23.01.2012

Klotz-Engmann

Folie 1 / 31

Dr. Gerold Klotz-Engmann

Endress+Hauser Messtechnik, Weil am Rhein

SIL in der Praxis 2013

Entwurf und Planung des

sicherheitstechnischen Systems (SIS)

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 2 / 31

Referent

Dr. Gerold Klotz-Engmann

Abteilungsleiter G-T

Internationale Produkt- und Anlagensicherheit

Endress+Hauser Messtechnik GmbH+Co. KG

Colmarer Strasse 6

79576 Weil am Rhein

Tel.: 07621/975-559

Mobil: 0151/52767442

email: gerold.klotz-engmann@de.endress.com

Gremien- und Verbandsarbeit:

Internationale Normungsgremien: DKE K241, CENELEC TC31, IEC TC31

Verbände : ZVEI, Orgalime

Zertifizierungssysteme: IEC Ex

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 3 / 31

Ein Schweizer Familienunternehmen seit 60 Jahren

Familie Endress

Gegründet 1953 von Georg H. Endress und Ludwig Hauser

Seit 1975 im Alleinbesitz der Familie Endress

1995 übernimmt Klaus Endress die Leitung der Firmengruppe

Heute regelt eine Familiencharta das Verhältnis

zwischen Familie und Unternehmen

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 4 / 31

Sicherheitslebenszyklus

Verifikation

Gefährdungs- und Risiko-Beurteilung

Quelle: DIN EN 61511-1 - Bild 8

1

Zuordnung der Sicherheitsfunktionen zu

Schutzebene 2

Spezifikation der Sicherheits-

anforderungen an das SIS

3

Entwurf und Planung anderer

Maßnahmen zur Risikoreduzierung

9

Entwurf und Planung des SIS

Montage, Inbetriebnahme und Validierung

Betrieb und Instandhaltung

Änderung

Außerbetriebsetzung 8

7

6

5

Stufe

5

Stufe

3

Stufe

4

Stufe

1

Stufe

2

Manage-

ment und

Be-

urteilung

der

funktio-

nalen

Sicher-

heit und

Audits

Aufbau und

Planung

des Sicher-

heits-

Lebens-

zyklus

4

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 5 / 31

Geräteauswahl nach folgenden Gesichtspunkten:

geeignete Messtechnik/Aktorik für die sicherheitsrelevanten Prozessparameter

Schutzfunktion: Grenzwertüberwachung (Min, Max) oder kontinuierlich

Betriebsmode: Continuous- oder Low Demand Mode

Schutzniveau: SIL, sicherheitstechnische Kennwerte

Zeitverhalten: Reaktionszeit, Fehlererkennungsdauer, Schließdauer …

Einsatzbedingungen: Temperatur, Feuchte, Chemie …

Wiederkehrende Prüfung: Prüfbarkeit

Planung der Geräteauswahl

Schutzkreis

LIZA+

Grenzschalter

(Level max)

Druck

Kontinuierlich

Ventil

Schließer

Beispiel eines Schutzkreises (Demomodell, SIL 3):

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 6 / 31

Inhalt

Aufbau des Sicherheitssystems

Beschreibung der Sicherheitsfunktion

Sicherheitstechnische Kennwerte

Einsatzbedingungen, Messgenauigkeit

Sicherheitshinweise

Verhalten bei Betrieb und Störung

Installation und Inbetriebnahme

Parametrierung

Wiederkehrende Funktionsprüfung

Wartung und Reparatur

Das Sicherheitshandbuch als Hilfe zur Geräteauswahl

Sieh auch www.endress.com/SIL

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 7 / 31

Das Sicherheitshandbuch

Aufbau des Sicherheitssystems: Sicherheitsrelevantes Ausgangssignal:

Wiederholungsprüfung:

23.01.2012

SIL in der Praxis

Klotz-Engmann/Götz

Folie 8 / 31

Geräteauswahl: Einsatzbedingungen

Gerätehersteller

Umgebungsbedingungen:

• Umgebungstemperatur

• Feuchte

•Versorgungsspannungstoleranz

• EMV-Einflüsse

• Vibration

Prozess

Prozessumgebung

Prozess

Betreiber

Prozesseinflüsse:

• Medienverträglichkeit

• Prozeßtemperaturen

• Prozeßdrücke

23.01.2012

SIL in der Praxis

Klotz-Engmann/Götz

Folie 9 / 31

Prozesseinflüsse – Ansatzbildung

„Durchflussmessgerät“

Ansatz durch Staubbildung

im Feststoffsilo

Ansatz durch Schwefeldämpfe

Kristallisation im Natronlaugentank

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 10 / 31

Einzelkomponenten müssen vom Hersteller als SIL-fähig

qualifiziert sein.

z.B. SIL-Herstellererklärung, SIL Zertifikat, Sicherheitskennzahlen

Gesamtsystem muß durch einen quantitativen SIL-Nachweis

(IEC 61511, VDI VDE 2180-4) durch den Betreiber qualifiziert

und dokumentiert werden

z.B. Systemarchitektur, Versagenswahrscheinlichkeit, SIL

Eignungsnachweis – SIL-Qualifizierung

Teilsystem Aktorik Teilsystem Logikeinheit Teilsystem Sensorik

Aktor 1 Interface 4

Aktor 2 Interface 5

2oo2

Sensor 1 Interface 1

Sensor 2 Interface 2

Sensor 3 Interface 3

2oo3 1oo2

Steuerung

Modul 1

Steuerung

Modul 2

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 11 / 31

Anwender kann sein Sicherheitssystem qualifizieren durch

anwendungsbezogene Betriebsbewährung (z.B. IEC 61511-1)

- Extensive Betriebserfahrung (z.B. 100.000 Betriebsstunden, NE79)

- bei ähnlichen Betriebs- und Umgebungsbedingungen,

- auch in nicht-sicherheitsrelevanten Applikationen

Betriebsbewährung nach NAMUR Empfehlung NE 130

Eignungsnachweis - Betriebsbewährung

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 12 / 31

Betriebsbewährung - NAMUR Empfehlung NE 130

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 13 / 31

Zu überwachende Prozessgrößen festlegen

Betriebsmode festlegen (Low-demand mode, high-demand mode)

Meßtoleranz beachten (=> Schaltpunkt!)

Zeitverhalten der Schutzeinrichtung beachten

Wartungs- und Prüfeinrichtungen vorsehen Beispiel: Bypassvorrichtungen

Sicherheitsgerichtete Abschaltung beachten

Ausfall der Spannungsversorgung sicherheitsgerichtet

oder: Notstromversorgung vorsehen (Batteriepuffer etc.)

Spannungsverlustüberwachung

Unabhängige manuelle Not-Aus Vorrichtungen

Kein automatischer Wiederanlauf nach

Auslösen der Schutzfunktion (Quittierung)

Entwurf des SIS: Allgemeine Designregeln

23.01.2012

SIL in der Praxis

Klotz-Engmann/Götz

Folie 14 / 31

Schutzfunktionen möglichst getrennt und unabhängig von

betrieblichen MSR-Funktionen auslegen

Bei Mitverwendung von Sicherheitskomponenten für betriebliche

Funktionen rückwirkungsfrei

Entwurf des SIS: Allgemeine Designregeln

Stoff 2

LI PI TI

Produkt FT

Stoff 1 Anlagensteuerung

LS

PI

Sicherheits-

funktionen

Anlagensteuerung

Basic Process

Control System

(BPCS) Zu über-

wachende

Anlage

(EUC)

Sicherheitsbezogenes

System

Safety Instrumented

System (SIS)

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 15 / 31

Anforderungen an Systemarchitektur durch geforderten SIL, dem Gerätetyp

und eventueller Betriebsbewährung

Die IEC 61511-1 fordert für Teilsysteme aus Sensoren und Aktoren

folgende Fehlertoleranz (Redundanz) gemäß Tabelle 6.

Entwurf des SIS: Systemarchitektur

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 16 / 31

Teilsysteme mit betriebsbewährten Feldgeräten

Schutzeinrichtung

SIL 2

Sensor SIL 2

SPS SIL 2

Aktor SIL 2

Schutzeinrichtung

SIL 3

Sensor SIL 2

SPS SIL 3

Aktor SIL 2

Sensor SIL 2

Aktor SIL 2

*Betriebsbewährung in Standard- oder Schutzeinrichtungen

Bis SIL 3 kann die Fehlertoleranz unter folgenden Bedingungen

um 1 reduziert werden (IEC 61511-1, Abschnitt 11.4.4):

1. Hardware mit Betriebsbewährung* („prior use“)

2. Nur Prozess-relevante Parameter können verändert werden

3. Parameter können verriegelt werden (z.B. Passwort, Jumper)

23.01.2012

SIL in der Praxis

Klotz-Engmann/Götz

Folie 17 / 31

Homogene Redundanz Gleiche Geräte

Redundanz: Homogen oder diversitär?

Vorteile homogen redundanter

Sensorik in Schutzeinrichtungen

Beherrschung zufälliger Fehler

(z. B. bei 1oo2)

Vereinfachte Lagerhaltung,

Inbetriebnahme, Wartung, …

Achtung: Systematische Integrität

kann nicht erhöht werden

Vorteile diversitär redundanter

Sensorik in Schutzeinrichtungen

Beherrschung zufälliger +

systematischer Fehler

(Gerät + Prozess)

Wahrscheinlichkeit des

systematischen, gleichzeitigen

Ausfalls mehrerer Kanäle wird

verringert

+ z.B. 1oo2 SIL 3?

SIL 2 SIL 2

Diversitäre Redundanz Verschiedene Geräte

SIL 2 SIL 2

+ z.B. 1oo2 SIL 3

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 18 / 31

Entwurf des SIS: Redundante Auswahlschaltungen

Sicherheit

Verfügbarkeit

1oo1

1oo2

1oo3

1oo4

2oo2

2oo3

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 19 / 31

Je nach Sensor oder Aktor

unterschiedliche Prüfmethoden

Beispiel: Füllstandsonde a) Anfahren des Füllstandes (Prüftiefe≈100 %), oder

b) Ausbauen und Eintauchen in ein Vergleichsmedium (Prüftiefe≥98 %)

c) Simulation eines Füllstandes durch Parametrierung (Prüftiefe ≥ 92 %)

Prüftiefe (PTC):

Prozentualer Anteil der gefährlichen verdeckten Fehler,

die durch die Funktionsprüfung erkannt werden können

Betreiber muß planen

• welches Prüfverfahren für ihn praktikabel

• welches Prüfintervall für sein SIL ausreichend ist

Planung der Wiederholungsprüfung

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 20 / 31

SIL 4 SIL 3

SIL 2

SIL 1

Wiederkehrende Funktionsprüfung (Prüftiefe=100%)

Betriebsdauer t

PFD

SIL

0,1

0,001

0,0001

0,01 PFDav ½ du Ti

Beispiel: einkanalige Schutzeinrichtung mit niedriger Anforderungsrate

PFD du t (t << 1)

Prüftiefe 100 % Prüfintervall Ti

du Ti

Einkanalige Systemarchitektur 1oo1

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 21 / 31

Wiederkehrende Funktionsprüfung (Prüftiefe<100%)

Einkanalige Systemarchitektur 1oo1

PF

D

Ti Betriebsdauer t

SIL 1

SIL 2

SIL 3

LT

PFDav

PFDav ≈ ½ λdu x Ti x PTC + ½ λdu x LT x (1-PTC)

PTC= Prüftiefe (1=100 %)

Ti = Prüfintervall LT= Gebrauchsdauer

Prüftiefe < 100 %

23.01.2012

SIL in der Praxis

Klotz-Engmann

Folie 25 / 31

Dokumentationsanforderungen (IEC 61511-1, Abschnitt 19)

Leicht verständliche und genaue Beschreibung des Gesamtsystems,

der Geräte und deren Gebrauch mit folgendem Inhalt:

Ergebnis der Gefährdungs- und Risikoanalyse

Maßnahmen zur Risikominimierung (Sicherheitssysteme)

Für die Sicherheit verantwortliche Organisation, Prozesse einschl.

Änderungsprozess

Spezifikation der Sicherheitsanforderungen

Detaildokumentation für jede Schutzeinrichtung

• Geräteauswahl für Schutzfunktion, Eignungsnachweise

• Design, Systemarchitektur

• Quantitativer SIL Nachweis Gesamtsystem

• Errichtung und Inbetriebnahme

• Betrieb und Instandhaltungsmaßnahmen

• Wartung und wiederholende Prüfung

• Reparaturmaßnahmen

• Validierung anhand der Spezifikation

(wer, wann, was, wie …)

23.01.2012

Klotz-Engmann

Folie 26 / 31

Vielen Dank für Ihre Aufmerksamkeit!

Noch Fragen?