Post on 27-Jan-2017
transcript
FSM in der PraxisSIL in der Praxis
Landshut, 15. Oktober 2013
Johann Ströbl
Planstatus/ 2TÜV SÜD Industrie Service GmbH
Inhaltsverzeichnis
n FSMn Lifecycle Haltepunkten Validierung Inbetriebnahmen Betrieb und Instandhaltungn Sicherheitsbauteile ohne Eignungsnachweisn Dokumentation
Inhaltsverzeichnis
Planstatus/ 3TÜV SÜD Industrie Service GmbH
Sicherheitslebenszyklus
Entstehung des Sicherheits-lebenszyklus
Sicherheits-Management
Technische Anforderung
Qualifikation Personal
+
+Fehlerursachen
Außerbetriebnahme
Änderung nachInbetriebnahme
Betrieb &Wartung
Installation & Inbetriebnahme
Planung &Implementierung
Spezifikation
Sicherheits-Lebenszyklus
Planstatus/ 4TÜV SÜD Industrie Service GmbH
InhaltsverzeichnisSicherheitsmanagement
Planstatus/ 5TÜV SÜD Industrie Service GmbH
InhaltsverzeichnisSicherheitsmanagement
Planstatus/ 6TÜV SÜD Industrie Service GmbH
Inhalt1 Ziel / Zweck 32 Begriffe und Abkürzungen 43 Geltungsbereich 44 Organisation im Sicherheitslebenszyklus 44.1 Sicherheitsplan (safety lifecycle) 54.2 Delegation der Verantwortung 54.2.1 Planungsteam 54.2.2 Beurteilungsteam 54.3 Risikobetrachtung 54.3.1 Betrachtung der Risiken im Rahmen der HAZOP 54.3.2 Zuordnung des Geltungsbereich der jeweiligen NORM 54.3.3 Einstufung der Sicherheitstechnischen Systeme (SIS) 64.4 Erstellung des Lastenheft 64.5 Erstellen des Pflichtenheft 64.6 Implementierung der Software 74.7 Verifizierung der Software 7
Managementsystem der funktionalen Sicherheit
Planstatus/ 7TÜV SÜD Industrie Service GmbH
• 4.8 Montage und Inbetriebnahme • 4.9 Validierung • 4.10 Betrieb und Instandhaltung • 4.11 Ausserbetriebnahme• 5 Änderungsmanagement • 6 Prüfungen im Sicherheitslebenszyklus • 6.1 Zweck: • 6.2 Durchzuführende Prüfungen • 6.2.1 Prüfung des Lastenheft • 6.2.2 Prüfung des Pflichtenheft • 6.2.3 Verifizierung der Software • 6.2.4 Überprüfung der ordnungsgemäßen Durchführung von
Montage und IBN • 6.2.5 Validierung
Managementsystem der funktionalen Sicherheit
Planstatus/ 8TÜV SÜD Industrie Service GmbH
Sicherheitslebenszyklus
Manage-ment und Be-urteilungder funktio-nalenSicher-heit und Audits
VerifikationAufbau und Planung des Sicher-heits-Lebens-zyklus
Gefährdungs- und Risiko-Beurteilung
Quelle: DIN EN 61511Quelle: DIN EN 61511--1 1 -- Bild 8Bild 8
1
Zuordnung der Sicherheitsfunktionen zu Schutzebene2
Spezifikation der Sicherheits-anforderungen an das SIS3
Entwurf und Planung anderer Maßnahmen zur Risikoreduzierung
9
Entwurf und Planung des SIS
4
Montage, Inbetriebnahme und Validierung
Betrieb und Instandhaltung
Änderung
Außerbetriebsetzung8
7
6
5
1110
Stufe 5
Stufe 3
Stufe 4
Stufe1
Stufe 2
Planstatus/ 9TÜV SÜD Industrie Service GmbH
InhaltsverzeichnisWartung und Instandhaltung
Planstatus/ 10TÜV SÜD Industrie Service GmbH
Prüfungen im LifeCycle
Prüfung des Lastenheftes
Haltepunkte nach DIN EN 61511 Bild 8 durch das Beurteilungsteam
Prüfung des Pflichtenheftes
Verifizierung der Software
Validierung vor Inbetriebnahme
Prüfung während des Betriebes
Prüfung nach Änderungen
Planstatus/ 11TÜV SÜD Industrie Service GmbH
Prüfungen im LifeCycle
Prüfung nach Pflichtenheft und Softwareerstellung
Prüfungen von Zeichnungen und Berechnungen
Überprüfung der Auslegung der Schutzkreise anhand von R+I Schemata, Datenblättern, Stromlaufplänen, Funktionsplänen etc.
- richtige Komponentenauswahl, Druck, Temperatur, Medium
- Nachvollziehbarkeit der SIL Berechnungen
- Eignung für die Umgebungsbedingungen
Planstatus/ 12TÜV SÜD Industrie Service GmbH
Validierung vor Inbetriebnahme
100 % Prüfung der Schutzeinrichtungen vom Sensor bis zum Aktorauf der Basis von
optischen Prüfungen
Funktionsprüfungen
Messungen
Prüfungen im LifeCycle
Planstatus/ 13TÜV SÜD Industrie Service GmbH
Validierung vor Inbetriebnahme
optische Prüfung
Überprüfung der geforderten Merkmale und Eigenschaften der gelieferten Ausrüstungsteile und Bauelemente nach Einbau, wie z.B.
- spannungsfreier Einbau von Komponenten
- korrekte Einbaulage
- geeignete Dichtmaterialien
- Eignung für die Umgebungsbedingungen
Prüfungen im LifeCycle
Planstatus/ 14TÜV SÜD Industrie Service GmbH
Validierung vor Inbetriebnahme
Funktionsprüfung
Überprüfung der richtigen Funktion der Schutzkreise
- Prüfung so betriebsnah wie möglich durchführen
- Prüfung vom Sensor bis Aktor unter Berücksichtigung der Auflagen des zur Komponentegehörenden safety manual
Prüfungen im LifeCycle
Planstatus/ 15TÜV SÜD Industrie Service GmbH
Validierung vor Inbetriebnahme
Prüfung durch Messungen
Überprüfung der spezifizierten Grenzwerte
z.B.- Messung der Einbaulänge einer Überfüllsicherung
- Messung der maximalen Umgebungstemperatur am Flammenwächter
- Überprüfung der Schließzeit einer Absperreinrichtung
Prüfungen im LifeCycle
Planstatus/ 16TÜV SÜD Industrie Service GmbH
Prüfungen während des Betriebes
Overrides und Brücken sollen nicht verwendet werden
Die Verwendung von Overrides und Brücken ist nur in Ausnahmefällen zulässig
Overrides und Brücken beschränken die Funktion des Schutzkreises oder schalten sie vollständig aus und schließlich hängt Ihre Sicherheit vom Schutzkreis ab.
Die Verwendung von Overrides und Brücken, wenn sie denn unabdingbar verwendet benötigt werden, muss streng geordnet, gelenkt und überwacht werden.
Betrieb und Instandhaltung
Planstatus/ 17TÜV SÜD Industrie Service GmbH
Austausch von Komponenten eines Schutzkreises
Der Austausch zertifizierter Komponenten gegen zertifizierte Komponenten eines anderen Herstellers ist unzulässig selbst wenn Sie für den gleichen SIL-Level geeignet sind
Selbst der Austausch zertifizierter Komponenten gegen Komponenten mit unterschiedlicher Versions- oder Modellnummer ist unzulässig.
Wird eine zertifizierte Komponente im SIL-Loop ausgetauscht, muss die neue Komponente identisch mit der bisherigen sein…
(gleiches Model, gleiche Firmwareversion.)
Betrieb und Instandhaltung
Planstatus/ 18TÜV SÜD Industrie Service GmbH
Austausch von Komponenten eines Schutzkreises
Die in einem Schutzkreis erforderliche Zuverlässigkeit der Komponenten ist u.a. abhängig von den zyklischen Funktionsprüfungen
Die Komponente eines anderen Herstellers kann die gleiche Zuverlässigkeit aufweisen aber mit UNTERSCHIEDLICHENAnforderungen an die zyklischen Funktionsprüfungen
Wird in einem Schutzkreis eine Komponente gegen eine eines anderen Herstellers ersetzt sind die Anforderungen an Instandhaltung und Funktionsprüfungen für den gesamten Schutzkreis betroffen. Der gesamte Schutzkreis muss neu vom Planungsteam überarbeitet werden.
Betrieb und Instandhaltung
Planstatus/ 19TÜV SÜD Industrie Service GmbH
Prüfungen während des Betriebes Kontrolle der Schutzeinrichtungen während des Betriebes
(Warte)
Plausibilität der Messwertebei Abweichungen Reaktion durch Operator
BeispielO2min Alarm bei ausreichender LuftmengeKontrolle der CO WerteKontrolle des Flammenbildes vor OrtEntscheidung durch Operator über Reaktionen
Managementsystem der funktionalen Sicherheit
Planstatus/ 20TÜV SÜD Industrie Service GmbH
Prüfungen während des Betriebes Kontrolle der Sensoren und Aktoren bei Rundgängen
Undichtheiten , Geräusche; Beschädigungenstimmt vor Ort Anzeige mit PLS überein?
Information der Maintenance bei Unregelmäßigkeiten
Managementsystem der funktionalen Sicherheit
Planstatus/ 21TÜV SÜD Industrie Service GmbH
Eignung der Sensoren, Steuerungen, Aktoren
Prozessanschluss Sensor ProzessanschlussSteuerung Aktor
SIS (Safety Instrumented System)
Betreiber BetreiberHersteller, Errichter
Klemmen,Leitungen
Basisbetrachtungen zur SIL-Umsetzung
Planstatus/ 22TÜV SÜD Industrie Service GmbH
Sicherheitsbauteile ohne „SIL“
→ Deterministisches Fehlermodell
Fehlerbaumanalyse
redundanter Aufbau mit hochwertiger Fehleraufdeckung
regelmäßige manuelle Prüfung
Planstatus/ 23TÜV SÜD Industrie Service GmbH
Fehlerbaumanalyse nach EN 50156 bzw.
EN 746-2
Fehlerbaumanalyse für hartverdrahteten Teil
Planstatus/ 24TÜV SÜD Industrie Service GmbH
Fehlerbetrachtung
Wirksamkeit desSchutzsystems durch
Erstfehlerbeeinträchtigt? 1)
Wirksamkeit desSchutzsystems durch
zusätzlichen Zweitfehlerbeeinträchtigt? 1)
SelbsttätigeFehlererkennungbei Fehlereintritt?
Regelmäßige Prüfungausreichend?
Automatische regelmäßige
Prüfung nötig?
Maßnahme bei ständiger Beaufsich-tigung ausreichend?
Signal-verarbeitung?
ZusätzlicheSicherheits-maßnahmenerforderlich
Durchführung vonzusätzlichen Maß-nahmen zur selbst-
tätigen Fehler-erkennung
Änderung desMeldesignals inAuslösesignal
Betriebsanweisung:Regelmäßige Prü-fung bzw. Fehler-
beseitigung
Abbruch der Fehlerbetrachtung
1
1
1
Für zusätzliche Maßnahmen muss Fehler-betrachtung erneut durchgeführt werden
ja nein
ja
ja
ja
ja
ja
nein
nein
nein
nein
nein
Auslösesignal
1) In Abhängigkeit von der geforderten sicherheitsbezogenenAnforderungstufe müssen bei der Betrachtung von Erst- und Zweitfehlernunterschiedliche Fehlermodelle berücksichtigt werdensiehe Tabelle 3
Fehlerbaumanalyse für hartverdrahteten Teil
Fehlerbaumanalyse nach EN50156
1
Planstatus/ 25TÜV SÜD Industrie Service GmbH
Sicherheitsbauteile ohne „SIL“
fehlersichere Steuerung mit analogen Gebern in 1v2 Auswahl
Steuerung
P
4-20mA
P
4-20mA
Zertifiziert für Einsatz in Schutzkreisen mit erf. Risikoreduzierung bis SIL 3
analoge nicht fehlersichere Geber
diskrepanzüberwachtbei Auftreten einer unterschiedlichen Signalgabe an beiden Sensoren wird ein Alarm in der Messwarte abgesetzt bzw. muss die Anlage abgeschaltet werden
Teilsystem Sensorik
Planstatus/ 26TÜV SÜD Industrie Service GmbH
Sicherheitsbauteile ohne „SIL“
fehlersichere Steuerung mit analogen Gebern in 2v3 Auswahl
Steuerung
P
4-20mA
P
4-20mA
P
4-20mA
Zertifiziert für Einsatz mit Risikoreduzierung bis SIL 3
analoge nicht fehlersichere Geber
diskrepanzüberwachtbei Auftreten eines Fehlers an einem Sensor kann dieser ermittelt werden. Ein Weiterbetrieb als 1v2 ist möglich
Teilsystem Sensorik
Planstatus/ 27TÜV SÜD Industrie Service GmbH
Fehlerausschlüsse nach EN 50156
Teilsystem Aktorik
Planstatus/ 28TÜV SÜD Industrie Service GmbH
Dokumentation Entlastung der Verantwortlichen im Schadensfall nur durchausreichende Dokumentation möglich
Lebenslauf des Schutzkreises mit Einstufungen
Ausführung, Datenblätter derEinzelkomponenten
rechnerischer bzw. argumentativer Nachweis für die Eignung des Schutzkreises
durchgeführte Wartungen
Änderungen am Schutzkreis
Managementsystem der funktionalen Sicherheit
Vielen Dank für Ihre Aufmerksamkeit!