1. 23.01.2012
Klotz-Engmann
Folie 1 / 31
Dr. Gerold Klotz-Engmann
Endress+Hauser Messtechnik, Weil am Rhein
SIL in der Praxis
2013
Entwurf und Planung des
sicherheitstechnischen Systems (SIS)
2. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 2 / 31
Referent
Dr. Gerold Klotz-Engmann
Abteilungsleiter G-T
Internationale Produkt- und Anlagensicherheit
Endress+Hauser Messtechnik GmbH+Co. KG
Colmarer Strasse 6
79576 Weil am Rhein
Tel.: 07621/975-559
Mobil: 0151/52767442
email: gerold.klotz-engmann@de.endress.com
Gremien- und Verbandsarbeit:
Internationale Normungsgremien: DKE K241, CENELEC TC31, IEC TC31
Verbände : ZVEI, Orgalime
Zertifizierungssysteme: IEC Ex
3. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 3 / 31
Ein Schweizer Familienunternehmen seit 60 Jahren
Familie Endress
Gegründet 1953 von Georg H. Endress und Ludwig Hauser
Seit 1975 im Alleinbesitz der Familie Endress
1995 übernimmt Klaus Endress die Leitung der Firmengruppe
Heute regelt eine Familiencharta das Verhältnis
zwischen Familie und Unternehmen
4. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 4 / 31
Sicherheitslebenszyklus
Verifikation
Gefährdungs- und Risiko-Beurteilung
Quelle: DIN EN 61511-1 - Bild 8
1
Zuordnung der Sicherheitsfunktionen zu
Schutzebene
2
Spezifikation der Sicherheits-
anforderungen an das SIS3
Entwurf und Planung anderer
Maßnahmen zur Risikoreduzierung
9
Entwurf und Planung des SIS
Montage, Inbetriebnahme und Validierung
Betrieb und Instandhaltung
Änderung
Außerbetriebsetzung
8
7
6
5
Stufe
5
Stufe
3
Stufe
4
Stufe
1
Stufe
2
Manage-
ment und
Be-
urteilung
der
funktio-
nalen
Sicher-
heit und
Audits
Aufbau und
Planung
des Sicher-
heits-
Lebens-
zyklus
4
5. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 5 / 31
Geräteauswahl nach folgenden Gesichtspunkten:
geeignete Messtechnik/Aktorik für die sicherheitsrelevanten Prozessparameter
Schutzfunktion: Grenzwertüberwachung (Min, Max) oder kontinuierlich
Betriebsmode: Continuous- oder Low Demand Mode
Schutzniveau: SIL, sicherheitstechnische Kennwerte
Zeitverhalten: Reaktionszeit, Fehlererkennungsdauer, Schließdauer …
Einsatzbedingungen: Temperatur, Feuchte, Chemie …
Wiederkehrende Prüfung: Prüfbarkeit
Planung der Geräteauswahl
Schutzkreis
LIZA+
Grenzschalter
(Level max)
Druck
Kontinuierlich
Ventil
Schließer
Beispiel eines Schutzkreises (Demomodell, SIL 3):
6. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 6 / 31
Inhalt
Aufbau des Sicherheitssystems
Beschreibung der Sicherheitsfunktion
Sicherheitstechnische Kennwerte
Einsatzbedingungen, Messgenauigkeit
Sicherheitshinweise
Verhalten bei Betrieb und Störung
Installation und Inbetriebnahme
Parametrierung
Wiederkehrende Funktionsprüfung
Wartung und Reparatur
Das Sicherheitshandbuch als Hilfe zur Geräteauswahl
Sieh auch www.endress.com/SIL
7. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 7 / 31
Das Sicherheitshandbuch
Aufbau des Sicherheitssystems: Sicherheitsrelevantes Ausgangssignal:
Wiederholungsprüfung:
9. 23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 9 / 31
Prozesseinflüsse – Ansatzbildung
„Durchflussmessgerät“
Ansatz durch Staubbildung
im Feststoffsilo
Ansatz durch Schwefeldämpfe
Kristallisation im Natronlaugentank
10. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 10 / 31
Einzelkomponenten müssen vom Hersteller als SIL-fähig
qualifiziert sein.
z.B. SIL-Herstellererklärung, SIL Zertifikat, Sicherheitskennzahlen
Gesamtsystem muß durch einen quantitativen SIL-Nachweis
(IEC 61511, VDI VDE 2180-4) durch den Betreiber qualifiziert
und dokumentiert werden
z.B. Systemarchitektur, Versagenswahrscheinlichkeit, SIL
Eignungsnachweis – SIL-Qualifizierung
Teilsystem AktorikTeilsystem LogikeinheitTeilsystem Sensorik
Aktor 1Interface 4
Aktor 2Interface 5
2oo2
Sensor 1 Interface 1
Sensor 2 Interface 2
Sensor 3 Interface 3
2oo3 1oo2
Steuerung
Modul 1
Steuerung
Modul 2
11. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 11 / 31
Anwender kann sein Sicherheitssystem qualifizieren durch
anwendungsbezogene Betriebsbewährung (z.B. IEC 61511-1)
- Extensive Betriebserfahrung (z.B. 100.000 Betriebsstunden, NE79)
- bei ähnlichen Betriebs- und Umgebungsbedingungen,
- auch in nicht-sicherheitsrelevanten Applikationen
Betriebsbewährung nach NAMUR Empfehlung NE 130
Eignungsnachweis - Betriebsbewährung
12. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 12 / 31
Betriebsbewährung - NAMUR Empfehlung NE 130
13. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 13 / 31
Zu überwachende Prozessgrößen festlegen
Betriebsmode festlegen (Low-demand mode, high-demand mode)
Meßtoleranz beachten (=> Schaltpunkt!)
Zeitverhalten der Schutzeinrichtung beachten
Wartungs- und Prüfeinrichtungen vorsehen
Beispiel: Bypassvorrichtungen
Sicherheitsgerichtete Abschaltung beachten
Ausfall der Spannungsversorgung sicherheitsgerichtet
oder: Notstromversorgung vorsehen (Batteriepuffer etc.)
Spannungsverlustüberwachung
Unabhängige manuelle Not-Aus Vorrichtungen
Kein automatischer Wiederanlauf nach
Auslösen der Schutzfunktion (Quittierung)
Entwurf des SIS: Allgemeine Designregeln
14. 23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 14 / 31
Schutzfunktionen möglichst getrennt und unabhängig von
betrieblichen MSR-Funktionen auslegen
Bei Mitverwendung von Sicherheitskomponenten für betriebliche
Funktionen rückwirkungsfrei
Entwurf des SIS: Allgemeine Designregeln
Stoff 2
LI PI TI
Produkt
FT
Stoff 1 Anlagensteuerung
LS
PI
Sicherheits-
funktionen
Anlagensteuerung
Basic Process
Control System
(BPCS)Zu über-
wachende
Anlage
(EUC)
Sicherheitsbezogenes
System
Safety Instrumented
System (SIS)
15. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 15 / 31
Anforderungen an Systemarchitektur durch geforderten SIL, dem Gerätetyp
und eventueller Betriebsbewährung
Die IEC 61511-1 fordert für Teilsysteme aus Sensoren und Aktoren
folgende Fehlertoleranz (Redundanz) gemäß Tabelle 6.
Entwurf des SIS: Systemarchitektur
16. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 16 / 31
Teilsysteme mit betriebsbewährten Feldgeräten
Schutzeinrichtung
SIL 2
Sensor
SIL 2
SPS
SIL 2
Aktor
SIL 2
Schutzeinrichtung
SIL 3
Sensor
SIL 2
SPS
SIL 3
Aktor
SIL 2
Sensor
SIL 2
Aktor
SIL 2
*Betriebsbewährung in Standard- oder Schutzeinrichtungen
Bis SIL 3 kann die Fehlertoleranz unter folgenden Bedingungen
um 1 reduziert werden (IEC 61511-1, Abschnitt 11.4.4):
1. Hardware mit Betriebsbewährung* („prior use“)
2. Nur Prozess-relevante Parameter können verändert werden
3. Parameter können verriegelt werden (z.B. Passwort, Jumper)
17. 23.01.2012
SIL in der Praxis
Klotz-Engmann/Götz
Folie 17 / 31
Homogene Redundanz
Gleiche Geräte
Redundanz: Homogen oder diversitär?
Vorteile homogen redundanter
Sensorik in Schutzeinrichtungen
Beherrschung zufälliger Fehler
(z. B. bei 1oo2)
Vereinfachte Lagerhaltung,
Inbetriebnahme, Wartung, …
Achtung: Systematische Integrität
kann nicht erhöht werden
Vorteile diversitär redundanter
Sensorik in Schutzeinrichtungen
Beherrschung zufälliger +
systematischer Fehler
(Gerät + Prozess)
Wahrscheinlichkeit des
systematischen, gleichzeitigen
Ausfalls mehrerer Kanäle wird
verringert
+
z.B. 1oo2
SIL 3?
SIL 2 SIL 2
Diversitäre Redundanz
Verschiedene Geräte
SIL 2 SIL 2
+
z.B. 1oo2
SIL 3
18. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 18 / 31
Entwurf des SIS: Redundante Auswahlschaltungen
Sicherheit
Verfügbarkeit
1oo1
1oo2
1oo3
1oo4
2oo2
2oo3
19. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 19 / 31
Je nach Sensor oder Aktor
unterschiedliche Prüfmethoden
Beispiel: Füllstandsonde
a) Anfahren des Füllstandes (Prüftiefe≈100 %), oder
b) Ausbauen und Eintauchen in ein Vergleichsmedium (Prüftiefe≥98 %)
c) Simulation eines Füllstandes durch Parametrierung (Prüftiefe ≥ 92 %)
Prüftiefe (PTC):
Prozentualer Anteil der gefährlichen verdeckten Fehler,
die durch die Funktionsprüfung erkannt werden können
Betreiber muß planen
• welches Prüfverfahren für ihn praktikabel
• welches Prüfintervall für sein SIL ausreichend ist
Planung der Wiederholungsprüfung
20. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 20 / 31
SIL 4
SIL 3
SIL 2
SIL 1
Wiederkehrende Funktionsprüfung (Prüftiefe=100%)
Betriebsdauer t
PFD
SIL
0,1
0,001
0,0001
0,01
PFDav ½ du Ti
Beispiel: einkanalige Schutzeinrichtung mit niedriger Anforderungsrate
PFD du t (t << 1)
Prüftiefe 100 %Prüfintervall Ti
du Ti
Einkanalige Systemarchitektur 1oo1
21. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 21 / 31
Wiederkehrende Funktionsprüfung (Prüftiefe<100%)
Einkanalige Systemarchitektur 1oo1
PFD
Ti Betriebsdauer t
SIL 1
SIL 2
SIL 3
LT
PFDav
PFDav ≈ ½ λdu x Ti x PTC + ½ λdu x LT x (1-PTC)
PTC= Prüftiefe (1=100 %)
Ti = Prüfintervall LT= Gebrauchsdauer
Prüftiefe < 100 %
22. 23.01.2012
SIL in der Praxis
Klotz-Engmann
Folie 25 / 31
Dokumentationsanforderungen
(IEC 61511-1, Abschnitt 19)
Leicht verständliche und genaue Beschreibung des Gesamtsystems,
der Geräte und deren Gebrauch mit folgendem Inhalt:
Ergebnis der Gefährdungs- und Risikoanalyse
Maßnahmen zur Risikominimierung (Sicherheitssysteme)
Für die Sicherheit verantwortliche Organisation, Prozesse einschl.
Änderungsprozess
Spezifikation der Sicherheitsanforderungen
Detaildokumentation für jede Schutzeinrichtung
• Geräteauswahl für Schutzfunktion, Eignungsnachweise
• Design, Systemarchitektur
• Quantitativer SIL Nachweis Gesamtsystem
• Errichtung und Inbetriebnahme
• Betrieb und Instandhaltungsmaßnahmen
• Wartung und wiederholende Prüfung
• Reparaturmaßnahmen
• Validierung anhand der Spezifikation
(wer, wann, was, wie …)