Safety Integrity Level (SIL) und funktionale Sicherheit für rotierende Maschinen

Potenzielle wirtschaftliche Verluste, die durch Prozessausfallzeiten entstehen, sind oft eine der Rechtfertigungen für die Umsetzung von Prozessverbesserungen. In der Industrie gibt es jedoch Bedenken, dass die Implementierung zusätzlicher und SIL-zertifizierter Maschinenschutzsysteme die Anzahl der Fehlabschaltungen erhöhen könnte. Dies wird am Ende dieses Artikels diskutiert.

Die meisten sicherheitsverantwortlichen Mitarbeiter haben bereits an einer HAZOP-Analyse (Hazard and Operability Study) teilgenommen, um Prozessschwächen, potenzielle Risiken sowie Massnahmen zur Verbesserung der Prozesssicherheit zu identifizieren. Dieser sehr systematische Ansatz hat enorme Verbesserungen für die Sicherheit in der Prozessindustrie gebracht und ist nach wie vor eines der wichtigsten Methoden.

Dabei wird ein Prozess Schritt für Schritt durchgegangen, während geprüft wird, welche Abweichungen unter bestimmten - auch seltenen - Umständen auftreten können. Dennoch sind Unfälle nicht vollständig vermeidbar; ein Restrisiko bleibt immer bestehen, und schwere Unfälle können weiterhin auftreten.

Hier kommt die IEC 61511 ins Spiel, die erstmals 1998 veröffentlicht wurde. Sie ergänzt den HAZOP‑Ansatz durch eine weitere systematische Bewertung der identifizierten Risiken. Die IEC 61511 bietet dem Anlagenbetreiber Leitlinien zur Festlegung der SIL‑Anforderungen, die von einem Maschinenschutzsystem bzw. Safety Instrumented System (SIS) erfüllt werden müssen.

Es ist wichtig zu betonen, dass der Endanwender bzw. Betreiber letztlich für diese Bewertung verantwortlich ist - ebenso wie für die Reduzierung verbleibender Prozessrisiken auf ein akzeptables Schadenmass (HSE‑bezogen). Die Anforderungen der IEC 61511 sind verpflichtend und müssen von Betreibern eingehalten werden. In den USA wurde 2004 die ANSI/ISA‑Norm 84.00.01‑2004 veröffentlicht, die weitgehend der IEC 61511 entspricht. Das europäische Normungsgremium CENELEC hat die Norm als EN 61511 übernommen.

Detaillierte Risikoanalysen basierend auf IEC 61511‑Kriterien werden häufig von spezialisierten Beratungsunternehmen durchgeführt. Eine oft verwendete Methode ist die Layers of Protection Analysis (LOPA).

Der SIL eines SIS wird ermittelt, indem die erforderliche Risikominderung berücksichtigt wird, die durch diese Funktion bereitgestellt werden muss. Die IEC 61511 weist darauf hin, dass dies am besten im Rahmen der Prozessgefahren- und Risikoanalyse (PHA) erfolgt, um von möglichen Synergien und den gewonnenen Informationen zu profitieren. Eine weitere Möglichkeit, einen Überblick über den geeigneten SIL zu erhalten, ist der Risikograph.

Durch die Bewertung der vier Risikoparameter (Eintrittswahrscheinlichkeit, Schadensausmass, Expositionszeit und Gefahrenvermeidung) ergibt sich ein SIL‑Wert zwischen SIL1 und SIL4 (wobei SIL4 den strengsten Anforderungen entspricht).

Das Beispiel im Risikographen zeigt, dass selbst unter dramatischen Umständen (z. B. der unerwartete Tod einer Person) ein SIL1‑Maschinenschutzsystem die Anforderungen der IEC 61511 erfüllen würde.

Der Autor betont jedoch ausdrücklich, dass ein SIS eingesetzt wird, um schwerwiegende HSE‑Ereignisse zu vermeiden - schwere Schäden oder Todesfälle sind in keinem Fall akzeptabel. Wenn ein SIS eingesetzt wird, um Prozessrisiken auf ein akzeptables Niveau zu reduzieren, muss es die geforderte SIL‑Stufe erfüllen.

Hersteller von SIS müssen die Vorgaben der IEC 61508 bei Entwicklung, Test und Zertifizierung einhalten. Jede einzelne Komponente innerhalb eines SIS muss strenge Verfügbarkeitskriterien erfüllen. Ebenso wird jeder Algorithmus getestet, bei Bedarf verbessert und schliesslich von Zertifizierungsstellen wie TÜV oder Exida für eine entsprechende SIL‑Stufe freigegeben.

Während des Zertifizierungsprozesses sowie in der Implementierungsphase ist die Ausfallwahrscheinlichkeit bei Anforderung (PFD - Probability of Failure on Demand) einer der leitenden Werte. Sie ergibt sich aus der Summe aller Einzel‑PFDs einer KHSE harmette.

Ein entscheidender Faktor ist das Proof Test Interval (PTI): Je kürzer das PTI, desto geringer die PFD. Moderne Maschinenschutzsysteme erlauben PTIs von zwei bis drei Jahren bei gleichzeitigem SIL2‑Zertifikat - ein guter Kompromiss zwischen Sicherheit und Aufwand.

Die Korrelation zwischen SIL- und PFD-Werten muss pro Messkette erfüllt werden, um die Anforderungen zu erfüllen. Um SIL2 zu erreichen, ist ein PFD-Wert von 10^-2 bis 10^-3 (pro Stunde; Niedriganforderungsmodus) erforderlich. Der invertierte Wert ergibt eine theoretische Systemverfügbarkeit von 99 bis 99,90%.

Es ist wichtig zu beachten, dass die PFD-Bewertung für jede einzelne sicherheitsrelevante Kette durchgeführt werden muss und alle beteiligten Elemente umfassen muss, vom Messelement bis zum schaltenden Relais, das schliesslich den Prozess/die Maschine bei akutem Risiko stoppt und potenziell zu Gesundheits- und Umweltschutz (HSE) führt.

Es reicht nicht aus, wenn ein einzelner Sensor, eine Karte oder ein Relais SIL-zertifiziert ist und die entsprechenden PFD-Kriterien erfüllt – die gesamte Kette muss die PFD- und damit die SIL-Anforderung erfüllen. Welche Sensoren und charakteristischen Sensoren in eine Sicherheitsstrategie eingebunden werden sollten, hängt stark von der Anwendung und der Art der Prozessausrüstung ab.

Die zwei grössten Sorgen im Zusammenhang mit Maschinenschutzsystemen für kritische Anlagen sind Fehlabschaltungen, die zu wirtschaftlichen Verlusten und manchmal gefährlichen Prozesssituationen führen, sowie nicht erkannte Fehler, die einfach gefährlich sind.

Bei vielen sicherheitskritischen Anwendungen ist es obligatorisch, Sensorredundanz und Abstimmungslogik zu verwenden, um die ordnungsgemässe Systemfunktion und Verfügbarkeit sicherzustellen, selbst wenn ein einzelnes Endgerät ausgefallen ist und oft nicht ersetzt werden kann, während der Prozess in Betrieb ist.

Heutzutage gibt es verschiedene Strategien, um die Störabschaltquote moderner SIS nahezu auf null zu reduzieren und gleichzeitig sicherzustellen, dass schwerwiegende Ereignisse rechtzeitig erkannt und die Maschine mit minimalen Folgeschäden sicher heruntergefahren wird.

Eine häufig gewählte Strategie ist der Einsatz von Sensorredundanz. Abstimmungsschemata umfassen 1-aus-n-Abstimmung, n-aus-n-Abstimmung und n-aus-m-Abstimmung (2oo3 oder 2oo4). Die n-aus-m-Abstimmung erfordert die Installation einer höheren Anzahl von Sensoren, bietet jedoch eine effektive Möglichkeit, sowohl Fehlabschaltungen als auch nicht erkannte Abschaltungen zu reduzieren.

Alternativ bieten moderne Systeme auch eine interessante Alternative mit diagnostischer Abdeckung (DC) in einer 1oo1D-Sensorarchitektur, bei der pro Standort ein einzelner Sensor eingesetzt und dessen ordnungsgemässe Funktion jederzeit genau überwacht wird (DC>99%), wodurch ein höherer SIL erreicht wird. Hier zwei kurze Beispiele.

Wenn bei einer bestimmten Turbinenanwendung die axiale Schubkraftanalyse basierend auf einem Näherungssignal der einzige sicherheitsrelevante Abschaltparameter ist, sollte auf jeden Fall Sensorredundanz eingesetzt werden, um eine ausreichende Verfügbarkeit des Maschinenschutzsystems sicherzustellen, selbst wenn ein einzelner Sensor ausfällt.

Ein weiteres Beispiel: Bei einem vierkurbeligen Kolbenkompressor finden sich oft bis zu 10 verschiedene Sensoren für den Maschinenschutz (vier für die Kreuzkopf-Beschleunigung, zwei für die Gehäuse-Schwinggeschwindigkeit und vier für die dynamischen Kolbenstangenpositionen).

In diesem Fall erfüllt eine 1oo1D-Architektur, die von einem modernen Maschinenschutzsystem eingesetzt wird, nicht nur die SIL2-Kriterien auf einem erschwinglichen Niveau, sondern erreicht auch durch ausgeklügelte diagnostische Abdeckung nahezu eine Null-Fehlabschaltquote, indem die ordnungsgemässe Funktion aller Messketten jederzeit sichergestellt wird.

Ein interessanter Ansatz, der die gesetzlichen IEC-Verpflichtungen potenziell mit wirtschaftlichen Interessen in Einklang bringt, ist die Bestimmung des akzeptablen Schadens/Verlusts je Prozess.

Bezogen auf das zweite Beispiel oben würden die meisten Anwender ein Versagen des Saugventils bei einem Kolbenkompressor als akzeptablen Schaden bewerten, der keinen Maschinenausfall durch ein SIS erfordert. Im Gegensatz dazu erfordern Ereignisse wie eine gebrochene Kolbenstange, ein festsitzender Gelenkbolzen oder ein gelöster Kolben sofortige Aufmerksamkeit, um Folgeschäden zu minimieren, was aus HSE- und wirtschaftlicher Sicht vollkommen sinnvoll ist.

Ein niedriger PFD-Wert (der einem hohen SIL-Level entspricht) bedeutet nicht, dass ein System effektiv schützt; er bedeutet nur, dass das System verfügbar ist, wenn es gebraucht wird, unabhängig davon, wie oft es auslöst und sogar wie oft es Fehlabschaltungen verursacht. Es geht alles um HSE: Funktionale Sicherheit betrachtet den sichersten Prozess als keinen Prozess.

Es ist wichtig zu verstehen, was eine SIL-Zertifizierung bedeutet und was sie nicht bedeutet. SIL-Bewertungen wurden eingeführt, um eine Messgrösse zur Bewertung der betrieblichen Zuverlässigkeit eines Systems in Bezug auf die Sicherheit gemäss IEC 61508 zu definieren. Im Zusammenhang mit Maschinenüberwachungssystemen bezieht sich eine SIL-Bewertung auf die PFD (Probability of Failure on Demand) des Schutzsystems.

Ein wichtiger Punkt ist, dass SIL-Bewertungen nichts mit der Überwachungsgenauigkeit zu tun haben, die durch Fehlalarme und verpasste Erkennungen dargestellt wird. Bedenken Sie, dass bevor ein SIL-bewertetes Sicherheitssystem zum Einsatz kommt, die Betreiber die geeignete SIL-Bewertung für die Maschine bestimmen müssen, die sicherheitstechnisch geschützt werden soll.

Mit anderen Worten, IEC 61508 ist eine risikobasierte Norm, und um sie anzuwenden, müssen Kriterien für die Tolerierbarkeit von Risiken für die Maschine festgelegt werden. Zum Beispiel muss eine HAZOP-Studie durchgeführt werden. Einige Marketingformulierungen wie „SIL ready“ oder „entspricht SIL“ können verwirrend sein. Es gibt jedoch zwei Möglichkeiten, diese Verwirrung zu klären.

Erstens sollten Sie nach einem Überwachungssystem von Anbietern suchen, die echte SIL-Zertifikate von anerkannten Zertifizierungsstellen ausstellen. Die SIL-Bewertung muss nicht nur das Sicherheitssystem selbst abdecken, sondern auch die inhärenten Komponenten im Sicherheitskreis, von den Sensoren bis zum Abschaltgerät (ESD).

Zweitens sollten Sie beachten, dass die SIL-Bewertung nicht nur hoch, sondern auch für Ihre Anwendung relevant sein sollte. Beispielsweise ist eine SIL-Zertifizierung für die Überwachung des Überdrehzahlschutzes für einen Anwender eines Kolbenkompressors irrelevant, während die Bewertung eines Sicherheitssystems, das segmentierte Effektivwert-Schwingungsanalysen durchführt, für Ihre Maschine von Bedeutung sein kann. Sie sollten erwarten können, dass ein Schutzsystem mit spezialisierten Funktionen für Kolbenverdichter bis zu SIL2 zertifiziert ist.