite 98
Unternehmensleitebene
Produktions-/Betriebsleitebene
Führungsebene
Prozessleitebenebene
Steuerungsebene
Feldebene
MES
Als Manufacturing Execution System (MES) wird eine
prozessnahe operierende Ebene eines mehrschichtigen
Fertigungsmanagementsystems bezeichnet.
Quelle: Wikipedia
Dr. Schrörs , Seite 99
Leitsystem-Architektur
Dr. Schrörs , Seite 100
Betriebsleitebene
•
betriebsbezogene Kontroll- & Verwaltungsfunktionen:
–
–
–
•
•
•
•
Verwaltung von Herstellvorschriften (Rezepten)
Langzeitspeicherung und statistische Auswertung von Produktionsdaten (z. B. zum Gewinn
von Prozessmodellen, zur betrieblichen Qualitätskontrolle)
Personaldisposition
Schnittstelle zwischen kaufmännisch-logistisch orientierter Bürowelt und
Produktion
Rückmeldung erfolgter Produktion an die Produktionsleitebene
Vorgaben für Sollwerte, Überwachungsgrenzen etc. an Prozessleitebene
Werkzeuge:
–
–
–
CAQ: Computer Aided Quality Control
CAM: Computer Aided Manufacturing
MES: Manufacturing Execution System
Dr. Schrörs , Seite 101
Produktionsleitebene
•
betriebsübergreifende Aufgaben, z. B.:
–
–
–
•
•
•
Bestandsführung
Auftragsplanung
Kostenanalysen
Problemstellungen der Logistik und Disposition
Produktionsgrobplanung als Zielvorgabe für die Betriebsleitebene
Werkzeuge: z. B. SAP
–
–
Produktionsplanungs- und -steuerungssysteme (PPS-Systeme)
Manufacturing Resource Planning (MRP)
Dr. Schrörs , Seite 102
Automatisierungspyramide
ERP
MES
SCADA
SPS/PLS
Ein-/Ausgangssignale
Prozess
Quelle: Wikipedia
Dr. Schrörs , Seite 103
Unternehmensleitebene
Produktions-/Betriebsleitebene
Führungsebene
Prozessleitebenebene
Steuerungsebene
Feldebene
Enterprise Resource Planning (ERP)
Mit ERP wird die Planung (des Einsatzes/der Verwendung) der
Unternehmensressourcen bezeichnet. Gemeint ist die unternehmerische
Aufgabe, die in einem Unternehmen vorhandenen Ressourcen (Kapital,
Betriebsmittel oder Personal) möglichst effizient für den betrieblichen
Ablauf einzusetzen und somit die Steuerung von Geschäftsprozessen zu
optimieren.
Quelle: Wikipedia
Dr. Schrörs , Seite 104
Unternehmensleitebene
•
langfristige Unternehmensplanung:
– Investitionen
– Personal
– Finanzen
•
•
inhaltlicher Überblick über die untergeordneten Ebenen
Werkzeuge: u. a. SAP-Software
–
–
–
–
Betriebswirtschaftliche Informations-, Planungs- und Controllingsysteme
Bilanzwesen
Lohnbuchhaltung
Rechnungswesen
Dr. Schrörs , Seite 105
Klassifizierung von PLT-Einrichtungen
Klassifizierung von PLT-Einrichtungen
Dr. Schrörs , Seite 107
Klassifizierung von PLT-Einrichtungen
Specified Operation (Bestimmungsgemäßer Betrieb)
Der bestimmungsgemäße Betrieb einer Anlage ist der
Betrieb, für den die Anlage nach ihrem technischen
Zweck bestimmt und ausgelegt ist. Er umfasst:
• Normalbetrieb
• An- und Abfahrbetrieb
• Inbetriebnahme und Außerbetriebnahme
• Probebetrieb
• Inspektions-, Wartungs- und Instandsetzungsvorgänge
Bei bestimmungsgemäßem Betrieb befindet sich die
Anlage im Gutbereich oder im zulässigen Fehlbereich
Dr. Schrörs , Seite 108
Klassifizierung von PLT-Einrichtungen
Non-specified Operation
(Nichtbestimmungsgemäßer Betrieb)
Beim nichtbestimmungsgemäßen Betrieb befindet sich
die Anlage in einem Betriebszustand, bei dem die Werte
einer oder mehrerer Prozessgrößen im unzulässigen
Fehlbereich liegen, oder anderweitig (z. B. durch
Leckage) eine Gefahr von der Anlage ausgeht.
Dr. Schrörs , Seite 109
Klassifizierung von PLT-Einrichtungen
Normal Operating Range
(Gutbereich)
Der Gutbereich einer Prozessgröße ist der für ihre Werte
vorgesehene Bereich. Dieser Bereich ist so bestimmt,
dass Güte und Menge der Erzeugnisse den
vorgesehenen Anforderungen entsprechen
Dr. Schrörs , Seite 110
Klassifizierung von PLT-Einrichtungen
Permissible Fault Range
(Zulässiger Fehlbereich)
Der zulässige Fehlbereich einer Prozessgröße ist der
Bereich zwischen Gutbereich und unzulässigem
Fehlbereich. Da die Auslegung der Anlage diesen
Bereich einschließt, bestehen aus sicherheitstechnischer
Sicht keine Einschränkungen für den Weiterbetrieb der
Anlage, wenn sich Werte von Prozessgrößen im
zulässigen Fehlbereich befinden
Dr. Schrörs , Seite 111
Klassifizierung von PLT-Einrichtungen
Non-permissible Fault Range
(Unzulässiger Fehlbereich)
Der unzulässige Fehlbereich einer Prozessgröße ist der
Bereich, in dem mit einem unerwünschten Ereignis zu
rechnen ist
Dr. Schrörs , Seite 112
Klassifizierung von PLT-Einrichtungen
Dr. Schrörs , Seite 113
Klassifizierung von PLT-Einrichtungen
PLT-Einrichtungen (BPCS), regelnd
PLT-Betriebseinrichtungen dienen dem bestimmungsgemäßen Betrieb
von Anlagen der Verfahrenstechnik und halten eine Prozessgröße in
ihrem Gutbereich.
An PLT-Betriebseinrichtungen werden keine besonderen Anforderungen
bezüglich Ausführung und Betrieb gestellt. Die Verarbeitung der Signale
erfolgt in einem nicht sicherheitsrelevanten Prozessleitsystem (BPCS).
Allgemeine Planungsgrundsätze (allgemeine Regeln der Technik) sind
zu berücksichtigen.
Dr. Schrörs , Seite 114
Klassifizierung von PLT-Einrichtungen
Dr. Schrörs , Seite 115
Klassifizierung von PLT-Einrichtungen
PLT-Einrichtungen (BPCS), schaltend
PLT-Überwachungseinrichtungen sprechen an der Grenze zwischen
Gutbereich und zulässigem Fehlbereich an oder arbeiten im zulässigen
Fehlbereich.
An PLT- Überwachungseinrichtungen mit normaler Zuverlässigkeit
werden keine besonderen Anforderungen bezüglich Ausführung und
Betrieb gestellt. Die Verarbeitung der Signale erfolgt in einem nicht
sicherheitsrelevanten Prozessleitsystem (BPCS). Allgemeine
Planungsgrundsätze (allgemeine Regeln der Technik) sind zu
berücksichtigen.
Dr. Schrörs , Seite 116
Klassifizierung von PLT-Einrichtungen
PLT-Einrichtungen (BPCS), hochverfügbar schaltend
Hochverfügbaren Überwachungseinrichtung sind
Überwachungseinrichtung, bei denen wiederkehrende Prüfungen
durchgeführt werden.
Dr. Schrörs , Seite 117
Klassifizierung von PLT-Einrichtungen
Dr. Schrörs , Seite 118
Klassifizierung von PLT-Einrichtungen
PLT-Schutzeinrichtungen (SIS), ereignisverhindernd
Die Aufgabe einer ereignisverhindernden PLT-Schutzeinrichtung ist es,
eine Prozessgröße auf Übereinstimmung mit den zulässigen Werten
(zulässiger Fehlbereich) zu überwachen. Im Fall einer Abweichung ist
durch einen meist selbsttätigen Schaltvorgang dafür Sorge zu tragen,
dass eine Prozessgröße nicht in den unzulässigen Fehlbereich gelangt.
Dr. Schrörs , Seite 119
Klassifizierung von PLT-Einrichtungen
Dr. Schrörs , Seite 120
Klassifizierung von PLT-Einrichtungen
PLT-Schutzeinrichtungen (SIS), auswirkungs-/schadensbegrenzend
Zur Absicherung bestimmter Gefährdungspotenziale werden neben den
ereignisverhindernden Maßnahmen auswirkungs-/schadensbegrenzende
Maßnahmen eingesetzt. Die auswirkungs-/schadensbegrenzenden
Maßnahmen sollen die Schwere der Auswirkungen für den Fall
minimieren, dass ein Ereignis trotz aller anderen getroffenen
Maßnahmen zur Reduzierung des Risikos eintritt.
Auswirkungs-/schadensbegrenzende PLT-Einrichtungen wirken im
unzulässigen Fehlbereich (nichtbestimmungsgemäßer Betrieb) und
verringern bei Eintritt des unerwünschten Ereignisses die Auswirkungen
auf Personen und Umwelt. In diesem äußerst seltenen Fall des
Eintretens eines unerwünschten Ereignisses halten sie dadurch das
Ausmaß des Schadens in Grenzen.
Dr. Schrörs , Seite 121
Planung und Errichtung von PLT-Einrichtungen
Planung von PLT-Einrichtungen
Planung und Errichtung von
PLT-Einrichtungen
Die Anforderungen an die Planung und Errichtung von PLT-Einrichtungen
gliedern sich in:
•
Organisatorische Voraussetzungen
–
–
–
–
•
Überprüfung und Freigabe der Planung
Überprüfung und Freigabe der Errichtung
Erstprüfung vor Inbetriebnahme
Prüfanweisungen
Technische Anforderungen
–
–
Konzeptphase (Basic Engineering)
Ausführungsplanung (Detail Engineering)
Dr. Schrörs , Seite 124
Organisatorische Voraussetzungen
Organisationen oder andere Einheiten, in deren Aufgabenbereich die
Durchführung und Überprüfung und Freigabe der Planung fällt, müssen benannt
und über die ihnen übertragene Verantwortung in Kenntnis gesetzt sein.
Dazu dienen Firmenstandards und Organigramme.
Organisationen oder andere Einheiten, die an der Durchführung und
Überwachung beteiligt sind, müssen kompetent für die von ihnen verantworteten
Tätigkeiten sein.
Dazu dienen Ausbildung und/oder hinreichende Berufserfahrung.
Dr. Schrörs , Seite 125
Überprüfung und Freigabe der Planung
•
Für die Überprüfungen und Freigaben der Planung ist es sinnvoll, sie
von einer unabhängigen Person durchführen zu lassen. Für PLTSchutzeinrichtungen ist sie nach dem Vier-Augenprinzip
vorgeschrieben.
•
Die Prüfung hat u. a. zu bestätigen, dass Ausführung und Funktion
der PLT-Einrichtung den Festlegungen der Sicherheitsbetrachtung
entsprechen.
•
Das Gesamtergebnis der Prüfung wird dokumentiert.
•
Verantwortlich ist der Projektingenieur bzw. der Betriebsingenieur.
Dr. Schrörs , Seite 126
Überprüfung und Freigabe der Errichtung
•
Der planende Ingenieur gibt der PLT-Montage die technischen
Unterlagen für die zu errichtenden PLT-Einrichtungen vor.
•
Die ordnungsgemäße Errichtung nach den Vorgaben der geprüften
Planung wird vom verantwortlichen Bau- oder überwacht.
•
Zu diesem Zeitpunkt erfolgt eine Verdrahtungsprüfung.
•
Eine funktionale Prüfung des Zusammenspiels aller Komponenten
kann in der Regel zu diesem Zeitpunkt noch nicht erfolgen.
Dr. Schrörs , Seite 127
Erstprüfung vor der Inbetriebnahme
•
PLT-Einrichtungen bedürfen zum Nachweis ihrer Funktionstüchtigkeit eine
Prüfung, die erstmalig vor der Inbetriebnahme und für PLTSchutzeinrichtungen in regelmäßig wiederkehrende während des laufenden
Betriebs (Funktionsprüfung) durchzuführen sind.
•
Geprüft werden Ausführung und Funktion anhand der
Planungsspezifikationen und die einwandfreie Funktion im Zusammenspiel
aller Komponenten.
•
Weitergehende Prüfungen (Verhalten bei Kurzschluss oder Leitungsbruch)
dienen dazu, um weiter systematische Fehler aufdecken zu können.
•
Aufgrund rechtlicher Vorschriften können sich zusätzliche Anforderungen
ergeben, die die Einbeziehung von Sachverständigen erforderlich machen.
Dr. Schrörs , Seite 128
Prüfanweisungen
In Prüfanweisungen werden vorgegeben:
• Art
• Umfang
• Intervall (bei PLT-Schutzeinrichtungen)
Die Prüfanweisung muss Angaben zu Sollzustand und Sollverhalten der PLTEinrichtung sowie eine Beschreibung der zu prüfenden Eigenschaften und
Funktionen enthalten. Gegebenenfalls sind zusätzlich Angaben über
• Messbereiche,
• Grenzwerte,
• Stellzeiten von Ventilen oder
• Verzögerungszeiten für Auslösesignale
erforderlich.
Dr. Schrörs , Seite 129
Technische Anforderungen
•
Konzeptphase (Basic Engineering)
Bei der Konzeption sind die Zustände des bestimmungsgemäßen
Betriebs der Anlage der Verfahrenstechnik zu berücksichtigen:
− Normalbetrieb, An- und Abfahrbetrieb und Probebetrieb,
− Instandhaltungsvorgänge (Wartung, Inspektion und Instandsetzung) und
− vorübergehende Außerbetriebnahme.
•
Ausführungsplanung (Detail Engineering)
Die konzeptionellen Vorgaben des sind Grundlage für die sich
anschließenden Ausführungsplanung, die letztlich in die Montage
einfließen.
Dr. Schrörs , Seite 130
Konzeptphase (Basic Engineering)
Der Aufbau der PLT-Einrichtung sollte einfach und übersichtlich sein.
Zur strikten Trennung zwischen PLT-Schutzeinrichtungen und PLT-Einrichtungen
im Prozessleitsystem sollten keine PLT-Betriebs- und PLT-Überwachungsfunktionen im SIS realisiert werden.
Dies widerspricht nicht dem Grundsatz, dass Komponenten der
Schutzeinrichtung (z. B. Aktoren) für betriebliche Funktionen mitbenutzt werden
können.
Die ausgewählten PLT-Geräte müssen den am Einsatzort auftretenden
Umgebungs- und Prozessmedieneinflüssen, wie z. B.:
–
–
–
physikalische und chemische Einflüsse
mechanische Einflüsse
Abnutzung und Verschmutzung
standhalten.
Dr. Schrörs , Seite 131
Ausführungsplanung (Detail Engineering)
•
Auswahl von PLT-Geräten
Der Einsatz gleicher PLT-Geräte in allen PLT-Einrichtungen ist zu empfehlen.
Damit werden Bedienung und Instandhaltung erleichtert.
•
Sensoren
Hohe Innovationsraten erfordern die erneute Überprüfung der Einsatzfähigkeit.
•
Aktoren
Stellgeräte sind so zu bemessen, dass sie bei allen Betriebsbedingungen
zuverlässig arbeiten. Sollen Stellgeräte bei Hilfsenergieausfall eine definierte
Sicherheitsstellung einnehmen, kann dies durch z. B. Federn, Druckspeicher
o. Ä. erreicht werden.
•
Signalverarbeitung
Erfolgt in Leitsystemkomponenten oder SPSen. PLT-Schutzeinrichtungen
können mit festverdrahteten oder mit programmierbaren Komponenten
aufgebaut sein.
Dr. Schrörs , Seite 132
PLT-Schutzeinrichtungen
Ausführungsplanung (Detail Engineering)
•
•
•
Für PLT-Schutzeinrichtungen werden betriebsbewährte Geräte („prior use“)
eingesetzt, wobei deren Eignung durch Bewährung im praktischen Einsatz
unter vergleichbaren Bedingungen erwiesen sein muss.
Redundant aufgebaute PLT-Schutzeinrichtungen müssen getrennte
Prozessanschlüsse aufweisen.
Es sollte überprüft werden, ob
–
–
–
•
ein räumlich getrennter Aufbau,
eine gesicherte und/oder getrennte Energieversorgung,
räumlich getrennte Kabelbahnen
gegen Brandauswirkungen oder als Schutz gegen mögliche mechanische
Beschädigung erforderlich sind.
Bewährte Installationstechniken sind zu verwenden, d.h.
–
–
Verlegung von Kabeln und Leitungen, z. B. in Kabelführungssystemen oder Schutzrohren.
Schutz von örtlichen PLT-Geräten, z. B. durch Wetterschutzeinrichtungen oder Rammschutzeinrichtungen.
Dr. Schrörs , Seite 134
PLT-Schutzeinrichtung,
bei hoher Verfügbarkeit
•
1oo1-System
SIS
Erzeugung der Information
(Sensor)
Verarbeitung der Information
Entscheidung zur Aktion
(sicherheitsgerichtete Steuerung)
Ausführung der Aktion
(Aktuator),
z.B. Ventil, Motor, Hupe
Dr. Schrörs , Seite 135
PLT-Schutzeinrichtung,
bei sehr hoher Verfügbarkeit
•
1oo2-System
SIS
Dr. Schrörs , Seite 136
PLT-Schutzeinrichtung
•
•
•
•
•
•
•
•
•
•
•
einfacher und übersichtlicher Aufbau.
leichte Zugänglichkeit und Prüfbarkeit.
unmittelbar, einfach und ausreichend genau messbare Prozessgrößen.
hinreichende Auflösung, Genauigkeit und Schnelligkeit.
Geräte mit Fail-safe-Eigenschaften.
leichte Erkennbarkeit.
automatisches Wiederanfahren der Anlage nach Auslösung der
Schutzfunkton verhindern.
manuelle Auslösung von Schutzfunktionen schriftlich festlegen.
Alterung berücksichtigen.
die sicherheitsrelevante Zuverlässigkeit durch Berechnung überprüfen.
erkennbaren Gerätefehler führen grundsätzlich unmittelbar in die sichere
Stellung.
Dr. Schrörs , Seite 137
PLT-Schutzeinrichtung
• Energiebedarf
–
mit Energiebedarf ↔ ohne Energiebedarf
• Anforderung
–
niedrige Anforderung ↔ hohe Anforderung
–
sporadische Anforderung↔ ständige Anforderung
Dr. Schrörs , Seite 138
PLT-Schutzeinrichtung
•
Ausfall mit gemeinsamer Ursache
•
Unabhängigkeit der PLT-Schutzeinrichtung von anderen Einrichtungen wie
das betriebliche Prozessleitsystem
•
Mitbenutzung von Komponenten nur wenn sicherheitstechnisch vertretbar
ANMERKUNG 1 Die Mitbenutzung des
Sensorsignals im Prozessleitsystem ist zulässig,
wenn das Auslösen des Anforderungsfall durch
einen Sensorfehler sicher erkannt wird
ANMERKUNG 2 Das Prozessleitsystem kann
Status-Informationen aus der Sicherheitssteuerung
erhalten und den Aktor der Schutzeinrichtung über
die sicherheitsgerichtete Steuerung ansteuern. Die
sicherheitsgerichtete Funktion der Schutzeinrichtung
muss dabei stets Vorrang haben.
ANMERKUNG 3 Das Prozessleitsystem kann über
einen Stellungsregler eines der SIS-Ventile regeln.
Die sicherheitsgerichtete Funktion der
Schutzeinrichtung muss dabei stets Vorrang haben.
Dr. Schrörs , Seite 139
PLT-Schutzeinrichtung, Elektrotechnik
Safety Logic Solver
BPCS
Abschaltanforderung vom Prozess
(SSPS)
Signale haben die höhere Priorität
(Leitsystem)
BPCS öffnet/schließt
SLS schließt
Leistungsschalter
Einspeisung
andere Motormodule
Schaltanlage
BPCS
ein/aus
BPCS öffnet/schließt
SLS schließt
Motormodul
M
Dr. Schrörs , Seite 140
Errichtung von PLT-Einrichtungen
Verteilung (chaotisch)
Dr. Schrörs , Seite 142
Verteilung (chaotisch)
Dr. Schrörs , Seite 143
Verteilung (chaotisch)
Dr. Schrörs , Seite 144
Verteilung (chaotisch)
Dr. Schrörs , Seite 145
Verteilung (chaotisch)
Dr. Schrörs , Seite 146
Verteilung (chaotisch)
Dr. Schrörs , Seite 147
Verteilung (organisiert)
Dr. Schrörs , Seite 148
Schaltschrank
Dr. Schrörs , Seite 149
Rangierverteiler
Dr. Schrörs , Seite 150
Schaltraum
Dr. Schrörs , Seite 151
Zubehör, Montagematerial, Gehäuse
Quelle: Rittal
Dr. Schrörs , Seite 152
Zubehör, Montagematerial, Gehäuse
Quelle: Weidmüller
Quelle: Rittal
Quelle: Wiska
Dr. Schrörs , Seite 153
Zubehör, Montagematerial, Gehäuse
Hutschienentechnik
Klemmentechnik
Quelle: Phoenix
Dr. Schrörs , Seite 154
Zubehör, Gelege, Kabelbahnen
Quelle: Elektricks.com
Dr. Schrörs , Seite 155
Zubehör, Gelege, Kabelbahnen
Quelle: Elektricks.com
Dr. Schrörs , Seite 156
Sichere Verlegung
Quelle: Würth
Brandschutzkitt
Quelle: Rockwool
Dr. Schrörs , Seite 157
Beheizung
Selbstregelnde Heizbänder
Quelle: Raychem
Quelle:
Emerson Industrial
Automation
Dr. Schrörs , Seite 158
Betrieb prozessleittechnischer Einrichtungen
Betrieb prozessleittechnischer Einrichtungen
•
•
Der Betrieb ist der längste Zeitraum im Lebenszyklus einer
prozessleittechnischer Einrichtungen.
Er umfasst:
•
•
•
•
•
•
•
Inspektion
Instandsetzung
Änderungen
Außer- und Wiederinbetriebnahme und
Stilllegung
Die in diesem Abschnitt ausgeführten Erläuterungen betreffen im
Wesentlichen PLT-Schutzeinrichtungen.
Sie können aber auf jede andere PLT-Einrichtung angewendet werden.
Dr. Schrörs , Seite 160
Begriffe
•
Instandhaltung
•
•
Funktionsprüfung
•
•
Maßnahmen zur Bewahrung des Sollzustandes von technischen Mitteln eines
Systems.
Inspektion
•
•
ist eine bestimmte Art der Inspektion.
Wartung
•
•
Maßnahmen zur Bewahrung und Wiederherstellung des Sollzustandes sowie zur
Feststellung und Beurteilung des Istzustandes von technischen Mitteln eines
Systems. Die Maßnahmen beinhalten die Wartung, die Inspektion und die
Instandsetzung.
Maßnahmen zur Feststellung und Beurteilung des Istzustandes von technischen
Mitteln eines Systems.
Instandsetzung
•
Maßnahmen zur Wiederherstellung des Sollzustandes von technischen Mitteln
eines Systems.
Dr. Schrörs , Seite 161
Inspektion
•
Die Inspektion gliedert sich in
•
•
•
•
•
Beobachtung
•
•
Beobachtung
Sichtprüfung
Funktionsprüfung
Wartung
das Betriebspersonal, das die Anlage bedient, kann durch regelmäßiges
Beobachten der Prozessgrößen und deren Kontrolle auf Plausibilität,
Fehlfunktionen der PLT-Einrichtungen erkennen.
Sichtprüfung
•
•
Zusätzlich zur Funktionsprüfung erfolgt auch eine Sichtprüfung.
Zielsetzung ist das frühzeitige Erkennen von äußerlichen Mängeln oder Schäden
an den Geräten und der Installation.
Dr. Schrörs , Seite 162
Inspektion
•
Die Inspektion gliedert sich in
•
•
•
•
•
Beobachtung
Sichtprüfung
Funktionsprüfung
Wartung
Funktionsprüfung
•
Zur Aufdeckung von Fehler sind wiederkehrende Funktionsprüfungen erforderlich.
Die Prüfung kann unter den dem Anforderungsfall entsprechenden Bedingungen
durchgeführt werden. Bei der Prüfung ist davon auszugehen, dass Fehler in der
zu prüfenden PLT-Einrichtung vorhanden sein können. Daher ist sicherzustellen,
dass der bestimmungsgemäße Betrieb der Anlage erhalten bleibt.
Dr. Schrörs , Seite 163
Inspektion
•
Die Inspektion gliedert sich in
•
•
•
•
•
Beobachtung
Sichtprüfung
Funktionsprüfung
Wartung
Wartung
•
•
Zur Wartung zählen Maßnahmen, die der Bewahrung des Sollzustandes von
technischen Mitteln eines Systems dienen.
Es müssen Wartungsanweisungen vorhanden sein, in denen Art und Umfang der
wiederkehrenden Maßnahmen zusammengestellt sind. Die Wartungsmaßnahmen
werden durch geschultes Fachpersonal nach diesen Wartungsanweisungen
durchgeführt.
Dr. Schrörs , Seite 164
Instandsetzung
•
PLT-Einrichtungen sind instand zu setzen, wenn Mängel an ihnen festgestellt
werden. Instandsetzungen dürfen nur durch geschultes Fachpersonal
durchgeführt werden.
•
Alle Arbeiten an PLT-Schutzeinrichtungen müssen zuvor freigegeben werden.
•
Während der Instandhaltung sollte Ersatzmaßnahmen eingerichtet werden.
•
Im Fall von PLT-Schutzeinrichtungen:
Falls keine Ersatzmaßnahmen möglich sind, mit denen der Betrieb der Anlage aufrechterhalten
werden kann, ist die Anlage abzustellen.
Nach erfolgter Instandsetzung ist eine Funktionsprüfung der PLT-Schutzeinrichtung durchzuführen.
Diese Prüfung kann als Teil- oder Gesamtprüfung ausgeführt werden.
Dr. Schrörs , Seite 165
Änderungen an PLT-Einrichtungen
•
•
•
Bei Änderungen besteht die Möglichkeit, dass unbewusst oder irrtümlich
systematische Fehler eingebracht werden, die im laufenden Betrieb das
gewünschte Verhalten dieser oder anderer Einrichtungen verhindern oder
beeinträchtigen. Deshalb muss sichergestellt sein, dass bei allen Änderungen
mit der gleichen Systematik und Sorgfalt vorgegangen wird wie bei der
Planung und Errichtung der Einrichtung.
Das beteiligte und zuständige Bedien- und Instandhaltungspersonal muss
über die Änderung informiert und ggf. hinsichtlich der Änderung geschult
werden.
Änderungen an PLT-Schutzeinrichtungen bedürfen grundsätzlich einer neuen
sicherheitstechnischen Betrachtung, deren Art und Umfang sich nach den
Änderungen richtet.
.
Dr. Schrörs , Seite 166
Gerätetausch
•
•
Wird ein Gerätetausch erforderlich, hat dies möglichst durch ein baugleiches
Gerät zu erfolgen. Dabei ist zu beachten, dass die Funktionssicherheit des
Gerätes unter vergleichbaren Bedingungen erwiesen ist.
Mit der Änderung ist die technische Dokumentation der betreffenden
Einrichtung und ggf. auch die Prüfanleitung zu aktualisieren.
Dr. Schrörs , Seite 167
Optimierung/Teilmodernisierung
•
•
•
Zum Zeitpunkt der Planung einer PLT-Einrichtung liegen nicht immer
ausreichende Betriebserfahrungen mit den Prozessmedien oder den
Betriebs-/Umgebungsbedingungen vor. Zeigen die Erfahrungen nach der
Inbetriebnahme Schwachstellen oder Verbesserungspotenziale oder haben
neue Geräte mit günstigeren Eigenschaften (z. B. höhere Messgenauigkeit)
inzwischen ihre Bewährungsphase erfolgreich bestanden, so kann eine
Änderung mit dem Ziel der Verbesserung der Funktion oder Zuverlässigkeit
erforderlich oder sinnvoll sein.
Es gilt zu klären, ob die vorgesehenen Änderungen negative Auswirkungen
oder Rückwirkungen auf andere Einrichtungen haben. Bei Änderungen in der
entsprechenden Steuerung (SIS, BPCS) ist zu unterscheiden, ob während
des Ladens des geänderten Anwenderprogramms die Anlage in Betrieb
bleiben kann (Online-Änderung) oder abgeschaltet werden muss.
Mit der Änderung ist die technische Dokumentation der betreffenden
Einrichtung und ggf. auch die Prüfanleitung zu aktualisieren.
Dr. Schrörs , Seite 168
Anpassung nach einer Änderung
des Verfahrens/Prozesses
•
Dies gilt insbesondere für PLT-Schutzeinrichtungen:
•
Wenn das Verfahren geändert wird, ist es erforderlich, das Sicherheitskonzept der
Anlage zu überprüfen und ggf. anzupassen. Das Ergebnis des überarbeiteten
Sicherheitskonzepts kann für einige Schutzeinrichtungen eine neue/geänderte
Aufgabenstellung oder eine geänderte Anforderung an die sicherheitsgerichtete
Verfügbarkeit sein. Die Vorgehensweise für Planung, Montage und Inbetriebnahme
ist dieselbe, wie bei neu geplanten Anlagen.
•
Mit der Änderung der Aufgabenstellung von Schutzeinrichtungen ist häufig eine
Änderung in der Signalverarbeitung (z. B. Signalübertragung, Prozessor)
verbunden. Bei Änderungen der Signalverarbeitung ist darauf zu achten, dass
insbesondere bei komplexen Zusammenhängen alle Auswirkungen der Änderung
berücksichtigt werden.
Dr. Schrörs , Seite 169
Grenzwertänderung
•
Dies gilt insbesondere für PLT-Schutzeinrichtungen:
•
•
•
•
Grenzwerte der PLT-Schutzeinrichtungen dürfen nur im Rahmen des ChangeManagements geändert werden.
Es ist zu überprüfen, inwieweit dadurch die Ergebnisse der Sicherheitsbetrachtung
berührt werden.
Die Grenzwertverstellung (Zeitpunkt, Veranlasser und Ausführender) ist zu
dokumentieren und die korrekte Einstellung des neuen Grenzwertes ist
sicherzustellen (ggf. durch Funktionsprüfung).
Erfolgt die Änderung des Grenzwertes im Zusammenhang mit einer
wiederkehrenden Verfahrensumstellung (typischerweise Batch-Prozess), ist eine
wiederkehrende Prüfung nicht erforderlich.
Dr. Schrörs , Seite 170
Außer- und Wiederinbetriebnahme
•
•
•
•
Es kann erforderlich sein, dass in bestimmten Betriebszuständen (z.B.
Anfahren des Prozesses) die Funktionen von PLT-Einrichtungen und
insbesondere von PLT-Schutzeinrichtungen außer und wieder in Betrieb
genommen werden müssen (Überbrücken, Brücken).
Zur Absicherung und zur Sicherstellung der Wiederinbetriebnahme sind
technische und organisatorische Maßnahmen zu ergreifen und zuvor
schriftlich festzulegen.
Sind PLT-Einrichtungen regelmäßig während An- und Abfahrvorgängen zu
überbrücken, dann muss dies bereits bei der Planung berücksichtigt und bei
PLT-Schutzeinrichtungen in der Sicherheitsdokumentation beschrieben
werden.
Bestimmte Prozesse (z. B. Batch-Prozesse) erfordern bei besonderen
Anlässen die Außerbetriebsetzung einer PLT-Schutzeinrichtung. Dies muss in
der Spezifikation der Sicherheitsanforderungen (SRS) festgelegt sein.
Dr. Schrörs , Seite 171
Endgültige Stilllegung
•
•
Bei der Stilllegung und Demontage von PLT-Einrichtungen ist die
Dokumentation anzupassen.
Folgendes gilt insbesondere für PLT-Schutzeinrichtungen:
•
•
•
Grundsätzlich ist vor der Stilllegung einer PLT-Schutzeinrichtung die damit
verbundene Auswirkung auf das gesamte Sicherheitskonzept der Anlage zu
betrachten.
Wird eine PLT-Schutzeinrichtung stillgelegt, so ist zu berücksichtigen, dass die
Signalverarbeitung an den neuen Zustand angepasst werden muss. Die Funktion
der verbleibenden Schutzeinrichtungen, die mit den stillgelegten PLTSchutzeinrichtungen in der Signalverarbeitung verknüpft waren, ist erneut zu
prüfen.
Falls eine PLT-Schutzeinrichtung als PLT-Betriebseinrichtung weiter betrieben
wird, sind alle Kennzeichnungen vor Ort und in den technischen Unterlagen zu
entfernen.
Dr. Schrörs , Seite 172
Verfügbarkeit von PLT-Einrichtungen
Berechnung der technischen Verfügbarkeit
Mittlere Ausfallwahrscheinlichkeit der entworfenen Funktion bei
Anforderung
•
Kennzeichnend für die Verfügbarkeit bzw. Unverfügbarkeit einer PLTSchutzeinrichtung ist die sogenannte „mittlere
Ausfallwahrscheinlichkeit der entworfenen Funktion bei Anforderung“
(Engl.: average probability of failure to perform its design function on
demand, (PFDavg)). Sie wird für Schutzeinrichtungen mit dem schon
bekannten Sicherheits-Integritätslevel SIL verkoppelt. Diese
Festlegung gilt für die Betriebsart mit niedriger Anforderungsrate.
Dr. Schrörs , Seite 174
Architektur einer PLT-Einrichtung
Dr. Schrörs , Seite 175
Ausfallraten für Systeme
•
•
•
•
Ausfall in einen ungefährlichen
Zustand, der erkannt wird,
Ausfallrate λSD
Ausfall in einen ungefährlichen
Zustand, der nicht erkannt wird,
Ausfallrate λSU
Ausfall in einen gefährlichen
Zustand, der erkannt wird,
Ausfallrate λDD
Ausfall in einen gefährlichen
Zustand, der nicht erkannt wird,
Ausfallrate λDU
Dr. Schrörs , Seite 176
λDU
2%
λS
84%
λS = λSD + λSU
λD = λDD + λDU
λDD
14%
Berechnung der technischen Verfügbarkeit
•
Liegt eine Exponential-Verteilung der Ausfälle vor, so ist die
Ausfallrate λ konstant bezogen auf die Zeit t und es gilt folgende
Gleichung für die Zuverlässigkeitsfunktion:
R(t) = e-λ·t
•
Mathematisch wird die Ausfallwahrscheinlichkeitsfunktion P(t) durch
folgende Gleichung beschrieben:
P(t) = 1 - R(t) = 1 - e-λ·t
Dr. Schrörs , Seite 177
Berechnung der technischen Verfügbarkeit
•
Zusammenhänge zwischen R(t) und P(t)
Dr. Schrörs , Seite 178
Berechnung der technischen Verfügbarkeit
• Auch hier wird wieder vorausgesetzt, dass die Ausfallrate λ
konstant bezogen auf die Zeit t ist. Unter der Voraussetzung,
dass
λ · t << 1
• ist, kann für die Ausfallwahrscheinlichkeit P(t) die folgende
Näherung angegeben werden:
P(t) = λ · t
Dr. Schrörs , Seite 179
Berechnung der technischen Verfügbarkeit
• 1oo1-System
SIS
Erzeugung der Information
(Sensor)
Verarbeitung der Information
Entscheidung zur Aktion
(sicherheitsgerichtete Steuerung)
Ausführung der Aktion
(Aktuator),
z.B. Ventil, Motor, Hupe
Dr. Schrörs , Seite 180
Berechnung der technischen Verfügbarkeit
• Der Einfluss von Frühausfällen und Spätausfällen (Alterung)
während der Betriebslaufzeit wird nicht berücksichtigt. Dann
ergibt sich
PFD(t) = λDU · t
• und die mittlere Ausfallwahrscheinlichkeit am Ende eines
Prüfintervalls TI
PFDavg (t = TI) = ½ · λDU · TI
Dr. Schrörs , Seite 181
Berechnung der technischen Verfügbarkeit
• 1oo2-System
SIS
PFDavg,1oo2 ≈ ⅓ · λDU2 · TI2 + ½ · β · λDU · TI
β = Anteil der Fehler gemeinsamer Ursache
Dr. Schrörs , Seite 182
Versagen im Anforderungsfall,
SIF mit SIL im SIS
Logic
solver
Merke: „SIL“ ist immer einer Schutzfunktion zuzuordnen,
nicht einer einzelnen Komponente!
Dr. Schrörs , Seite 183
Ablauf einer Schutzfunktion
UZ
M
PIAZ
TIAZ
Schutzziel:
Leib und Leben, Umwelt
Schutzaufgabe:
Vermeidung der
Stofffreisetzung durch
Behälterbersten
Schutzmaßnahmen:
Unzulässiger Druck- und
Temperaturanstieg durch
Entlastung vermeiden
Schutzeinrichtung:
Druck- oder Temperatur
schließt Zudosierung
stellt Beheizung ab
schaltet Rührer-Antrieb aus
öffnet Bodenablass
Dr. Schrörs , Seite 184
Abschaltmatrizen
• Häufig sind die sicherheitstechnischen Systeme noch
komplexer als in den bisher gezeigten Beispielen.
• Dabei bedienen Sensoren mehrere Schutzfunktionen oder
Aktuatoren werden aus verschiedenen Schutzfunktionen
angesteuert.
• In sogenannten Abschaltmatrizen (engl.: Cause and Effect
Matrix) wird die Gesamtfunktion dargestellt.
• Die quantitativ zu bewertende Schutzfunktion (SIF) muss dann
in der Matrix identifiziert werden, was oft sehr umständlich ist.
Dr. Schrörs , Seite 185
Ausschnitt aus einer Abschaltmatrix
Dr. Schrörs , Seite 186
Stördatenerfassung
•
•
•
•
In der Regel werden für einfache Strukturen (Architekturen) die
geforderten SIL-Werte zuverlässig erreicht.
Nicht vernachlässigbar dabei sind die Einflüsse, die sich aus der
Produktberührung durch Sensoren und Aktuatoren ergeben. Hier ist
oftmals eine deutliche Verschlechterung der sicherheitsgerichteten
Verfügbarkeit festzustellen.
Ein Unternehmen, dass die beschrieben Sicherheits-Systematik
verfolgt, ist aufgefordert, statistische Daten über Fehler in
Schutzeinrichtungen zu sammeln (Stördatenerfassung).
Der Normungsausschuss für Mess- und Regelungstechnik (NAMUR)
stellt seit einigen Jahren die Ergebnisse solcher Statistiken öffentlich
zur Verfügung.
Dr. Schrörs , Seite 187
Typische Fehlerverteilung
Dr. Schrörs , Seite 188
Einkanaliger Schutzfunktionen, Soll-Wert SIL2
Gesamtanzahl einkanaliger Schutzfunktionen
Totalausfälle einkanaliger Schutzfunktionen
Î
MTBF
= 1038 / 5 [1/a] = 207,6a
Î
PFD
= 0,0024 (Prüfzyklus 1 Jahr)
1038
5
0,003
10-3
Namur ‘07
0,001
SIL2
10-2
0,01
0,0024
⎛
⎞
⎛
⎞
207,6a
MTBF
⎟ = 1 − ⎛⎜ 207,6a ⎞⎟ = 1 − 0,9976 = 0,0024
⎟ = 1− ⎜
PFD = 1 − ⎜
⎜ 207,6a + 1 • 1a ⎟
⎜ MTBF + 1 • Ti ⎟
⎝ 208,1a ⎠
2
2
⎝
⎠
⎝
⎠
Dr. Schrörs , Seite 189
Redundante Schutzfunktionen, Soll-Wert SIL3
Gesamtanzahl redundanter Schutzfunktionen
Totalausfälle redundanter Schutzfunktionen
Î
MTBF
= 1479 / 1 [1/a] = 1479a
Î
PFD
= 0,00034 (Prüfzyklus 1 Jahr)
1479
1
0,0002
10-4
Namur ‘07
0,0001
SIL3
10-3
0,001
0,00034
⎛
⎞
⎛
⎞
MTBF
1479a
⎟ = 1− ⎜
⎟ = 1 − ⎛⎜ 1479a ⎞⎟ = 1 − 0,99966 = 0,00034
PFD = 1 − ⎜
⎜ MTBF + 1 • Ti ⎟
⎜ 1479a + 1 • 1a ⎟
⎝ 1479,5a ⎠
2
2
⎝
⎠
⎝
⎠
Dr. Schrörs , Seite 190
Komplexe Systeme
L3
I
S
PIAZ
UZ
M
•
TIAZ
Schutzaufgabe:
Vermeidung des Behälterberstens
–
–
–
–
•
Zuläufe schließen
Beheizung abstellen
Rührer abschalten
Bodenablass öffnen
Folge:
– SIL < 2
– Prüfzyklus < 1 Jahr
Dr. Schrörs , Seite 191
Komplexe Systeme
Beispiel 1 für einen Lösungsansatz
UZ
PIAZ
M
•
TIAZ
•
•
Dr. Schrörs , Seite 192
Lösungsansatz:
– Reduzierung der Zahl der für die
Abschaltung der Zuläufe
wirksamen Ventile
Voraussetzung:
– Das Verfahren lässt dies zu
Nachteil:
– Umrüstung, Investitionen,
neue Risiken
Komplexe Systeme
Beispiel 2 für einen Lösungsansatz
SIF 1.1
SIF 1.3
UZ
PIAZ
M
•
TIAZ
•
SIF 1.2
•
Dr. Schrörs , Seite 193
Lösungsansatz:
– Verfahrenstechnische Gliederung
in Teil-Schutzaufgaben
– Rechnerische Bewertung der
Teil-Schutzaufgaben
Voraussetzung:
– Die Teil-Schutzaufgaben lassen
sich verfahrenstechnisch
entkoppeln
Vorteil:
– Keine Investitionen
Abschätzung der PFD
1
Typ A
SIL3
SIL3
2
Typ B
SIL2
SIL2
5
3
Dr. Schrörs , Seite 194
Typ A
SIL1
SIL1
4
Typ B
SIL2
SIL2
Typ A
SIL2
SIL2
Abschätzung der PFD
1 u. 2
SIL2
3
3 u. 4
SIL1
Dr. Schrörs , Seite 195
Typ A
SIL2
Abschätzung der PFD
1, 2, 3 u. 4
SIL3
Dr. Schrörs , Seite 196
3
Typ A
SIL2
SIL2
Abschätzung der PFD
1, 2, 3, 4 u. 5
SIL2
Dr. Schrörs , Seite 197
Funktionsprüfung, Prüftiefe
Qualität der Prüfung von PLT-Einrichtungen
Welche PLT-Einrichtungen müssen
oder sollten geprüft werden?
Dr. Schrörs , Seite 199
•
•
•
•
Schutzeinrichtungen
Einrichtungen, die nicht ständig im Eingriff sind
Einrichtungen, deren Zustand unbekannt ist
Komplexe Einrichtungen
Sicherheits-Management und
Lebenszyklus-Modell
Management und
Beurteilung
der
funktionalen
Sicherheit
und Audits
Aufbau und
Planung
des
SicherheitsLebenszyklus
Gefährdungs- und Risikobeurteilung
Abschnitt 8
Verifikation
Zuordnung der Sicherheitsfunktionen zu den
Schutzebenen
Abschnitt 9
Spezifikation der
Sicherheitsanforderungen an das SIS
Abschnitte 10 und 12
Entwurf und Planung des SIS
Abschnitte 11 und 12
Entwurf und Planung anderer
Maßnahmen zur Risikominderung
Abschnitt 9
Montage, Inbetriebnahme und Validierung
Abschnitte 14 und 15
Betrieb und Instandhaltung
Abschnitt 16
Modifikation
Abschnitt 17
Abschnitt 5
Abschnitt 6.2
Außerbetriebnahme
Abschnitt 18
Dr. Schrörs , Seite 200
Abschnitte 7,
12.4 &12.7
Qualität von PLT-Einrichtungen
Sehr hohe Zuverlässigkeit
Hohe Zuverlässigkeit
Risikoreduktion
Dr. Schrörs , Seite 201
Qualität von PLT-Einrichtungen
•
•
•
Sensorteilsystem
Dr. Schrörs , Seite 202
Logikverarbeitung
Robustes Design
Hohe Gerätezuverlässigkeit
Nachhaltiges Wartungskonzept
Aktorteilsystem
Qualität von PLT-Einrichtungen
•
•
•
•
Sensorteilsystem
Dr. Schrörs , Seite 203
Logikverarbeitung
Robustes Design
Hohe Gerätezuverlässigkeit
Nachhaltiges Wartungskonzept
Redundanz
Aktorteilsystem
Qualität von PLT-Schutzeinrichtungen
•
•
•
•
Robustes Design
Hohe Gerätezuverlässigkeit
Nachhaltiges Wartungskonzept
Redundanz
Qualität
SIL
Versagenswahrsch.
bei Anforderung
hoch
2
< 1%
sehr
hoch
3
<1‰
SIL: Safety Integrity Level
Quantitativer Ansatz bildet reale Maßnahmenqualität nur teilweise ab Æ
Design-Aspekte i.d.R. nicht quantifizierbar!
Dr. Schrörs , Seite 204
Qualität von PLT-Schutzeinrichtungen
•
•
•
Hohe Gerätezuverlässigkeit
Nachhaltiges Wartungskonzept
Redundanz
Zuverlässigkeitstheorie
• (vereinfachte) Formeln
• Markov-Modelle
• Monte-Carlo-Simulationen
• Fehlerbaumanalyse
Dr. Schrörs , Seite 205
Versagenswahrscheinlichkeit
Qualität von PLT-Schutzeinrichtungen
Grenzwert für Maßnahmen SIL2
Mittlere Versagenswahrscheinlichkeit
Zeit [Jahre]
Über Lebensdauer gemittelte Versagenswahrscheinlichkeit muss den
Grenzwerten des Regelwerks genügen
Dr. Schrörs , Seite 206
Versagenswahrscheinlichkeit
Qualität von PLT-Schutzeinrichtungen
Grenzwert für Maßnahmen SIL2
Mittlere Versagenswahrscheinlichkeit
Zeit [Jahre]
Bereits vor verbindlichem quantitativem Qualitätsnachweis (vor 2007) gefordert:
„Prüfung“ = Aufdecken aller Fehler der PLT-Schutzeinrichtung Æ 100%-Prüfung
Dr. Schrörs , Seite 207
Airbag vs. PLT-Schutzeinrichtung
Dr. Schrörs , Seite 208
Airbag vs. PLT-Schutzeinrichtung
Beschleunigungssensor
Zündkondensator
Airbag Steuerlogik
Dr. Schrörs , Seite 209
Nylonsack
Gasgenerator
Wie prüft man einen Airbag?
Wie realistisch ist eine 100%-Prüfung?
100%-Prüfung nur einmal möglich!
Dr. Schrörs , Seite 210
100%-Prüfung von
PLT-Schutzeinrichtungen
„Scharfes Auslösen“ in vielen Fällen nicht
vertretbar / sinnvoll
• Provokation von LOPC (speziell
schadensbegrenzende Maßnahmen)
• Schädigung von Apparaten (nicht
zerstörungsfreie Prüfung)
• Begleitrisiken
Beispiele:
• Ammoniakdampfwand
• Druckabsicherung Phosgenkolonne
• Löschvorrichtung / Reaktionsstopper
• Überfüllsicherung nach WHG
Dr. Schrörs , Seite 211
100%-Prüfung von
PLT-Schutzeinrichtungen
„Ausbau und Prüfung in Fachwerkstatt“
•
Dichtigkeitsprüfung von Ventilen auf
Prüfstand
•
Kalibrierung von Sensoren beim
Hersteller
Grundsätzlich durchführbar, jedoch
•
i.d.R. nur bei Anlagenstillstand / Revision
realisierbar
•
Dekontamination des Equipments
erforderlich
•
hoher Aufwand und ggf. Folgefehler
durch De- und Re-Montage
Dr. Schrörs , Seite 212
Versagenswahrscheinlichkeit
Müssen wir überhaupt testen?
Grenzwert für Maßnahmen SIL2
Mittlere Versagenswahrscheinlichkeit
Zeit [Jahre]
Selbst einfache PLT-Schutzeinrichtungen (ein Sensor, ein Aktor, z.B.
Überfüllsicherung) genügen ohne Prüfung i.d.R. nicht den Anforderungen!
Dr. Schrörs , Seite 213
Versagenswahrscheinlichkeit
Müssen wir überhaupt testen?
Grenzwert für H-Maßnahmen SIL2
Mittlere Versagenswahrscheinlichkeit
Zeit [Jahre]
Prüfungen an PLT-Schutzeinrichtungen decken nicht nur berechnungsrelevante,
sondern auch systematisch bedingte Fehler auf!
Dr. Schrörs , Seite 214
Beispiel einer unvollständigen Prüfung
Welche Prüftiefe (Proof Test Coverage,
PTC) kann mit einer 4-20mA-Prüfung
erreicht werden?
0%
100%
Sensorteilsystem
Dr. Schrörs , Seite 215
100%
Versagenswahrscheinlichkeit
Beispiel einer unvollständigen Prüfung
Mittlere Versagenswahrscheinlichkeit
Grenzwert für Maßnahmen SIL2
Zeit [Jahre]
4-20mA-Prüfung (hier kombiniert mit 100%-Prüfung nach 5 Jahren, sonst noch
schlechter) ist i.d.R. nicht ausreichend als Prüfmethode!
Dr. Schrörs , Seite 216
Beispiel einer unvollständigen Prüfung
Welche Prüftiefe (Proof Test Coverage,
PTC) kann mit einer 4-20mA-Prüfung
erreicht werden?
• Aussagen der Betriebs-PLTisten:
• ... aber ich sehe doch, dass sich das
Sensorsignal noch bewegt.
• ... die andere Messstelle im Reaktor
zeigt immer einen ähnlichen Wert an
– der Sensor kann also nicht kaputt
sein.
0%
100%
Sensorteilsystem
Dr. Schrörs , Seite 217
100%
• ... beim Abfahren der Anlage fällt die
Temperatur nachprüfbar auf
Raumtemperatur ab – das ist doch
dann plausibel...?
Was heißt das in Zahlen?
Formalisierung erforderlich!
Konzept: „Prüf-Toolbox“
Benötigt:
Belastbare und quantitative
Aussagen zur Qualität unvollständiger
Prüfung von PLT-Schutzeinrichtungen
Referenzmessung
4-20mA-Prüfung
Diagnosetools
Æ „Prüf-Toolbox“
Ziele:
• PLT-Stellen-individuelles
Prüfkonzept
• Einhalten der zulässigen
sicherheitstechn. Grenzwerte
• Regelmäßige Durchführung von
Online-Prüfungen; 100%-Prüfung
(Ausbau) nur bei Revision
Dr. Schrörs , Seite 218
Prüftaste
Funktionsprüfung
Produktqualität
Sichtprüfung
Lastwechsel
Unvollständige Prüfung: Sensorik
• Erst seit kurzem belastbare
Aussagen einiger Gerätehersteller
zu „realistischen“ Prüfszenarien
verfügbar
• Spiegelung der Hersteller-FMEDA
an Anwenderprüfkonzepten
• Aufwändiger Prozess:
– Erarbeitung gemeinsames
Verständnis für Prüfmethoden und
Geräteeigenschaften
– Abstraktion der geräteindividuellen
Ergebnisse erforderlich
FMEDA: Failure Modes Effects and Diagnostic Analysis
Dr. Schrörs , Seite 219
Unvollständige Prüfung: Sensorik
• Erst seit kurzem belastbare
Aussagen einiger Gerätehersteller
zu „realistischen“ Prüfszenarien
verfügbar
• Spiegelung der Hersteller-FMEDA
an Anwenderprüfkonzepten
• Beispiel Temperaturtransmitter:
• (Online-)Simulation von Hoch- und
Tiefalarm; Abgleich mit Anzeige in
Steuerung
• Geräteneustart
• Auswertung interner Fehlerspeicher
• Aufwändiger Prozess:
– Erarbeitung gemeinsames
Verständnis für Prüfmethoden und
Geräteeigenschaften
73%
100%
– Abstraktion der geräteindividuellen
Ergebnisse erforderlich
FMEDA: Failure Modes Effects and Diagnostic Analysis
Sensorteilsystem
Dr. Schrörs , Seite 220
100%
Versagenswahrscheinlichkeit
Unvollständige Prüfung: Sensorik
Grenzwert für Maßnahmen SIL2
Mittlere Versagenswahrscheinlichkeit
Zeit [Jahre]
Grafik zeigt gestaffeltes Prüfkonzept mit 73%-Prüfung für Sensor alle 12 Monate und
100%-Prüfung nach 5 Jahren
Dr. Schrörs , Seite 221
Unvollständige Prüfung: Sensorik
Beispiel Drucktransmitter:
• Sichtprüfung
•
Vergleich mit Referenzmessung bei
>10% Messbereichs-Nutzung
•
4-20mA-Prüfung
•
Auswertung interner Fehlerspeicher
85%
100%
Sensorteilsystem
Dr. Schrörs , Seite 222
100%
Beispiel Durchflussmesser:
• Sichtprüfung
• Plausibilitätscheck Istwert
• 4-20mA-Prüfung
• Verwendung speziell entwickeltes
Diagnosetool „Field Check“
90%
100%
Sensorteilsystem
100%
Unvollständige Prüfung: Sensorik
Beispiel Grenzstandsonde (älteres
Modell):
• Sichtprüfung
• Betätigung der Prüftaste
0%
50%
Sensorteilsystem
Dr. Schrörs , Seite 223
100%
Beispiel Grenzstandsonde (neueres
Modell):
• Sichtprüfung
• Betätigung der Prüftaste
0%
90%
Sensorteilsystem
100%
Unvollständige Prüfung: Aktorik
•
•
•
Derzeit keine Herstelleraussagen
verfügbar
Anwender-FMEDA + modellbasierte
Prüftiefenbestimmung durch BTS mit
Unterstützung Uni KL
Ergebnisse stark applikations-spezifisch
Æ Abstraktion schwierig:
Genauigkeit vs. Handhabbarkeit
Dr. Schrörs , Seite 224
Unvollständige Prüfung: Aktorik
•
•
•
Derzeit keine Herstelleraussagen
verfügbar
Anwender-FMEDA + modellbasierte
Prüftiefenbestimmung durch BTS mit
Unterstützung Uni KL
Ergebnisse stark applikations-spezifisch
Æ Abstraktion schwierig:
Genauigkeit vs. Handhabbarkeit
Beispiel Funktionsprüfung ohne
Dichtigkeitsprüfung:
• Sichtprüfung
• Absteuern; visuelle Kontrolle des
Erreichens der sicheren Stellung
(Kontrolle von Laufzeit, Ruckeln,
etc.)
100%
100%
Aktorteilsystem
Dr. Schrörs , Seite 225
90%
Unvollständige Prüfung: Aktorik
Beispiel Automatisierter Partial Valve
Stroke Test:
• Regelmäßige Betriebsrundgänge
(Außenleckage)
• Automatisiertes „Anrucken“ von
Kugelhähnen (Überwinden des
Losbrechmoments)
100%
100%
Aktorteilsystem
Dr. Schrörs , Seite 226
50%
Beispiel Automatisierter Full-Stroke-Test
(via Leitsystem):
• Erreichen der Endlagenschalter
• Auswertung der Ventillaufzeit
100%
100%
Aktorteilsystem
60%
Diagnose
Fehlererkennung, Fehlerursachen
passiv
Fehlererkennung, Fehlerursachen
aktiv
Quelle: (c) BASF, Dirk Hablawetz
Dr. Schrörs , Seite 228
Fehlererkennung, Partial Stroke Test
Dr. Schrörs , Seite 229
Fehlererkennung, „dicht Schließen“,
Körperschalldiagnose
30000
70
60
25000
20000
40
15000
30
Durchfluss [l/h]
Schallpegel [dB]
50
10000
20
5000
10
0
0
10
20
30
40
50
Stellgröße [%]
Sensorpegel
Dr. Schrörs , Seite 230
60
Durchfluss
70
80
90
0
100
Körperschallsensor
Fehlererkennung,
Mitbenutzung von SIS-Komponenten
Dr. Schrörs , Seite 231
Fehlererkennung
Fehler
Auswirkung
Partial Stroke Test
Full Stroke Test
hängendes Magnetventil
MV öffnet nicht
erkennbar
erkennbar
Entlüftung verstopft
MV öffnet nicht
erkennbar
erkennbar
Luftleitung zum Antrieb
gequetscht
verzögerte Bewegung
erkennbar
erkennbar
Luftleitung zum Antrieb verstopft
Stellgerät schließt oder öffnet
nicht
erkennbar
erkennbar
Stopfbuchspackung fest
verzögerte Bewegung
erkennbar
erkennbar
mechanische Verbindung
zwischen Antrieb und Armatur
defekt
Stellgerät schließt oder öffnet
nicht
erkennbar
erkennbar
Magnetventil
Stellgerät
Diagnoseumfang?
Antrieb oder Armatur hängt
Stellgerät schließt oder öffnet
nicht
erkennbar
erkennbar
Ventilsitz ausgeschliffen
Ventil schließt nicht dicht
nicht erkennbar
erkennbar (mit
zusätzlichem Sensor, z.B.
Durchflussmesser)
Ventilsitz verstopft durch
Rückstände oder Polymerisation
Ventil schließt nicht dicht
nicht erkennbar
erkennbar (mit
zusätzlichem Sensor, z.B.
Durchflussmesser)
Dr. Schrörs , Seite 232
Fehlererkennung,
FMEDA: Auf- / Zu- Armatur
lfd.
Nr.
Gruppe
Komponente
Fehlerbild
mögliche
Ursachen
erwartete Eintritts-
Fehlerart wahrscheinlichkeit Fehlererkennung
zu hoher
Reibungswiderstand,
zu hoher Gegendruck
AF
2
zu hoher
Reibungswiderstand
AF
3
Fremdkörper zwischen
den Dichtflächen
MP
Armatur reagiert zu
langsam
1
Armaturenkörper
Armatur schließt nicht
Sitz der Kugel / Klappe
enthält Ablagerungen
Torsion des Schaftes
4
5
7
8
Armatur reagiert zu
langsam
Armatur
9
Antrieb
10
Armatur schließt nicht
11
MP
in
der Steuerluftleitung
zu niedriger Druck in
Steuerluftfleitung
zum
der Steuerluftleitung
P
Steuerluftfleitung
zum
Aktor
gequetscht
Aktor gequetscht
zuzuhoher
Reibungshoher
Reibungswiderstand
widerstand
Verbindung von Antrieb
Verbindung
von Antrieb
und Armatur defekt
und
Armatur
defekt
Rückstellfeder
MP
AF
AF
AF
13
Korrosion
Fett verharzt,
Verschmutzt,
Eingefroren
MP
Spule defekt
Kabelbruch
A
15
Steuersignal
"eingefroren"
fehlerhafte Hilfsenergie
(Über- /
Unterspannung,
Fremdsignale)
Elektronikfehler
P
TV
keine Ausgabe eines
Steuersignales
Hilfsenergie
ausgefallen
Drahtbruch
Kurzschluss
Elektronikfehler
A
TV - Karte
16
Dr. Schrörs , Seite 233
MP = Plausibilitätskontrolle ob Aktor
geschlossen, z. B. Kontrolle
Durchfluss, Druckmessung,
AF =Partial Stroke Test
MP
12
14
Funktionsprüfung
AF
Steuerluftleitung zum
Aktor gequetscht
Magnetventil schaltet
nicht
Vermeidung systematischer Fehler
• Qualifizierte Planung
• Qualifizierte Montage
• Sorgfältige Erstprüfung
AF
sehr selten
gebrochen
Magnetventil
Konsequenzen /
geplante Maßnahmen
MP
Durchfluss vorhanden,
trotz des geschlossenenzuDichtflächen
niedriger Druck
beschädigkt
Armatur
(Korrosion / Abrasion)
6
Prüfplan
Zuordnung zu den Messgrößen
MP
sehr selten
Messung der Hilfsenergie mit Hilfe
des Multimeters und / oder
Oszilloskop
MP
Funktionsprüfung
sehr selten
MP
möglicher Sicherungsfall
Diagnose, Parameter
Dr. Schrörs , Seite 234
Page 234
Diagnose, Parameter
• Losbrech-Moment
• Dichtigkeit
• Laufeigenschaften
• Travel time
• Gleichmäßigkeit
• Energieaufwand
Mittelbare / unmittelbare
Erkennung aus den Messgrößen?
Magnetventil?
Bildquelle: Samson
Dr. Schrörs , Seite 235
Diagnose, Ablauf
•
•
•
•
Automatische Ausführung
Anstoß von Hand
Registrierend / Protokollierend
Detailtiefe / Genauigkeit / Häufigkeit
Dr. Schrörs , Seite 236
Bildquelle: Samson
Konsequenzen
• Diagnostik regelmäßig prüfen, warten und zeitnah instand setzen.
• Vorgehensweise bei einer negativen Diagnosemeldung
– Überprüfung
– Erhöhte Aufmerksamkeit, Ersatzmaßnahmen
– Unverzügliche(r) / vorbeugende(r) Instandsetzung / Austausch
– Abfahren
Dr. Schrörs , Seite 237
Konsequenzen
• Bei SIL-Relevanz: Implementierung in einer sicherheitsgerichteten
Steuerung
•
Komplexität
•
Übersichtlichkeit
• Ersatz für die regelmäßige Funktionsprüfung von PLTSchutzmaßnahmen
•
Prüffristverlängernd
•
Situationsabhängige Prüfung, Vermeidung von regelmäßigen Produktionsstillständen
• „Fahrverhalten“ während des laufenden Betriebs
•
Vertrauen, Prozeduren und Umgang mit der Diagnostik
•
Plausibilitätscheck?
Dr. Schrörs , Seite 238
Fazit
•
Die Diagnose von Stellgeräten ist heute technisch möglich
•
Es fehlt an Erfahrungen im Umgang mit den Informationen aus den Systemen
•
Diagnostik kann das Betreiben und Instandhalten von Stellgeräten verändern
•
Diagnostik kann das Betreiben von Prozessen verändern
•
Die Weiterführung der Entwicklung erfordert gemeinsame Anstrengungen von
Geräteherstellern, Anwendern und Hochschulen. Ein Quick Win ist erforderlich!
Stichwort: Fernwarte
Dr. Schrörs , Seite 239
Mitbenutzung von Komponenten des SIS
für betriebliche Funktionen
Worüber reden wir?
Mitbenutzung von Komponenten des Sicherheitssystems für betriebliche
Funktionen (z.B. Regelung)
•
und nicht
Mitbenutzung von Komponenten des Betriebssystems für
Schutzfunktionen oder
Mitbenutzung von PLT-Betriebseinrichtungen in PLTSchutzeinrichtungen
Dr. Schrörs , Seite 241
Worüber reden wir?
•
•
•
Die Schutzfunktion hat stets Vorrang
Alle Komponenten einer Schutzeinrichtung müssen der
sicherheitsgerichteten Verfügbarkeit genügen. Das gilt auch für die
Komponenten, die für betriebliche Zwecke mitbenutzt werden.
Fehlerhaftes Einwirkungen der betrieblichen Funktionen auf die
sicherheitsgerichteten Funktionen sind unbedingt zu vermeiden.
–
–
–
–
•
Rückwirkungsfreiheit
Physikalische Trennung
Vermeidung von Fehlern gemeinsamer Ursache
Zugangskontrolle (z.B. Passwort)
Kein Upgrade betrieblicher Funktionen zu Schutzfunktionen
Dr. Schrörs , Seite 242
Worüber reden wir?
SIS
Erzeugung der Information
(Sensor)
Verarbeitung der Information
Entscheidung zur Aktion
(sicherheitsgerichtete Steuerung)
Ausführung der Aktion
(Aktor),
z.B. Ventil, Motor, Hupe
Dr. Schrörs , Seite 243
Worüber reden wir?
SIS
Erzeugung der Information
(Sensor)
Verarbeitung der Information
Entscheidung zur Aktion
(sicherheitsgerichtete Steuerung)
Ausführung der Aktion
(Aktor),
z.B. Ventil, Motor, Hupe
Dr. Schrörs , Seite 244
Worüber reden wir?
SIS
Erzeugung der Information
(Sensor)
Verarbeitung der Information
Entscheidung zur Aktion
(sicherheitsgerichtete Steuerung)
Das SIS muss
Ausführung der
Aktion
stets
den
(Aktor),
Sicherheitsz.B. Ventil,anforderungen
Motor, Hupe
genügen
Dr. Schrörs , Seite 245
Design von Schutzebenen in der Anlagensicherheit
– Grundsatz beim Design:
Unabhängigkeit und Diversität
• Designprozess einfach und
wenig fehleranfällig
• Keine Spezifikation von
Schnittstellen nötig
• Gleichzeitiger gemeinsamer
Ausfall mehrerer Schutzebenen
wird vermieden
• Unproblematische Kreditnahme
auf jeweilige Beiträge zur
Risikominderung
– Sind Abweichungen von diesem
Grundsatz sinnvoll / legitimiert?
Quelle: DIN EN 61511-1:2005
Dr. Schrörs , Seite 246
DIN EN 61511, grundsätzlich
Bedienung und Beobachtung
Beobachtung, optional
Splitter zur Signaltrennung
Stellungsregler des Aktors
Dr. Schrörs , Seite 247
SIS
SIS
Safety
PLC
Safety
PLC
non SIS
BPCS
Mitbenutzung, räumliche Trennung aufgehoben
SIS
non SIS
Safety
PLC
Bedienung und Beobachtung
Beobachtung, optional
Splitter zur Signaltrennung
Stellungsregler des Aktors
Dr. Schrörs , Seite 248
Safety
PLC
BPCS
Mitbenutzung, räumliche Trennung aufgehoben
SIS
non SIS
Safety PLC
Bedienung und Beobachtung
Beobachtung, optional
Splitter zur Signaltrennung
Stellungsregler des Aktors
Dr. Schrörs , Seite 249
BPCS
Mitbenutzung, Signalaustausch
SIS
non SIS
Safety PLC
Bedienung und Beobachtung
Beobachtung, optional
Splitter zur Signaltrennung
Stellungsregler des Aktors
Dr. Schrörs , Seite 250
BPCS
Mitbenutzung, Komponenten-Austausch
SIS
non SIS
Safety PLC
Bedienung und Beobachtung
Beobachtung, optional
Splitter zur Signaltrennung
Stellungsregler des Aktors
Dr. Schrörs , Seite 251
BPCS
Fallbeispiel – Fließbild
TIC
T0001
Y0001
Y0002
Vorhanden
Temperaturregelung des Inneren von Reaktor AK001 via T0001 und
Dampfregelventil Y0001
Dr. Schrörs , Seite 252
• Betrachtete Abweichung:
“Temperatur zu hoch”
• Mögliche Folge:
Durchgehreaktion, Druckanstieg,
Bersten des Reaktors
• Team muss sich für
Eintrittshäufigkeit und
Schadensausmaß entscheiden
• Hilfreich zur Bestimmung der
Eintrittshäufigkeit:
Welche stochastisch unabhängigen
Ereignisse können zur Abweichung
führen?
Schadensausmaß
Fallbeispiel – Risikobetrachtung
E(S)
H(D)
Eintrittshäufigkeit
Risikomatrix orientiert sich an DIN EN 61511-3:2005, Tabelle A.1
Dr. Schrörs , Seite 253
Fallbeispiel – Risikobetrachtung
• Betrachtete Abweichung:
• Wie kommt Abweichung
“Temperatur zu hoch”
“Temperatur hoch” zustande?
– Falsche Reglerparametrierung
• Mögliche Folge:
– Defekter Temperatursensor
Durchgehreaktion, Druckanstieg,
– Ausfall Stellungsregler
Bersten des Reaktors
– Offen Verklemmen der
• Team muss sich für
Regelarmatur
Eintrittshäufigkeit und
– ...
Schadensausmaß entscheiden
• Summe der zugehörigen Einzel• Hilfreich zur Bestimmung der
häufigkeiten liefert
Eintrittshäufigkeit:
Eintrittshäufigkeit H(D) für
Welche stochastisch
“Temperatur hoch”
unabhängigen Ereignisse
können zur Abweichung führen?
H(D): Häufigkeit der Anforderung (Demand D)
Dr. Schrörs , Seite 254
• Betrachtete Abweichung:
“Temperatur zu hoch”
• Mögliche Folge:
Durchgehreaktion, Druckanstieg,
Bersten des Reaktors
• Team entscheidet sich für ein Risiko
der Klasse I
• Risikoreduktion erfolgt mit Mitteln
der PLT:
Design einer PLT-Schutzeinrichtung
in SIL3-Qualität (laut Kalibrierung)
• Annahme:
Sämtliche Geräte betriebsbewährt
Æ SIL3 zweikanalig (1oo2)
Schadensausmaß
Fallbeispiel – Risikobetrachtung
E(S)
H(D)
Eintrittshäufigkeit
Risikomatrix orientiert sich an DIN EN 61511-3:2005, Tabelle A.1
Dr. Schrörs , Seite 255
E(S): Erwartungswert des Schadens S
H(D): Häufigkeit der Anforderung (Demand D)
Fallbeispiel – Design Variante 1
TIC
T0001
UZ
U0001
TIZ+
T0003
Y0001
Y0002
Y0003
U0001
Wenn T0002 oder T0003 > 220°C, dann schließe Y0002 und Y0003.
Sensorik: 1oo2, Aktorik: 1oo2
Dr. Schrörs , Seite 256
TIZ+
T0002
BPCS
SIS
Fallbeispiel – Design Variante 2
TIC
T0001
UZ
U0001
TIZ+
T0003
Y0001
Y0002
U0001
Wenn T0002 oder T0003 > 220°C, dann schließe Y0001 und Y0002.
Sensorik: 1oo2, Aktorik: 1oo2
Dr. Schrörs , Seite 257
TIZ+
T0002
BPCS
SIS
• Niedrigere Grundausfallrate der
Regelarmatur gegenüber Kugelhahn
(Dichtigkeitskriterium beachten!)
• Betriebliche Betätigung verhindert
Festkorrodieren (Ausfall durch
“Nicht-Nutzung”)
• Weitreichende Diagnosemaßnahmen durch intelligente
Stellungsregler möglich
– Überführen eines (aufwandsabhängigen) Fehlerratenanteils von DU
nach DD
FIT
Problemumfeld – Pro Mitbenutzung
4500
4000
3500
3000
2500
2000
1500
1000
500
0
S
DD
DU
Daten: Exida
Dr. Schrörs , Seite 258
DD: Dangerous Detected
DU:Dangerous Undetected
S: Safe
FIT: Failures in Time (Fehler pro 109 Stunden)
Problemumfeld – Contra Mitbenutzung
TIC
T0001
UZ
U0001
TIZ+
T0003
Y0001
Y0002
Folge von “Regelarmatur verklemmt im geöffneten Zustand”
1. Regelung versagt, Temperatur steigt
2. T0002 und T0003 überschreiten Grenzwert 220°C
Dr. Schrörs , Seite 259
TIZ+
T0002
BPCS
SIS
Problemumfeld – Contra Mitbenutzung
TIC
T0001
UZ
U0001
TIZ+
T0003
Y0001
Y0002
Folge von “Regelarmatur verklemmt im geöffneten Zustand”
3. U0001 triggert Aktorteilsystem Y0001 und Y0002
4. Y0001 sicherheitstechnisch ausgefallen Æ keine 1oo2-Redundanz mehr
Dr. Schrörs , Seite 260
TIZ+
T0002
BPCS
SIS
Problemumfeld – Festlegungen
• Wie kommt Abweichung
“Temperatur hoch” zustande?
– Falsche Reglerparametrierung
– Defekter betrieblicher
Temperatursensor
– Ausfall Stellungsregler
– Offen Verklemmen der
Regelarmatur
– ...
• Großteil der Ereignisse DSIS wirkt
sich nicht auf SIS aus
• Nur kleiner Anteil DSIS ist SISrelevant
Dr. Schrörs , Seite 261
Problemumfeld – Festlegungen
• Wie kommt Abweichung
“Temperatur hoch” zustande?
– Falsche Reglerparametrierung
– Defekter betrieblicher
Temperatursensor
– Ausfall Stellungsregler
– Offen Verklemmen der Regelarmatur
– ...
• Großteil der Ereignisse DSIS wirkt
sich nicht auf SIS aus
• Nur kleiner Anteil DSIS ist SISrelevant
• Summe aller zugeordneten
Häufigkeiten ist
H(D) = H(DSIS) + H(DSIS)
• H(D) ist in ursprünglicher
Risikobetrachtung festgelegt worden
H(DSIS)
H(D)
H(DSIS)
Dr. Schrörs , Seite 262
Problemumfeld – Festlegungen
• Wie kommt Abweichung
“Temperatur hoch” zustande?
– Falsche Reglerparametrierung
– Defekter betrieblicher
Temperatursensor
– Ausfall Stellungsregler
– Offen Verklemmen der Regelarmatur
– ...
• Großteil der Ereignisse DSIS wirkt
sich nicht auf SIS aus
• Nur kleiner Anteil DSIS ist SISrelevant
Dr. Schrörs , Seite 263
• Summe aller zugeordneten
Häufigkeiten ist
H(D) = H(DSIS) + H(DSIS)
• H(D) ist in ursprünglicher
Risikobetrachtung festgelegt worden
• H(DSIS) entspricht (in etwa) der
Summe der gefährlichen
Ausfallraten aller zwischen SIS und
BPCS geteilten Komponenten
– Betroffene Geräte sind üblicherweise
SIL-zertifiziert
– Rückgriff auf zertifizierte Raten oder
generische Werte möglich
• Betrachtete Abweichung:
“Temperatur zu hoch”
• Prozessrisiko R = H(D)·E(S)
= (H(DSIS)+H(DSIS))·E(S)
= Risiko der Klasse I
• Risikoreduktion erfolgt mit Mitteln
der PLT:
Design einer PLT-Schutzeinrichtung
mit SILP1 = 3 (laut Kalibrierung)
• Annahme:
Sämtliche Geräte betriebsbewährt
Æ SIL3 zweikanalig (1oo2)
Schadensausmaß
Fallbeispiel – Risikobetrachtung
E(S)
H(D)
Eintrittshäufigkeit
Risikomatrix orientiert sich an DIN EN
61511-3:2005,
Tabelle
A.1
H(D):
Häufigkeit
des Demands
D
Dr. Schrörs , Seite 264
H(DSIS): Häufigkeit eines Demands mit Beeinträchtigung des SIS
H(DSIS): Häufigkeit eines Demands ohne Beeinträchtigung des SIS
E(S): Erwartungswert des Schadens S
Ermittlung aller mitbenutzten Komponenten
samt Ausfallraten
TIC
T0001
UZ
U0001
TIZ+
T0003
•
SIS- und BPCS-relevante Komponenten
•
Regelventilantrieb
•
Regelventilarmatur
Dr. Schrörs , Seite 265
TIZ+
T0002
BPCS
SIS
Ermittlung aller mitbenutzten Komponenten
samt Ausfallraten
TIC
T0001
UZ
U0001
TIZ+
T0003
•
Kumulierte gefährliche Ausfallraten
•
λD = 54,5 FIT = H(DSIS)
Dr. Schrörs , Seite 266
TIZ+
T0002
BPCS
SIS
Fallbeispiel – Risikobetrachtung
• Betrachtete Abweichung:
• Prozessrisiko Rres = H(DSIS)·E(S)
= Risiko der Klasse II
• Für Risikoreduktion steht
mitbenutzter Teil der PLTSchutzeinrichtung nicht zur
Verfügung
• Erforderlich ist SILres = 2 (laut
Kalibrierung)
Schadensausmaß
“Temperatur zu hoch, verursacht
durch mitbenutzte Komponente(n)”
E(S)
H(D)
Eintrittshäufigkeit
Risikomatrix orientiert sich an DIN EN
61511-3:2005,
Tabelle
A.1
H(D):
Häufigkeit
des Demands
D
Dr. Schrörs , Seite 267
H(DSIS): Häufigkeit eines Demands mit Beeinträchtigung des SIS
H(DSIS): Häufigkeit eines Demands ohne Beeinträchtigung des SIS
E(S): Erwartungswert des Schadens S
Berechnung von PFDres
• Nachweis, dass der Restkreis PFDres
UZ
U0001
TIZ+
T0003
Dr. Schrörs , Seite 268
TIZ+
T0002
Alarmmanagement
Leitsystem-Architektur
Dr. Schrörs , Seite 270
Leitsystem-Architektur
Dr. Schrörs , Seite 271
Alarmarten
•
•
•
•
•
•
•
•
•
•
•
•
Absolutalarme,
Abweichungsalarme,
Änderungsgeschwindigkeitsalarme,
Abweichungszustandsalarm,
Zeitverzögerte Alarme, d.h. der Alarm wird erst generiert, wenn das
Alarmkriterium für eine vorgegebene Zeitspanne erfüllt ist.
Rezeptabhängige Alarme,
Bitmusteralarme,
Leittechnische Alarme,
Gleitende Alarme,
Vom Operator gesetzte Alarme,
Adaptive Alarme,
Reaktivierbare Alarme.
Quelle: NAMUR NA 102
Dr. Schrörs , Seite 272
Alarme ohne Wert
Alarme ohne Wert für die Anlagenfahrer gibt es aus vielerlei Gründen, wie
beispielsweise:
• Defekte oder verschmutzte Sensoren erzeugen fortlaufend Fehlalarme;
• Alarme wurden in der Inbetriebnahmephase genutzt und später nie beseitigt;
• Schlecht eingestellte Regelkreise überschreiten periodisch die Alarmgrenzen;
• Ereignisse, die keine Reaktion des Anlagenfahrers erfordern, werden als
Alarm gemeldet;
• Zu eng gesetzte Alarmgrenzen;
• Falsch gesetzte Alarmparameter (Hysterese, Filter).
Die Eliminierung solcher Alarme gestaltet sich dementsprechend von sehr
einfach bis sehr aufwändig.
Dr. Schrörs , Seite 273
Konzept
•
Neu-Anlage:
–
–
–
–
•
Voreinstellung der Alarmprioritäten (Default-Set)
Klassifizierung während der Projektabwicklung
Priorisierung während der Projektabwicklung
Gruppenbildung und situationsbedingte Alarmunterdrückung
Bestehende Anlagen:
–
–
–
–
–
Iterativer Prozess
Alarmrekonfiguration
Registrierung der Alarmaktivitäten (automatisiert)
Klassifizierung der Alarmaktivitäten
Priorisierung der Alarmaktivitäten
Gruppenbildung oder Überprüfung vorhandener Gruppen;
situationsbedingte Alarmunterdrückung
Dr. Schrörs , Seite 274
Der Operator ist zu unterstützen
•
•
•
•
Bereichsübersicht von Alarmen,
Alarmdarstellung über Alarmlisten,
Alarmdarstellung im schematischen Fließbild,
Erstwertmeldesystem.
• Design
– Definition geeigneter Hilfetexte und Sprungfunktionen für die Navigation.
– Prüfung, welche Bedieneingriffe automatisiert werden können.
– Prozessbildgestaltung muss Situationseinschätzung unterstützen.
Dr. Schrörs , Seite 275
Beispiel für eine Priorisierungsmatrix
Sicherheitsgerichtete
Alarme
Quelle: NAMUR NA 102
Dr. Schrörs , Seite 276
Performance Monitoring zur Analyse
•
•
•
•
•
•
•
•
•
Alarmanzahl pro Alarmtyp, Alarmsignal, Alarmquelle und Blocktyp
Anzahl der Prozessalarme einer Alarmquelle pro Zeiteinheit, eines
bestimmten Alarmsignals pro Zeiteinheit, "zitternder" Alarme, Daueralarme;
Zeitdauer im Alarmzustand;
Zeitverlauf aktivierter Alarmsignale einer Alarmquelle (Alarmketten), der
Zeitdauern anstehender bzw. unquittierter Signale separiert in Zeiteinheiten;
Häufigkeitsverteilung der Zeiten anstehender bzw. unquittierter Alarmsignale;
Zeitdauer der Quittierung von Alarmen;
Anzahl der nicht quittierten gegangenen Alarme;
Folgealarme auf Bedieneingriff;
Folgebedieneingriffe auf Prozessalarm und auf Quittierung.
Dr. Schrörs , Seite 277
Beispiel eines praktizierten
Alarmmanagements
und resultierender Nutzen
Quelle: NAMUR NA 102
Dr. Schrörs , Seite 278
Reduktion von Alarmen und Bedienereingriffen
durch Alarmmanagement
Quelle: NAMUR NA 102
Dr. Schrörs , Seite 279
Sicherheitsgerichtete Alarme
•
Sicherheitsrelevante Ereignisse, die einen sofortigen Eingriff erfordern
werden in der sicherheitsgerichteten Steuerung (SIS) erzeugt und zur
Information an das betriebliche Leitsystem weitergeleitet.
•
Diese sogenannten Sicherheitsalarme werden vom SIS auf einem getrennten
Tableau dargestellt.
•
Zusätzlich erfolgt die Darstellung für den Operateur auf dem Leitsystem
(BPCS)
Dr. Schrörs , Seite 280
Sicherheitsgerichtete Alarme
Overpressure BA01
Overpressure BA02
Shutdown
Acknowledge
SIS
Dr. Schrörs , Seite 281
Test
BPCS
SIS = Safety Instrumented System, sicherheitsgerichtete Steuerung
BPCS = Basic Process Control System, Prozessleitsystem
Erfahrungen der letzten Jahre
•
Das Engineering des Alarmmanagement, die Implementierung im Leitsystem
und die Pflege erfordern Zeit und Aufwand (Geld)
•
Alarmmanagement ist eine iterative, interdisziplinäre Teamarbeit
•
Die Einbeziehung der Schichtmitarbeiter in der Betriebsphase wirkt sich
positiv aus
•
Die Anlagenfahrer begrüßen die Reduktion der Alarmhäufigkeit sehr
•
Meldungen von Sicherheitseinrichtungen müssen nicht unbedingt mit
höchster Priorität eingestuft werden, denn nach Shutdown können Alarme
aus anderen Anlagenteilen vorliegen, bei denen ein Eingriff dringlich ist
Dr. Schrörs , Seite 282
Zusammengefasst
•
•
•
•
•
•
Ein wesentlicher Nutzen aus dem Alarmmanagement bezieht sich auf den
menschlichen Faktor:
Durch die Reduktion der Alarmhäufigkeit werden die Anlagenfahrer in
arbeitspsychologischer Hinsicht deutlich entlastet; ihr Stress wird damit
gemindert und sie bekommen mehr Zeit und Freiraum für ihre eigentliche
Aufgabe
Daraus ergibt sich der Nutzen für den Produktionsfaktor:
Der Anlagenfahrer erkennt rechtzeitig Abweichungen des Prozesses von
seinem Sollzustand und mit Unterstützung durch das Alarmmanagement wird
er frühzeitig entgegensteuern.
Zusätzlicher Nutzen ergibt sich vielfach in anlagentechnischer Hinsicht aus
der Analyse von Alarmmeldearchiven, der interdisziplinären Diskussion von
Schwachstellen und der Umsetzung von erkanntem Verbesserungspotenzial
Die resultierenden Maßnahmen können wesentlich dazu beitragen, die
Effizienz der Produktionsanlagen zu steigern.
Dr. Schrörs , Seite 283
Geführte Anzeige,
die wichtigsten Alarme für eine Person
Quelle: Wikipedia
Dr. Schrörs , Seite 284
Intention und Motivation
Bhopal, Indien, 3. Dezember 1984
• Fakten
– Freisetzung von Methylisocyanat (MIC) Gas in Union Carbide
Pestizid Produktion
– Unzureichende Instandhaltung
• Menschliche Fehler
• Nicht befolgte Betriebsanweisungen
Dr. Schrörs , Seite 286
Bhopal, Indien, 3. Dezember 1984
• Direkte Folgen
– Mehr als 3.700 Tote
– Mehr als 500.000 Verletzte
• Indirekte Folgen:
– Gegend bis heute schwer kontaminiert
– 8 leitende Angestellte der fahrlässigen Tötung für schuldig
befunden und zu jeweils zwei Jahren Haft auf Bewährung und
einer Geldstrafe in Höhe von umgerechnet 1800 Euro verurteilt.
Dr. Schrörs , Seite 287
Texas City, USA. 23. März 2005
• Fakten
– Stofffreisetzung und Explosion
– Mehrere Gerätefehler, Apparateversagen und prozedural Fehler
• Direkte Folgen
– Überfüllen der Trenn-Kolonne
– 5 Explosionen
– 15 Tote
– Mehr als 170 Verletzte
– Gebäude und Fahrzeuge zerstört
– Druckwelle in einem 5 Meilen entfernten Wohngebiet
Dr. Schrörs , Seite 288
Texas City, USA. 23. März 2005
Dr. Schrörs , Seite 289
Texas City, USA. 23. März 2005
Dr. Schrörs , Seite 290
Jilin, China, 13. November 2005
• Fakten
– Überfüllung von Benzol und Nitrobenzol
– Nach Explosion in einen Fluß gelangt
• Direkte Folgen
– 6 Tote
• Indirekte Folgen
•
•
•
•
Strecke von 80 km kontaminiertes Wasser
40 Stunden für den Durchfluß
Es war Winter und das Wasser gefror
Mehr als 6000 Bewohner evakuiert
Dr. Schrörs , Seite 291
Jilin, China, 13. November 2005
Das Leck entstand
durch eine gewaltige
Explosion in der Petro
China Benzol Fabrik
im Zentrum von Jilin
Dr. Schrörs , Seite 292
Jilin, China, 13. November 2005
• Proben ergaben eine bis zum 30fachen über dem Grenzwert erhöhte
Konzentration der krebserregenden Chemikalie
Dr. Schrörs , Seite 293
Jilin, China, 13. November 2005
Die Bevölkerung in
Harbin im Nordosten
Chinas mussten mit
Wasser versorgt
werden, nachdem das
Wasser der
städtischen Wasserversorgung mit
Benzol kontaminiert
war
Dr. Schrörs , Seite 294
Baytown, TX, USA, 26. September 2006
Dr. Schrörs , Seite 295
Dormagen, D, 17. März 2008
Dr. Schrörs , Seite 296
Flixborough, GB, 1. Juni 1974
Die Flixborough
Katastrophe war eine
Explosion in einer
Chemieanlage nahe der
Stadt Flixborough (nahe
Scunthorpe),
Humberside (heute
North Lincolnshire),
England.
• Direkte Folgen:
– 28 Tote
– 36 Verletzte
Dr. Schrörs , Seite 297
Toulouse, F, 21. September 2001
•
•
Fakten
– Explosion in einer Düngemittel Anlage
vergleichbar mit 20-40 Tonnen TNT
Direkte Folgen
– 31 Tote
– 2.442 Verletzte
– 140 zerstörte Fahrzeuge auf der Autobahn
– 100 parkende Busse zerstört
Dr. Schrörs , Seite 298
Toulouse, F, 21. September 2001
Dr. Schrörs , Seite 299
Toulouse, F, 21. September 2001
Dr. Schrörs , Seite 300
Toulouse, 12.
Maracanä,
12. August
August 2010
2010
Dr. Schrörs , Seite 301
Deepwater Horizon
Dr. Schrörs , Seite 302
Fukushima
Dr. Schrörs , Seite 303
Management der Funktionalen Sicherheit,
Lebenszyklus
Funktionale Sicherheit, Hierarchie
DKE
Die richtige Funktion zur
richtigen Zeit sicherzustellen oder den richtigen Zustand - ist
wesentlich für jede
automatisierungstechnische
Aufgabe.
Betrifft dies
Sicherheitsfunktionen,
sprechen wir auch von
„Funktionaler Sicherheit“.
Funktionale Sicherheit
Dr. Schrörs , Seite 305
Vermeidung von Schäden an
Personen, Umwelt oder
Sachgütern
Vermeidung eines Verfahrens
oder Anlagenzustandes, der zu
einem erheblichen Schaden
führen könnte
Maßnahme(n) zur Lösung
einer Schutzaufgabe
Eine Schutzeinrichtung zur
Realisierung einer Schutzaufgabe
kann aus Elementen technischer
und / oder organisatorischer Art
bestehen
Funktionale Sicherheit, Schutzfunktion
Beispiel einer Schutzaufgabe
UZ
Schutzziel
¾ Leib und Leben, Umwelt
M
PIAZ
TIAZ
Schutzaufgabe:
¾ Vermeidung der Stofffreisetzung durch
Behälterbersten
Schutzmaßnahmen:
¾ Unzulässiger Druck- und Temperatur-anstieg
durch Entlastung vermeiden
Schutzeinrichtung:
¾ Druck- oder Temperatur
¾ schließt Zudosierung
¾ stellt Beheizung ab
¾ schaltet Rührer-Antrieb aus
¾ öffnet Bodenablass
Dr. Schrörs , Seite 306
Funktionale Sicherheit, Auslegung
Die Beurteilung elektrischer-/elektronischer-/programmierbarer elektronischer
Systeme in Bezug auf die Zuverlässigkeit von Sicherheitsfunktionen erfolgt
anhand 4 Sicherheits-Integritätslevel.
Der Sicherheits-Integritätslevel ist ein Maß für die Zuverlässigkeit
(Unverfügbarkeit) einer Sicherheitstechnischen Funktion (SIF) und nicht die
eines Gerätes.
Sicherheits-Integritätslevel, SIL
PFDavg
4
3
3
≥ 10-5 bis < 10-4
≥ 10-4-4 bis < 10-3-3
≥ 10 bis < 10
2
2
1
≥ 10-3-3 bis < 10-2-2
≥ 10 bis < 10
≥ 10-2 bis < 10-1
Sicherheitstechnische Funktion in der Betriebsart „niedrige Anforderungsrate“
Dr. Schrörs , Seite 307
Funktionale Sicherheit, Auslegung
Sensor-Teilsystem
Aktor-Teilsystem
Type A
Type B
Hardware Fault Tolerance
(HFT)
Hardware Fault Tolerance
(HFT)
0
1
2
0
1
2
<60%
SIL 1
SIL 2
SIL 3
n.a.
SIL 1
SIL 2
60%-<90%
SIL 2
SIL 3
SIL 4
SIL 1
SIL 2
SIL 3
90%-<99%
SIL 3
SIL 4
SIL 4
SIL 2
SIL 3
SIL 4
>99%
SIL 3
SIL 4
SIL 4
SIL 3
SIL 4
SIL 4
Safe
Failure
Fraction
(SFF)
Dr. Schrörs , Seite 308
Funktionale Sicherheit, Auslegung
Durchschaubarkeit:
A hoch
B niedrig
Sensor-Teilsystem
Aktor-Teilsystem
Type A
Type B
Hardware Fault Tolerance
(HFT)
Hardware Fault Tolerance
(HFT)
0
1
2
0
1
2
<60%
SIL 1
SIL 2
SIL 3
n.a.
SIL 1
SIL 2
60%-<90%
SIL 2
SIL 3
SIL 4
SIL 1
SIL 2
SIL 3
90%-<99%
SIL 3
SIL 4
SIL 4
SIL 2
SIL 3
SIL 4
>99%
SIL 3
SIL 4
SIL 4
SIL 3
SIL 4
SIL 4
Safe
Failure
Fraction
(SFF)
Dr. Schrörs , Seite 309
Funktionale Sicherheit, Auslegung
Sensor-Teilsystem
Safe
Failure
Fraction
(SFF)
Aktor-Teilsystem
Type A
Type B
Hardware Fault Tolerance
(HFT)
Hardware Fault Tolerance
(HFT)
Anteil 1
ungefährlicher
SIL 1 FehlerSIL 2
2
0
1
2
SIL 3
n.a.
SIL 1
SIL 2
60%-<90%
SIL 2
SIL 3
SIL 4
SIL 1
SIL 2
SIL 3
90%-<99%
SIL 3
SIL 4
SIL 4
SIL 2
SIL 3
SIL 4
>99%
SIL 3
SIL 4
SIL 4
SIL 3
SIL 4
SIL 4
<60%
0
Dr. Schrörs , Seite 310
Funktionale Sicherheit, Auslegung
Sensor-Teilsystem
Safe
Failure
Fraction
(SFF)
Aktor-Teilsystem
Type A
Type B
Hardware Fault Tolerance
(HFT)
Hardware Fault Tolerance
(HFT)
0
1
<60%
SIL 1
SIL 2
60%-<90%
SIL 2
SIL 3
90%-<99%
SIL 3
>99%
SIL 3
Dr. Schrörs , Seite 311
Design:
2 der zu
0
Zahl
tolerierenden
SIL 3
n.a.
Fehler
1
2
SIL 1
SIL 2
SIL 4
SIL 1
SIL 2
SIL 3
SIL 4
SIL 4
SIL 2
SIL 3
SIL 4
SIL 4
SIL 4
SIL 3
SIL 4
SIL 4
Funktionale Sicherheit, Lebenszyklus
Management
und
Beurteilung
der
funktionalen
Sicherheit
und Audits
Aufbau und
Planung des
SicherheitsLebenszyklus
Gefährdungs- und Risikobeurteilung
Abschnitt 8
Verifikation
Zuordnung der Sicherheitsfunktionen zu den
Schutzebenen
Abschnitt 9
Spezifikation der
Sicherheitsanforderungen an das SIS
Abschnitte 10 und 12
Entwurf und Planung des SIS
Abschnitte 11 und 12
Entwurf und Planung anderer
Maßnahmen zur Risikominderung
Abschnitt 9
Montage, Inbetriebnahme und Validierung
Abschnitte 14 und 15
Betrieb und Instandhaltung
Abschnitt 16
Modifikation
Abschnitt 17
Abschnitt 5
Abschnitt 6.2
Außerbetriebnahme
Abschnitt 18
Dr. Schrörs , Seite 312
Abschnitte 7,
12.4 &12.7
Das 4-Augen-Prinzip
•
•
In der Planung leichter zu organisieren für den laufenden Betrieb
Validierung durch unabhängige Person/Abteilung
Ziel muss es sein:
• Versteckte (systematische) Fehler finden
• Fehlerfortpflanzung zu vermeiden
• Verständnisprobleme zu klären
Dr. Schrörs , Seite 313
Welche Dokumente werden benötigt?
• Safety plan
• Auszug aus der
Sicherheitsbetrachtung
• Safety Requirements
Specification
• SIL-Berechnung
• Geräte-Manuals
• Dokument zur
Betriebsbewährung (Prior
Use)
• FAT, SAT Bericht
• Wiederholarbeitsplan
• FSA-Report
• Standard Dokumentation:
– Prüfdokument, R&I …
Dr. Schrörs , Seite 314
Welche Anforderungen
werden an die Dokumentation gestellt?
•
•
•
•
•
•
•
Die Dokumentation muss
auffindbar
aktuell
eindeutig
verständlich und
nachvollziehbar
sein
Dr. Schrörs , Seite 315
Risikobewertung
Risiko
Das Risiko wird in der DIN EN 61511 wie folgt definiert:
Das Risiko R ist die Kombination der Wahrscheinlichkeit P des Auftretens eines
Schadens S und des Schweregrades dieses Schadens (R = S x P)
Dr. Schrörs , Seite 317
Risiko, Risikograph
Schadenausmaß S
Aufenthaltsdauer A
Gefahrenabwendung G
Eintrittswahrscheinlichkeit
des unerwünschten
Ereignisses W
SIL, Safety Integrity Level
Dr. Schrörs , Seite 318
LOPA, Analyse der Schutzebenen
Dr. Schrörs , Seite 319
Kontinuum des Risikos
Risiko
Eintrittshäufigkeit
F
Schadensausmaß Severity S
Dr. Schrörs , Seite 320
Kontinuum des Risikos
Risiko
Eintrittshäufigkeit
F
Schadensausmaß Severity S
hoch
hoch
niedrig
Dr. Schrörs , Seite 321
niedrig
Kontinuum des Risikos
Risiko
Eintrittshäufigkeit
F
Schadensausmaß Severity S
hoch
niedrig
hoch
Entscheidung
niedrig
Dr. Schrörs , Seite 322
Kontinuum des Risikos,
Diskretisierung für technische Lösungen
Risiko Matrix
Eintrittshäufigkeit
F
Schadensausmaß Severity S
hoch
hoch
niedrig
Dr. Schrörs , Seite 323
niedrig
Kontinuum des Risikos,
Diskretisierung für technische Lösungen
Risiko Matrix
Eintrittshäufigkeit
F
Schadensausmaß Severity S
S1
F0
F1
F2
F3
F4
Dr. Schrörs , Seite 324
S2
S3
S4
Risiko, Risiko-Matrix
Risiko Matrix
Schadensausmaß
Auswirkung
Wahrscheinlichkeit
Eintrittshäufigkeit
Katastrophal
Kritisch
Gering
Vernachlässigbar
Häufig
I
I
I
II
Wahrscheinlich
I
I
II
II
Gelegentlich
I
II
II
II
Gering
II
II
II
III
Unwahrscheinlich
II
III
III
III
Nicht glaubhaft
II
III
III
III
Klasse I, nicht tolerierbares Risiko
Klasse II, unerwünschtes Risiko
Klasse III, vernachlässigbares Risiko
Dr. Schrörs , Seite 325
Risiko, Maßstäbe (Beispiel)
Eintrittshäufigkeit F:
F0 Ist schon mehrmals geschehen (einmal pro Jahr oder öfter),
F1 Ist schon einmal geschehen (Etwa einmal in 10 Jahren),
F2 Fast geschehen, Beinaheunfall (Etwa einmal in 100 Jahren),
F3 Noch nie geschehen, aber denkbar (Etwa einmal in 1.000 Jahren),
F4 Vernünftigerweise nicht auszuschließen,
(seltener als einmal in 10.000 Jahren)
10
10 0
10-1
10-2
Schadensausmaß(Severity S), Auswirkung auf die Gesundheit:
S1 Potenzial für einen oder mehrere Todesfälle
S2 Potenzial für einen oder mehrere Schwerverletzte (irreversibel)
S3 Potenzial für einen oder mehrere Verletzte mit Ausfalltagen
S4 Potenzial für leichte Verletzungen oder Belästigungen
Dr. Schrörs , Seite 326
to 10 0 pro Jahr
to 10-1 pro Jahr
to 10-2 pro Jahr
to 10-4 pro Jahr
< 10-4 pro Jahr
Safety and Security
Production IT is under Attack!
Hacked companies (examples)
The industrial control system (ICS) threat landscape (U.S.)
Source: Internet research
All incidents reported to and correlated by ICS-CERT
Bayer hacked
Dr. Schrörs , Seite 328
How do hackers get into production systems:
• Internet accessible databases list vulnerable
systems and SCADA security leaks
• Toolkits are around to execute attacks
• Markets emerge for trade of exploits
• Advanced persistent attacks (stuxnet and followers)
Impacts of Cyber Attacks on Business
Cyber Attacks are costly
Significant Impacts
ƒ Loss of regulated financial data
“2012 Cost of Cyber Crime Study”
(199 separate companies from UK 38,
AU 33, JP 29, Germany 43 and US 56)
ƒ Lost business
ƒ Loss of regulated personal data
ƒ Loss of intellectual property
ƒ Cost of remedial action
ƒ Fine from regulator
ƒ Reputational damage
The average annualized cost of cyber crime:
¾ The European Commission is
considering making it mandatory
for companies to report cyber
attacks.
Dr. Schrörs , Seite 329
ƒ US: $8.9 million per year, with a range of $1.4 million
to $46 million.
ƒ Germany: 4.8 million Euros (!) per year, with a range
of 0.6 million to 18.3 million.
ICS for Production is being more vulnerable
The Number of discovered Vulnerabilities in ICS
The causes:
• The increased
vulnerability of software,
processes and the abuse
of privileged accounts and
passwords
• Advanced, targeted,
stealthy and persistent
cyber attacks today
¾ Activities for safe, secure,
reliable production require
sustained attention!
Source: Positive Technologies, 2012 „SCADA Safety in
Numbers“
Dr. Schrörs , Seite 330
Funktionale Sicherheit vs. IT-Security
Dr. Schrörs , Seite 331
Funktionale Sicherheit vs. IT-Security
a)
Jedes technische System kann missbräuchlich (mit und ohne Absicht)
verwendet werden.
→ Computergestützte Systeme machen da keine Ausnahme.
b)
Jedes technische System kann aufgrund von Schwachstellen Fehlfunktionen
aufweisen.
→ Computergestützte Systeme machen da keine Ausnahme.
c) Computergestützte Systeme sind besonders anfällig für missbräuchliche
Nutzung und Fehlfunktionen:
– Daten und Funktionen sind teilweise mit hohen wirtschaftlichen Werten
verknüpft.
– Sie bieten das Potential für eine große Schadenshöhe (bzw. hohen kriminell
erzielten Gewinn).
– Die unberechtigte Nutzung kann (bei geschicktem Vorgehen) unbemerkt
bleiben.
– Computergestützte Systeme sind sehr komplex und oft nicht wirklich
beherrscht.
– Es gibt Schadsoftware für Systeme mit ausreichender Marktdurchdringung,
die automatisiert a) oder b) auslösen kann, es gibt sie fast überall und jeden
Tag gibt es mehr davon.
Dr. Schrörs , Seite 332
Funktionale Sicherheit vs. IT-Security
Internet:
Loop-Diagnose
Büroarbeitsplatz
Internet:
Virenpattern,
Patches
Intranet
Bedienstationen (OS)
Prozessinformationssystem
Terminalbus
OS-Server
Engineeringstation
Systembus
Asset Management System
PNK
Feldgeräte
SSPS ?
Dr. Schrörs , Seite 333
Internet:
Fernwartung
Feldbus
Feldgeräte
Funktionale Sicherheit vs. IT-Security
Windows PC
TCP/IP
Windows Server
Windows PC
TCP/IP
Windows Server
Windows PC
TCP/IP
Windows PC
PNK
Feldgeräte
SSPS ?
Dr. Schrörs , Seite 334
TCP/IP (z.B. Profinet)
Feldgeräte
Was kann passieren?
Start einer Destillationskolonne
Dr. Schrörs , Seite 335
Pa
ge
• Bernd Schrörs • OSS-PPS-FS • June 2014
Was kann passieren?
•
•
SIS reagiert im Anforderungsfall nicht
• Angreifer muss warten, bis der
Anforderungsfall eintritt
SIS agiert ohne Anforderungsfall
– Mehr oder weniger zufällig
• Angreifer startet Attake ohne zu wissen, was
passieren wird
– Vorbereitet
• Angreifer startet Attake mit speziellem Ziel
(z.B. Abfahren der Anlage)
Dr. Schrörs , Seite 336
Page
336
• Bernd Schrörs • OSS-PPS-FS • June 2014
Was kann passieren?
Aber:
Nicht immer ist ein
IT-Security-Vorfall das Ergebnis
eines gezielten Angriffs!
(Quelle: c´t)
Dr. Schrörs , Seite 337
Protection
•
•
•
•
•
All SIS hardware configurations should be functionally and/or
physically restricted.
Systems (central processing units) and network devices (e.g. routers,
switches) should be physically secured from unauthorized or
uncontrolled access.
External mass storage devices (e.g. Floppy, CD-ROM, tape drive)
and interfaces ports (e.g. serial interface, USB ports) should be
restricted in such a way that they cannot be used directly.
BIOS access should be password-protected.
The boot order should be configured in such a way it is fixed and not
modifiable without the BIOS password.
Dr. Schrörs , Seite 338
Network devices
•
•
•
•
All network devices (hubs, switches, routers, etc.) should be of
industrial type.
Unused protocols and ports should be disabled, up-to-date firmware
images should be used, and passwords should be strong.
Administration of the equipment's should be possible either directly on
the equipment, using a serial terminal, or remotely
When supported by the equipment, an access-list should be
implemented to prevent any other IP address from connecting to the
switch.
Dr. Schrörs , Seite 339
Segregation
•
•
•
•
All SIS safety dedicated networks supporting dedicated safety
engineering work stations should be physically independent and not
directly connected to any other network (e.g. BPCS network
The maintenance/engineering workstation should be dedicated to the
SIS and its access restricted (physically and functionally).
Programming the SIS should be subject through strong
authentication.
Any failures of the SIS communication interface with the BPCS should
not impact any SIF.
Dr. Schrörs , Seite 340
Remote access
•
•
•
Remote access on the safety SIS network should not be permitted.
In case a remote is needed, a dedicated secured access solution
should be analyzed and defined.
Logging of all operations should be performed.
Dr. Schrörs , Seite 341
Security concept
• The vendor of a SIS should provide a security concept
that covers the life cycle of the system. It should describe
how the security means are implemented and should be
kept up to date without affecting the SIS functionality.
• SIS system should be designed with defense in depth
strategy to reduce security risks. Default configuration,
default authentication and authorization, unnecessary
default services, unencrypted communications and factors
related to denial of service should be studied, managed
and tested.
Dr. Schrörs , Seite 342
Verfügbarkeitsdaten und
Betriebsbewährung
NAMUR, Verfügbarkeitsdaten seit 2001
907
SIS
Mehr als 40 aktuell unterstützende Firmen
Mehr als 43.000 PLT-Schutzfunktionen
Dr. Schrörs , Seite 344
Verfügbarkeitsanalyse, 2002-2011
PFD = 1 Systems
MTBF
MTBF + ½ TI
Failures
TI = Prüfzyklus = 1 Jahr
MTBF (years)
PFD
HFT
2002 to 2011
2011
2002 to 2011
2011
2002 to 2011
2011
2002 to 2011
2011
0
207326
28067
736
80
282
351
2 · 10-3
2 · 10-3
1
125876
15265
66
10
1907
1527
3 · 10-4
3 · 10-4
PFDSIL 3 : 10-3 ... 10-4
Dr. Schrörs , Seite 345
Verifikation, Top-down vs. Bottom-up Näherung
Top-down
Engineering
SIS
SIS
SIL,
PFD,
Design,
λDU, Ti
MTBF,
PFD,
SIL,
T, P, F, L
Bottom-up
Dr. Schrörs , Seite 346
Verifikation
Verifikation, Top-down vs. Bottom-up Näherung
Top-down
SIS SIS
Engineering
SIL, MTBF,
PFD, PFD,
Design,SIL,
λDU, T,
Ti P, F, L
Bottom-up
Dr. Schrörs , Seite 347
Verifikation
Festlegung eines Konfidenz-Intervalls
100
single channeled SIS loop design
bottom-up
bottom-up
bottom-up
top-down
top-down
top-down
10-1
SIL1
10-2
SIL2
10-3
SIL3
10-4
Pressure
10-5
Dr. Schrörs , Seite 348
Temperature
Level
SIL4
Begriffe
Ausfallraten
Betriebsbewährung
Basis
Gerätehersteller *)
Proven in use
DIN EN 61508 2. Aufl.
Eigene Daten **)
Prior use
DIN EN 61511 2. Aufl.
*) häufig zertifiziert
**) liegen häufig nicht vor
Dr. Schrörs , Seite 349
Regelwerk,
DIN EN 61508 2. Ausgabe (proven in use)
Anforderungen an betriebsbewährte Elemente
•
Ein Element darf nur als betriebsbewährt betrachtet werden,
–
–
wenn es eine klar beschränkte und festgelegte Funktionalität hat und
wenn ein angemessener dokumentarischer Nachweis vorliegt, um zu zeigen, dass die
Wahrscheinlichkeit aller gefahrbringenden systematischen Fehler gering genug ist.
•
Der Nachweis muss sich auf Analyse der Betriebserfahrungen aus einer
konkreten Konfiguration des Elements zusammen mit einer Eignungsanalyse
und Tests gründen.
•
Es muss eine sicherheitsbezogene Rechtfertigung der Betriebsbewährung
dokumentiert werden, dass das Element die erforderliche Sicherheitsfunktion
unterstützt.
Dr. Schrörs , Seite 350
Regelwerk,
DIN EN 61511 2. Ausgabe (noch im Entwurf)
•
Eignungsnachweise; Informationen über Betriebsbewährung müssen immer
dokumentiert werden:
–
–
Funktionalität und Integrität des installierten Gerätes einschließlich des Prozessanschlusses, der
Kommunikationsschnittstellen und Hilfsenergien;
Geräteverhalten unter ähnlichen Einsatzbedingungen.
•
Es muss ein Sicherheitshandbuch vorliegen, in dem die Einsatzbedingungen, die
Instandhaltung und die Prüfung beschrieben sind.
•
Eine installierte Basis mit einer hinreichenden Anzahl von Betriebsstunden in einer
hinreichenden Anzahl von Anwendungen zur Abschätzung von Fehlerraten wird
empfohlen.
•
Die Erfahrungen aus dem Einsatz in nicht-sicherheitsrelevanten (betrieblichen)
Anwendungen können genutzt werden.
•
Betriebsbewährte Geräte müssen einem Änderungsmanagement unterliegen.
Dr. Schrörs , Seite 351
Regelwerk,
Proven in Use & Prior Use
DIN EN 61511 Ö Prior Use
•
•
•
•
Anwender
Hauptfokus auf Prozess und Prozessanschluss
Mehrere Anwendungen
Firmen- oder betriebsspezifische Auswahl von
Geräten
DIN EN 61508 Ö Proven In Use
• Hersteller, Lieferant
• Hauptfokus auf Elektronik und Software
• Weitestgehend unabhängig von der
Applikation
Dr. Schrörs , Seite 352
Nachweis der Betriebsbewährung,
Überblick über den mehrstufigen Prozess
Dr. Schrörs , Seite 353
Regelwerk, NE 130
•
Diese NE hat das Ziel, die DIN EN 61511 bezüglich der Anforderungen an die Betriebsbewährung zu konkretisieren.
•
Ein betriebsbewährtes Gerät ist einkanalig bis SIL 2- und in mindestens 1v2Redundanz für SIL 3-Anwendungen einsetzbar.
•
Es darf ein vereinfachter rechnerischer SIL-Nachweis angewendet werden.
•
Es müssen Maßnahmen gegen systematische und zufällige Fehler sowie zur
Fehlertoleranz getroffen werden
•
Der Einsatz eines betriebsbewährten Geräts entbindet den Betreiber nicht von der
Verantwortung, die Eignung für seinen speziellen Anwendungsfall sicherzustellen.
•
In der NE 130 werden die Messgrößen Temperatur, Druck, Durchfluss und Stand inkl.
der dazugehörigen Aktorik behandelt.
•
Sie gilt nicht für sicherheitsgerichtete speicherprogrammierbare oder
verbindungsprogrammierbare Steuerungen.
Dr. Schrörs , Seite 354
Nachweis der Betriebsbewährung
•
Der Nachweis der Betriebsbewährung erfolgt durch eine Betriebserprobung.
•
Die Betriebserprobung hat zum Ziel, die im bisherigen Bewertungsprozess
unentdeckten Gerätefehler sowie Handhabungsfehler im betrieblichen Umfeld und
unter realen Prozessbedingungen zu identifizieren
•
Die Betriebserprobung erfolgt mit Seriengeräten in nichtsicherheitstechnischen
Anwendungen mit regelmäßiger Überwachung und Prüfung.
•
Die Betriebserprobung sollte in einer ausreichenden Mindestanzahl von mehreren (z.B.
10) Anwendungen für ausreichend lange Betriebsdauer (z.B. 1 Jahr) erfolgen.
•
Die Erfahrungen aus dem Einsatz in nicht-sicherheitsrelevanten (betrieblichen)
Anwendungen können genutzt werden.
•
Auch bei Vorliegen eines SIL-Zertifikats oder einer Herstellererklärung (proven in use)
ist für Feldgeräte grundsätzlich eine Betriebserprobungsphase erforderlich, da das
Zertifikat nicht die speziellen Einsatzbedingungen der Prozessindustrie berücksichtigen
kann.
Dr. Schrörs , Seite 355
Betriebserprobung, worauf ist zu achten?
•
Plausibilität der Messergebnisse bei unterschiedlichen Einsatzmedien in
verschiedenen Druck- und Temperaturbereichen sowie unter verschiedenen
Umgebungsbedingungen
•
Verhalten bei An- und Abfahrvorgängen
•
Verhalten unter typischen Einsatzbedingungen (z. B. Vibration, Temperatur und
Druckschwankungen, Feuchte)
•
Verhalten bei spezifizierten Umgebungsbedingungen in Produktionsanlagen
•
Fehlermöglichkeiten bei der Montage, Inbetriebnahme und beim Betrieb
•
Langzeitstabilität
•
Durchgeführte (geplante und ungeplante) IH-Maßnahmen
Dr. Schrörs , Seite 356
Erteilung des Prädikates „betriebsbewährt“
•
Nach einer erfolgreich abgeschlossenen Geräteprüfung und Betriebserprobung kann
angenommen werden, dass das Gerät unter den betrachteten Betriebs- und
Umgebungsbedingungen und spezifizierten Eigenschaften (technische Daten laut
Datenblatt) arbeitet und somit grundsätzlich für den sicherheitstechnischen Einsatz in
Anlagen der Prozessindustrie geeignet ist. Die Ergebnisse der Geräteprüfung und der
Betriebserprobung werden zusammengeführt und es wird der Status „betriebsbewährt“
festgestellt.
•
Die Feststellung der Eignung für den jeweiligen Einsatzfall sowie die
Einsatzverantwortung liegt jedoch immer beim individuellen Anwender. Dieser muss die
Einhaltung der in Geräteprüfung und Betriebserprobung angenommenen
Randbedingungen sicherstellen. Sollte dies nicht der Fall sein, so sind beim Einsatz
zusätzliche Maßnahmen zur Fehlerbeherrschung zu ergreifen.
Dr. Schrörs , Seite 357
Verifikation der Betriebsbewährung
•
Ein betriebsbewährtes Gerät hat in der Prüf- und Erprobungsphase gezeigt, dass es
hinreichend frei von systematischen Fehlern und damit für die Anwendung in
sicherheitstechnischen Funktionen geeignet ist.
•
Um dies auch für den Lebenszyklus des Gerätes sicherzustellen, sind Änderungen an
den Geräten, sowie die Kenntnis über mögliche, die Sicherheit beeinflussende Fehler
sind vom Hersteller mitzuteilen.
•
Es ist eine Störstatistik inklusive detaillierter Fehleranalyse mindestens nach NE 93 zu
führen.
Dr. Schrörs , Seite 358
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertising