SIL in der Praxis (GER)
-
Upload
ie-net-ingenieursvereniging-vzw -
Category
Engineering
-
view
306 -
download
0
Transcript of SIL in der Praxis (GER)
23.01.2012
Klotz-Engmann
Folie 1 / 31
Dr. Gerold Klotz-Engmann
Endress+Hauser Messtechnik, Weil am Rhein
SIL in der Praxis 2013
Entwurf und Planung des
sicherheitstechnischen Systems (SIS)
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 2 / 31
Referent
Dr. Gerold Klotz-Engmann
Abteilungsleiter G-T
Internationale Produkt- und Anlagensicherheit
Endress+Hauser Messtechnik GmbH+Co. KG
Colmarer Strasse 6
79576 Weil am Rhein
Tel.: 07621/975-559
Mobil: 0151/52767442
email: [email protected]
Gremien- und Verbandsarbeit:
Internationale Normungsgremien: DKE K241, CENELEC TC31, IEC TC31
Verbände : ZVEI, Orgalime
Zertifizierungssysteme: IEC Ex
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 3 / 31
Ein Schweizer Familienunternehmen seit 60 Jahren
Familie Endress
Gegründet 1953 von Georg H. Endress und Ludwig Hauser
Seit 1975 im Alleinbesitz der Familie Endress
1995 übernimmt Klaus Endress die Leitung der Firmengruppe
Heute regelt eine Familiencharta das Verhältnis
zwischen Familie und Unternehmen
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 4 / 31
Sicherheitslebenszyklus
Verifikation
Gefährdungs- und Risiko-Beurteilung
Quelle: DIN EN 61511-1 - Bild 8
1
Zuordnung der Sicherheitsfunktionen zu
Schutzebene 2
Spezifikation der Sicherheits-
anforderungen an das SIS
3
Entwurf und Planung anderer
Maßnahmen zur Risikoreduzierung
9
Entwurf und Planung des SIS
Montage, Inbetriebnahme und Validierung
Betrieb und Instandhaltung
Änderung
Außerbetriebsetzung 8
7
6
5
Stufe
5
Stufe
3
Stufe
4
Stufe
1
Stufe
2
Manage-
ment und
Be-
urteilung
der
funktio-
nalen
Sicher-
heit und
Audits
Aufbau und
Planung
des Sicher-
heits-
Lebens-
zyklus
4
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 5 / 31
Geräteauswahl nach folgenden Gesichtspunkten:
geeignete Messtechnik/Aktorik für die sicherheitsrelevanten Prozessparameter
Schutzfunktion: Grenzwertüberwachung (Min, Max) oder kontinuierlich
Betriebsmode: Continuous- oder Low Demand Mode
Schutzniveau: SIL, sicherheitstechnische Kennwerte
Zeitverhalten: Reaktionszeit, Fehlererkennungsdauer, Schließdauer …
Einsatzbedingungen: Temperatur, Feuchte, Chemie …
Wiederkehrende Prüfung: Prüfbarkeit
Planung der Geräteauswahl
Schutzkreis
LIZA+
Grenzschalter
(Level max)
Druck
Kontinuierlich
Ventil
Schließer
Beispiel eines Schutzkreises (Demomodell, SIL 3):
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 6 / 31
Inhalt
Aufbau des Sicherheitssystems
Beschreibung der Sicherheitsfunktion
Sicherheitstechnische Kennwerte
Einsatzbedingungen, Messgenauigkeit
Sicherheitshinweise
Verhalten bei Betrieb und Störung
Installation und Inbetriebnahme
Parametrierung
Wiederkehrende Funktionsprüfung
Wartung und Reparatur
Das Sicherheitshandbuch als Hilfe zur Geräteauswahl
Sieh auch www.endress.com/SIL
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 7 / 31
Das Sicherheitshandbuch
Aufbau des Sicherheitssystems: Sicherheitsrelevantes Ausgangssignal:
Wiederholungsprüfung:
23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 8 / 31
Geräteauswahl: Einsatzbedingungen
Gerätehersteller
Umgebungsbedingungen:
• Umgebungstemperatur
• Feuchte
•Versorgungsspannungstoleranz
• EMV-Einflüsse
• Vibration
Prozess
Prozessumgebung
Prozess
Betreiber
Prozesseinflüsse:
• Medienverträglichkeit
• Prozeßtemperaturen
• Prozeßdrücke
23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 9 / 31
Prozesseinflüsse – Ansatzbildung
„Durchflussmessgerät“
Ansatz durch Staubbildung
im Feststoffsilo
Ansatz durch Schwefeldämpfe
Kristallisation im Natronlaugentank
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 10 / 31
Einzelkomponenten müssen vom Hersteller als SIL-fähig
qualifiziert sein.
z.B. SIL-Herstellererklärung, SIL Zertifikat, Sicherheitskennzahlen
Gesamtsystem muß durch einen quantitativen SIL-Nachweis
(IEC 61511, VDI VDE 2180-4) durch den Betreiber qualifiziert
und dokumentiert werden
z.B. Systemarchitektur, Versagenswahrscheinlichkeit, SIL
Eignungsnachweis – SIL-Qualifizierung
Teilsystem Aktorik Teilsystem Logikeinheit Teilsystem Sensorik
Aktor 1 Interface 4
Aktor 2 Interface 5
2oo2
Sensor 1 Interface 1
Sensor 2 Interface 2
Sensor 3 Interface 3
2oo3 1oo2
Steuerung
Modul 1
Steuerung
Modul 2
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 11 / 31
Anwender kann sein Sicherheitssystem qualifizieren durch
anwendungsbezogene Betriebsbewährung (z.B. IEC 61511-1)
- Extensive Betriebserfahrung (z.B. 100.000 Betriebsstunden, NE79)
- bei ähnlichen Betriebs- und Umgebungsbedingungen,
- auch in nicht-sicherheitsrelevanten Applikationen
Betriebsbewährung nach NAMUR Empfehlung NE 130
Eignungsnachweis - Betriebsbewährung
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 12 / 31
Betriebsbewährung - NAMUR Empfehlung NE 130
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 13 / 31
Zu überwachende Prozessgrößen festlegen
Betriebsmode festlegen (Low-demand mode, high-demand mode)
Meßtoleranz beachten (=> Schaltpunkt!)
Zeitverhalten der Schutzeinrichtung beachten
Wartungs- und Prüfeinrichtungen vorsehen Beispiel: Bypassvorrichtungen
Sicherheitsgerichtete Abschaltung beachten
Ausfall der Spannungsversorgung sicherheitsgerichtet
oder: Notstromversorgung vorsehen (Batteriepuffer etc.)
Spannungsverlustüberwachung
Unabhängige manuelle Not-Aus Vorrichtungen
Kein automatischer Wiederanlauf nach
Auslösen der Schutzfunktion (Quittierung)
Entwurf des SIS: Allgemeine Designregeln
23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 14 / 31
Schutzfunktionen möglichst getrennt und unabhängig von
betrieblichen MSR-Funktionen auslegen
Bei Mitverwendung von Sicherheitskomponenten für betriebliche
Funktionen rückwirkungsfrei
Entwurf des SIS: Allgemeine Designregeln
Stoff 2
LI PI TI
Produkt FT
Stoff 1 Anlagensteuerung
LS
PI
Sicherheits-
funktionen
Anlagensteuerung
Basic Process
Control System
(BPCS) Zu über-
wachende
Anlage
(EUC)
Sicherheitsbezogenes
System
Safety Instrumented
System (SIS)
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 15 / 31
Anforderungen an Systemarchitektur durch geforderten SIL, dem Gerätetyp
und eventueller Betriebsbewährung
Die IEC 61511-1 fordert für Teilsysteme aus Sensoren und Aktoren
folgende Fehlertoleranz (Redundanz) gemäß Tabelle 6.
Entwurf des SIS: Systemarchitektur
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 16 / 31
Teilsysteme mit betriebsbewährten Feldgeräten
Schutzeinrichtung
SIL 2
Sensor SIL 2
SPS SIL 2
Aktor SIL 2
Schutzeinrichtung
SIL 3
Sensor SIL 2
SPS SIL 3
Aktor SIL 2
Sensor SIL 2
Aktor SIL 2
*Betriebsbewährung in Standard- oder Schutzeinrichtungen
Bis SIL 3 kann die Fehlertoleranz unter folgenden Bedingungen
um 1 reduziert werden (IEC 61511-1, Abschnitt 11.4.4):
1. Hardware mit Betriebsbewährung* („prior use“)
2. Nur Prozess-relevante Parameter können verändert werden
3. Parameter können verriegelt werden (z.B. Passwort, Jumper)
23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 17 / 31
Homogene Redundanz Gleiche Geräte
Redundanz: Homogen oder diversitär?
Vorteile homogen redundanter
Sensorik in Schutzeinrichtungen
Beherrschung zufälliger Fehler
(z. B. bei 1oo2)
Vereinfachte Lagerhaltung,
Inbetriebnahme, Wartung, …
Achtung: Systematische Integrität
kann nicht erhöht werden
Vorteile diversitär redundanter
Sensorik in Schutzeinrichtungen
Beherrschung zufälliger +
systematischer Fehler
(Gerät + Prozess)
Wahrscheinlichkeit des
systematischen, gleichzeitigen
Ausfalls mehrerer Kanäle wird
verringert
+ z.B. 1oo2 SIL 3?
SIL 2 SIL 2
Diversitäre Redundanz Verschiedene Geräte
SIL 2 SIL 2
+ z.B. 1oo2 SIL 3
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 18 / 31
Entwurf des SIS: Redundante Auswahlschaltungen
Sicherheit
Verfügbarkeit
1oo1
1oo2
1oo3
1oo4
2oo2
2oo3
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 19 / 31
Je nach Sensor oder Aktor
unterschiedliche Prüfmethoden
Beispiel: Füllstandsonde a) Anfahren des Füllstandes (Prüftiefe≈100 %), oder
b) Ausbauen und Eintauchen in ein Vergleichsmedium (Prüftiefe≥98 %)
c) Simulation eines Füllstandes durch Parametrierung (Prüftiefe ≥ 92 %)
Prüftiefe (PTC):
Prozentualer Anteil der gefährlichen verdeckten Fehler,
die durch die Funktionsprüfung erkannt werden können
Betreiber muß planen
• welches Prüfverfahren für ihn praktikabel
• welches Prüfintervall für sein SIL ausreichend ist
Planung der Wiederholungsprüfung
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 20 / 31
SIL 4 SIL 3
SIL 2
SIL 1
Wiederkehrende Funktionsprüfung (Prüftiefe=100%)
Betriebsdauer t
PFD
SIL
0,1
0,001
0,0001
0,01 PFDav ½ du Ti
Beispiel: einkanalige Schutzeinrichtung mit niedriger Anforderungsrate
PFD du t (t << 1)
Prüftiefe 100 % Prüfintervall Ti
du Ti
Einkanalige Systemarchitektur 1oo1
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 21 / 31
Wiederkehrende Funktionsprüfung (Prüftiefe<100%)
Einkanalige Systemarchitektur 1oo1
PF
D
Ti Betriebsdauer t
SIL 1
SIL 2
SIL 3
LT
PFDav
PFDav ≈ ½ λdu x Ti x PTC + ½ λdu x LT x (1-PTC)
PTC= Prüftiefe (1=100 %)
Ti = Prüfintervall LT= Gebrauchsdauer
Prüftiefe < 100 %
23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 25 / 31
Dokumentationsanforderungen (IEC 61511-1, Abschnitt 19)
Leicht verständliche und genaue Beschreibung des Gesamtsystems,
der Geräte und deren Gebrauch mit folgendem Inhalt:
Ergebnis der Gefährdungs- und Risikoanalyse
Maßnahmen zur Risikominimierung (Sicherheitssysteme)
Für die Sicherheit verantwortliche Organisation, Prozesse einschl.
Änderungsprozess
Spezifikation der Sicherheitsanforderungen
Detaildokumentation für jede Schutzeinrichtung
• Geräteauswahl für Schutzfunktion, Eignungsnachweise
• Design, Systemarchitektur
• Quantitativer SIL Nachweis Gesamtsystem
• Errichtung und Inbetriebnahme
• Betrieb und Instandhaltungsmaßnahmen
• Wartung und wiederholende Prüfung
• Reparaturmaßnahmen
• Validierung anhand der Spezifikation
(wer, wann, was, wie …)
23.01.2012
Klotz-Engmann
Folie 26 / 31
Vielen Dank für Ihre Aufmerksamkeit!
Noch Fragen?