SIL in der Praxis (GER)

FSM in der PraxisSIL in der Praxis

Landshut, 15. Oktober 2013

Johann Ströbl

Planstatus/ 2TÜV SÜD Industrie Service GmbH

Inhaltsverzeichnis

n FSMn Lifecycle Haltepunkten Validierung Inbetriebnahmen Betrieb und Instandhaltungn Sicherheitsbauteile ohne Eignungsnachweisn Dokumentation

Inhaltsverzeichnis


Sicherheitslebenszyklus

Entstehung des Sicherheits-lebenszyklus

Sicherheits-Management

Technische Anforderung

Qualifikation Personal

+

+Fehlerursachen

Außerbetriebnahme

Änderung nachInbetriebnahme

Betrieb &Wartung

Installation & Inbetriebnahme

Planung &Implementierung

Spezifikation

Sicherheits-Lebenszyklus


InhaltsverzeichnisSicherheitsmanagement


InhaltsverzeichnisSicherheitsmanagement


Inhalt1 Ziel / Zweck 32 Begriffe und Abkürzungen 43 Geltungsbereich 44 Organisation im Sicherheitslebenszyklus 44.1 Sicherheitsplan (safety lifecycle) 54.2 Delegation der Verantwortung 54.2.1 Planungsteam 54.2.2 Beurteilungsteam 54.3 Risikobetrachtung 54.3.1 Betrachtung der Risiken im Rahmen der HAZOP 54.3.2 Zuordnung des Geltungsbereich der jeweiligen NORM 54.3.3 Einstufung der Sicherheitstechnischen Systeme (SIS) 64.4 Erstellung des Lastenheft 64.5 Erstellen des Pflichtenheft 64.6 Implementierung der Software 74.7 Verifizierung der Software 7

Managementsystem der funktionalen Sicherheit


• 4.8 Montage und Inbetriebnahme • 4.9 Validierung • 4.10 Betrieb und Instandhaltung • 4.11 Ausserbetriebnahme• 5 Änderungsmanagement • 6 Prüfungen im Sicherheitslebenszyklus • 6.1 Zweck: • 6.2 Durchzuführende Prüfungen • 6.2.1 Prüfung des Lastenheft • 6.2.2 Prüfung des Pflichtenheft • 6.2.3 Verifizierung der Software • 6.2.4 Überprüfung der ordnungsgemäßen Durchführung von

Montage und IBN • 6.2.5 Validierung



Sicherheitslebenszyklus

Manage-ment und Be-urteilungder funktio-nalenSicher-heit und Audits

VerifikationAufbau und Planung des Sicher-heits-Lebens-zyklus

Gefährdungs- und Risiko-Beurteilung

Quelle: DIN EN 61511Quelle: DIN EN 61511--1 1 -- Bild 8Bild 8

1

Zuordnung der Sicherheitsfunktionen zu Schutzebene2

Spezifikation der Sicherheits-anforderungen an das SIS3

Entwurf und Planung anderer Maßnahmen zur Risikoreduzierung

9

Entwurf und Planung des SIS

4

Montage, Inbetriebnahme und Validierung

Betrieb und Instandhaltung

Änderung

Außerbetriebsetzung8

7

6

5

1110

Stufe 5

Stufe 3

Stufe 4

Stufe1

Stufe 2


InhaltsverzeichnisWartung und Instandhaltung


Prüfungen im LifeCycle

Prüfung des Lastenheftes

Haltepunkte nach DIN EN 61511 Bild 8 durch das Beurteilungsteam

Prüfung des Pflichtenheftes

Verifizierung der Software

Validierung vor Inbetriebnahme

Prüfung während des Betriebes

Prüfung nach Änderungen



Prüfung nach Pflichtenheft und Softwareerstellung

Prüfungen von Zeichnungen und Berechnungen

Überprüfung der Auslegung der Schutzkreise anhand von R+I Schemata, Datenblättern, Stromlaufplänen, Funktionsplänen etc.

- richtige Komponentenauswahl, Druck, Temperatur, Medium

- Nachvollziehbarkeit der SIL Berechnungen

- Eignung für die Umgebungsbedingungen



100 % Prüfung der Schutzeinrichtungen vom Sensor bis zum Aktorauf der Basis von

optischen Prüfungen

Funktionsprüfungen

Messungen




optische Prüfung

Überprüfung der geforderten Merkmale und Eigenschaften der gelieferten Ausrüstungsteile und Bauelemente nach Einbau, wie z.B.

- spannungsfreier Einbau von Komponenten

- korrekte Einbaulage

- geeignete Dichtmaterialien

- Eignung für die Umgebungsbedingungen




Funktionsprüfung

Überprüfung der richtigen Funktion der Schutzkreise

- Prüfung so betriebsnah wie möglich durchführen

- Prüfung vom Sensor bis Aktor unter Berücksichtigung der Auflagen des zur Komponentegehörenden safety manual




Prüfung durch Messungen

Überprüfung der spezifizierten Grenzwerte

z.B.- Messung der Einbaulänge einer Überfüllsicherung

- Messung der maximalen Umgebungstemperatur am Flammenwächter

- Überprüfung der Schließzeit einer Absperreinrichtung



Prüfungen während des Betriebes

Overrides und Brücken sollen nicht verwendet werden

Die Verwendung von Overrides und Brücken ist nur in Ausnahmefällen zulässig

Overrides und Brücken beschränken die Funktion des Schutzkreises oder schalten sie vollständig aus und schließlich hängt Ihre Sicherheit vom Schutzkreis ab.

Die Verwendung von Overrides und Brücken, wenn sie denn unabdingbar verwendet benötigt werden, muss streng geordnet, gelenkt und überwacht werden.



Austausch von Komponenten eines Schutzkreises

Der Austausch zertifizierter Komponenten gegen zertifizierte Komponenten eines anderen Herstellers ist unzulässig selbst wenn Sie für den gleichen SIL-Level geeignet sind

Selbst der Austausch zertifizierter Komponenten gegen Komponenten mit unterschiedlicher Versions- oder Modellnummer ist unzulässig.

Wird eine zertifizierte Komponente im SIL-Loop ausgetauscht, muss die neue Komponente identisch mit der bisherigen sein…

(gleiches Model, gleiche Firmwareversion.)



Austausch von Komponenten eines Schutzkreises

Die in einem Schutzkreis erforderliche Zuverlässigkeit der Komponenten ist u.a. abhängig von den zyklischen Funktionsprüfungen

Die Komponente eines anderen Herstellers kann die gleiche Zuverlässigkeit aufweisen aber mit UNTERSCHIEDLICHENAnforderungen an die zyklischen Funktionsprüfungen

Wird in einem Schutzkreis eine Komponente gegen eine eines anderen Herstellers ersetzt sind die Anforderungen an Instandhaltung und Funktionsprüfungen für den gesamten Schutzkreis betroffen. Der gesamte Schutzkreis muss neu vom Planungsteam überarbeitet werden.



Prüfungen während des Betriebes Kontrolle der Schutzeinrichtungen während des Betriebes

(Warte)

Plausibilität der Messwertebei Abweichungen Reaktion durch Operator

BeispielO2min Alarm bei ausreichender LuftmengeKontrolle der CO WerteKontrolle des Flammenbildes vor OrtEntscheidung durch Operator über Reaktionen



Prüfungen während des Betriebes Kontrolle der Sensoren und Aktoren bei Rundgängen

Undichtheiten , Geräusche; Beschädigungenstimmt vor Ort Anzeige mit PLS überein?

Information der Maintenance bei Unregelmäßigkeiten



Eignung der Sensoren, Steuerungen, Aktoren

Prozessanschluss Sensor ProzessanschlussSteuerung Aktor

SIS (Safety Instrumented System)

Betreiber BetreiberHersteller, Errichter

Klemmen,Leitungen

Basisbetrachtungen zur SIL-Umsetzung


Sicherheitsbauteile ohne „SIL“

→ Deterministisches Fehlermodell

Fehlerbaumanalyse

redundanter Aufbau mit hochwertiger Fehleraufdeckung

regelmäßige manuelle Prüfung


Fehlerbaumanalyse nach EN 50156 bzw.

EN 746-2

Fehlerbaumanalyse für hartverdrahteten Teil


Fehlerbetrachtung

Wirksamkeit desSchutzsystems durch

Erstfehlerbeeinträchtigt? 1)

Wirksamkeit desSchutzsystems durch

zusätzlichen Zweitfehlerbeeinträchtigt? 1)

SelbsttätigeFehlererkennungbei Fehlereintritt?

Regelmäßige Prüfungausreichend?

Automatische regelmäßige

Prüfung nötig?

Maßnahme bei ständiger Beaufsich-tigung ausreichend?

Signal-verarbeitung?

ZusätzlicheSicherheits-maßnahmenerforderlich

Durchführung vonzusätzlichen Maß-nahmen zur selbst-

tätigen Fehler-erkennung

Änderung desMeldesignals inAuslösesignal

Betriebsanweisung:Regelmäßige Prü-fung bzw. Fehler-

beseitigung

Abbruch der Fehlerbetrachtung

1

1

1

Für zusätzliche Maßnahmen muss Fehler-betrachtung erneut durchgeführt werden

ja nein

ja

ja

ja

ja

ja

nein

nein

nein

nein

nein

Auslösesignal

1) In Abhängigkeit von der geforderten sicherheitsbezogenenAnforderungstufe müssen bei der Betrachtung von Erst- und Zweitfehlernunterschiedliche Fehlermodelle berücksichtigt werdensiehe Tabelle 3

Fehlerbaumanalyse für hartverdrahteten Teil

Fehlerbaumanalyse nach EN50156

1



fehlersichere Steuerung mit analogen Gebern in 1v2 Auswahl

Steuerung

P

4-20mA

P

4-20mA

Zertifiziert für Einsatz in Schutzkreisen mit erf. Risikoreduzierung bis SIL 3

analoge nicht fehlersichere Geber

diskrepanzüberwachtbei Auftreten einer unterschiedlichen Signalgabe an beiden Sensoren wird ein Alarm in der Messwarte abgesetzt bzw. muss die Anlage abgeschaltet werden

Teilsystem Sensorik



fehlersichere Steuerung mit analogen Gebern in 2v3 Auswahl

Steuerung

P

4-20mA

P

4-20mA

P

4-20mA

Zertifiziert für Einsatz mit Risikoreduzierung bis SIL 3

analoge nicht fehlersichere Geber

diskrepanzüberwachtbei Auftreten eines Fehlers an einem Sensor kann dieser ermittelt werden. Ein Weiterbetrieb als 1v2 ist möglich

Teilsystem Sensorik


Fehlerausschlüsse nach EN 50156

Teilsystem Aktorik


Dokumentation Entlastung der Verantwortlichen im Schadensfall nur durchausreichende Dokumentation möglich

Lebenslauf des Schutzkreises mit Einstufungen

Ausführung, Datenblätter derEinzelkomponenten

rechnerischer bzw. argumentativer Nachweis für die Eignung des Schutzkreises

durchgeführte Wartungen

Änderungen am Schutzkreis


Vielen Dank für Ihre Aufmerksamkeit!

Date post:	27-Jan-2017
Category:	Engineering
Upload:	ie-net-ingenieursvereniging-vzw
View:	189 times
Download:	0 times

SIL in der Praxis (GER)

Engineering