Entwurf und Planung des sicherheitstechnischen Systems (SIS) Quelle: ENDRESS+HAUSER

1. 23.01.2012
Klotz-Engmann
Folie 1 / 31
Dr. Gerold Klotz-Engmann
Endress+Hauser Messtechnik, Weil am Rhein
SIL in der Praxis
2013
Entwurf und Planung des
sicherheitstechnischen Systems (SIS)

2. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 2 / 31
Referent
Dr. Gerold Klotz-Engmann
Abteilungsleiter G-T
Internationale Produkt- und Anlagensicherheit
Endress+Hauser Messtechnik GmbH+Co. KG
Colmarer Strasse 6
79576 Weil am Rhein
Tel.: 07621/975-559
Mobil: 0151/52767442
email: gerold.klotz-engmann@de.endress.com
Gremien- und Verbandsarbeit:
Internationale Normungsgremien: DKE K241, CENELEC TC31, IEC TC31
Verbände : ZVEI, Orgalime
Zertifizierungssysteme: IEC Ex

3. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 3 / 31
Ein Schweizer Familienunternehmen seit 60 Jahren
Familie Endress
 Gegründet 1953 von Georg H. Endress und Ludwig Hauser
 Seit 1975 im Alleinbesitz der Familie Endress
 1995 übernimmt Klaus Endress die Leitung der Firmengruppe
 Heute regelt eine Familiencharta das Verhältnis
zwischen Familie und Unternehmen

4. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 4 / 31
Sicherheitslebenszyklus
Verifikation
Gefährdungs- und Risiko-Beurteilung
Quelle: DIN EN 61511-1 - Bild 8
1
Zuordnung der Sicherheitsfunktionen zu
Schutzebene
2
Spezifikation der Sicherheits-
anforderungen an das SIS3
Entwurf und Planung anderer
Maßnahmen zur Risikoreduzierung
9
Entwurf und Planung des SIS
Montage, Inbetriebnahme und Validierung
Betrieb und Instandhaltung
Änderung
Außerbetriebsetzung
8
7
6
5
Stufe
5
Stufe
3
Stufe
4
Stufe
1
Stufe
2
Manage-
ment und
Be-
urteilung
der
funktio-
nalen
Sicher-
heit und
Audits
Aufbau und
Planung
des Sicher-
heits-
Lebens-
zyklus
4

5. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 5 / 31
Geräteauswahl nach folgenden Gesichtspunkten:
 geeignete Messtechnik/Aktorik für die sicherheitsrelevanten Prozessparameter
 Schutzfunktion: Grenzwertüberwachung (Min, Max) oder kontinuierlich
 Betriebsmode: Continuous- oder Low Demand Mode
 Schutzniveau: SIL, sicherheitstechnische Kennwerte
 Zeitverhalten: Reaktionszeit, Fehlererkennungsdauer, Schließdauer …
 Einsatzbedingungen: Temperatur, Feuchte, Chemie …
 Wiederkehrende Prüfung: Prüfbarkeit
Planung der Geräteauswahl
Schutzkreis
LIZA+
Grenzschalter
(Level max)
Druck
Kontinuierlich
Ventil
Schließer
Beispiel eines Schutzkreises (Demomodell, SIL 3):

6. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 6 / 31
Inhalt
 Aufbau des Sicherheitssystems
 Beschreibung der Sicherheitsfunktion
 Sicherheitstechnische Kennwerte
 Einsatzbedingungen, Messgenauigkeit
Sicherheitshinweise
 Verhalten bei Betrieb und Störung
 Installation und Inbetriebnahme
 Parametrierung
 Wiederkehrende Funktionsprüfung
 Wartung und Reparatur
Das Sicherheitshandbuch als Hilfe zur Geräteauswahl
Sieh auch www.endress.com/SIL

7. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 7 / 31
Das Sicherheitshandbuch
Aufbau des Sicherheitssystems: Sicherheitsrelevantes Ausgangssignal:
Wiederholungsprüfung:

8. 23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 8 / 31
Geräteauswahl: Einsatzbedingungen
Gerätehersteller
Umgebungsbedingungen:
• Umgebungstemperatur
• Feuchte
•Versorgungsspannungstoleranz
• EMV-Einflüsse
• Vibration
Prozess
Prozessumgebung
Prozess
Betreiber
Prozesseinflüsse:
• Medienverträglichkeit
• Prozeßtemperaturen
• Prozeßdrücke

9. 23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 9 / 31
Prozesseinflüsse – Ansatzbildung
„Durchflussmessgerät“
Ansatz durch Staubbildung
im Feststoffsilo
Ansatz durch Schwefeldämpfe
Kristallisation im Natronlaugentank

10. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 10 / 31
 Einzelkomponenten müssen vom Hersteller als SIL-fähig
qualifiziert sein.
z.B. SIL-Herstellererklärung, SIL Zertifikat, Sicherheitskennzahlen
 Gesamtsystem muß durch einen quantitativen SIL-Nachweis
(IEC 61511, VDI VDE 2180-4) durch den Betreiber qualifiziert
und dokumentiert werden
z.B. Systemarchitektur, Versagenswahrscheinlichkeit, SIL
Eignungsnachweis – SIL-Qualifizierung
Teilsystem AktorikTeilsystem LogikeinheitTeilsystem Sensorik
Aktor 1Interface 4
Aktor 2Interface 5
2oo2
Sensor 1 Interface 1
Sensor 2 Interface 2
Sensor 3 Interface 3
2oo3 1oo2
Steuerung
Modul 1
Steuerung
Modul 2

11. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 11 / 31
Anwender kann sein Sicherheitssystem qualifizieren durch
 anwendungsbezogene Betriebsbewährung (z.B. IEC 61511-1)
- Extensive Betriebserfahrung (z.B. 100.000 Betriebsstunden, NE79)
- bei ähnlichen Betriebs- und Umgebungsbedingungen,
- auch in nicht-sicherheitsrelevanten Applikationen
 Betriebsbewährung nach NAMUR Empfehlung NE 130
Eignungsnachweis - Betriebsbewährung

12. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 12 / 31
Betriebsbewährung - NAMUR Empfehlung NE 130

13. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 13 / 31
 Zu überwachende Prozessgrößen festlegen
 Betriebsmode festlegen (Low-demand mode, high-demand mode)
 Meßtoleranz beachten (=> Schaltpunkt!)
 Zeitverhalten der Schutzeinrichtung beachten
 Wartungs- und Prüfeinrichtungen vorsehen
Beispiel: Bypassvorrichtungen
 Sicherheitsgerichtete Abschaltung beachten
 Ausfall der Spannungsversorgung  sicherheitsgerichtet
oder: Notstromversorgung vorsehen (Batteriepuffer etc.)
Spannungsverlustüberwachung
 Unabhängige manuelle Not-Aus Vorrichtungen
 Kein automatischer Wiederanlauf nach
Auslösen der Schutzfunktion (Quittierung)
Entwurf des SIS: Allgemeine Designregeln

14. 23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 14 / 31
 Schutzfunktionen möglichst getrennt und unabhängig von
betrieblichen MSR-Funktionen auslegen
 Bei Mitverwendung von Sicherheitskomponenten für betriebliche
Funktionen rückwirkungsfrei
Entwurf des SIS: Allgemeine Designregeln
Stoff 2
LI PI TI
Produkt
FT
Stoff 1 Anlagensteuerung
LS
PI
Sicherheits-
funktionen
Anlagensteuerung
Basic Process
Control System
(BPCS)Zu über-
wachende
Anlage
(EUC)
Sicherheitsbezogenes
System
Safety Instrumented
System (SIS)

15. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 15 / 31
 Anforderungen an Systemarchitektur durch geforderten SIL, dem Gerätetyp
und eventueller Betriebsbewährung
 Die IEC 61511-1 fordert für Teilsysteme aus Sensoren und Aktoren
folgende Fehlertoleranz (Redundanz) gemäß Tabelle 6.
Entwurf des SIS: Systemarchitektur

16. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 16 / 31
Teilsysteme mit betriebsbewährten Feldgeräten
Schutzeinrichtung
SIL 2
Sensor
SIL 2
SPS
SIL 2
Aktor
SIL 2
Schutzeinrichtung
SIL 3
Sensor
SIL 2
SPS
SIL 3
Aktor
SIL 2
Sensor
SIL 2
Aktor
SIL 2
*Betriebsbewährung in Standard- oder Schutzeinrichtungen
Bis SIL 3 kann die Fehlertoleranz unter folgenden Bedingungen
um 1 reduziert werden (IEC 61511-1, Abschnitt 11.4.4):
1. Hardware mit Betriebsbewährung* („prior use“)
2. Nur Prozess-relevante Parameter können verändert werden
3. Parameter können verriegelt werden (z.B. Passwort, Jumper)

17. 23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 17 / 31
Homogene Redundanz
Gleiche Geräte
Redundanz: Homogen oder diversitär?
Vorteile homogen redundanter
Sensorik in Schutzeinrichtungen
 Beherrschung zufälliger Fehler
(z. B. bei 1oo2)
 Vereinfachte Lagerhaltung,
Inbetriebnahme, Wartung, …
Achtung: Systematische Integrität
kann nicht erhöht werden
Vorteile diversitär redundanter
Sensorik in Schutzeinrichtungen
Beherrschung zufälliger +
systematischer Fehler
(Gerät + Prozess)
Wahrscheinlichkeit des
systematischen, gleichzeitigen
Ausfalls mehrerer Kanäle wird
verringert
+
z.B. 1oo2
 SIL 3?
SIL 2 SIL 2
Diversitäre Redundanz
Verschiedene Geräte
SIL 2 SIL 2
+
z.B. 1oo2
 SIL 3

18. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 18 / 31
Entwurf des SIS: Redundante Auswahlschaltungen
Sicherheit
Verfügbarkeit
1oo1
1oo2
1oo3
1oo4
2oo2
2oo3

19. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 19 / 31
Je nach Sensor oder Aktor
unterschiedliche Prüfmethoden
Beispiel: Füllstandsonde
a) Anfahren des Füllstandes (Prüftiefe≈100 %), oder
b) Ausbauen und Eintauchen in ein Vergleichsmedium (Prüftiefe≥98 %)
c) Simulation eines Füllstandes durch Parametrierung (Prüftiefe ≥ 92 %)
Prüftiefe (PTC):
Prozentualer Anteil der gefährlichen verdeckten Fehler,
die durch die Funktionsprüfung erkannt werden können
Betreiber muß planen
• welches Prüfverfahren für ihn praktikabel
• welches Prüfintervall für sein SIL ausreichend ist
Planung der Wiederholungsprüfung

20. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 20 / 31
SIL 4
SIL 3
SIL 2
SIL 1
Wiederkehrende Funktionsprüfung (Prüftiefe=100%)
Betriebsdauer t
PFD
SIL
0,1
0,001
0,0001
0,01
PFDav  ½ du  Ti
Beispiel: einkanalige Schutzeinrichtung mit niedriger Anforderungsrate
PFD  du  t (t << 1)
Prüftiefe 100 %Prüfintervall Ti
du  Ti
Einkanalige Systemarchitektur 1oo1

21. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 21 / 31
Wiederkehrende Funktionsprüfung (Prüftiefe<100%)
Einkanalige Systemarchitektur 1oo1
PFD
Ti Betriebsdauer t
SIL 1
SIL 2
SIL 3
LT
PFDav
PFDav ≈ ½ λdu x Ti x PTC + ½ λdu x LT x (1-PTC)
PTC= Prüftiefe (1=100 %)
Ti = Prüfintervall LT= Gebrauchsdauer
Prüftiefe < 100 %

22. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 25 / 31
Dokumentationsanforderungen
(IEC 61511-1, Abschnitt 19)
Leicht verständliche und genaue Beschreibung des Gesamtsystems,
der Geräte und deren Gebrauch mit folgendem Inhalt:
 Ergebnis der Gefährdungs- und Risikoanalyse
 Maßnahmen zur Risikominimierung (Sicherheitssysteme)
 Für die Sicherheit verantwortliche Organisation, Prozesse einschl.
Änderungsprozess
 Spezifikation der Sicherheitsanforderungen
 Detaildokumentation für jede Schutzeinrichtung
• Geräteauswahl für Schutzfunktion, Eignungsnachweise
• Design, Systemarchitektur
• Quantitativer SIL Nachweis Gesamtsystem
• Errichtung und Inbetriebnahme
• Betrieb und Instandhaltungsmaßnahmen
• Wartung und wiederholende Prüfung
• Reparaturmaßnahmen
• Validierung anhand der Spezifikation
(wer, wann, was, wie …)

23. 23.01.2012
Klotz-Engmann
Folie 26 / 31
Vielen Dank für Ihre Aufmerksamkeit!
Noch Fragen?