← Zurück zu Gesundheit & Sicherheit Kategorie

Funktionale Sicherheit in der Prozessindustrie verstehen

Wie gut verstehen Sie den Begriff funktionale Sicherheit? Können Sie beschreiben, warum es internationale Normen gibt, die speziell die funktionale Sicherheit betreffen, welche Teile dieser Normen für Engineering- oder Management-Aktivitäten gelten und welche Maßnahmen erforderlich sind, um die Einhaltung sicherzustellen?

Peter Stabler, BPE

Peter Stabler, BPE

Das führende Verfahrenstechnikunternehmen BPE, das für seine Arbeit im Bereich der Prozesssicherheit ausgezeichnet wurde, hat das Thema erforscht, um sicherzustellen, dass seine Kunden die Nase vorn haben.

Sein Mitarbeiter Peter Staber hat ein Whitepaper geschrieben, in dem er die Schlüsselfragen der Ingenieure in Bezug auf funktionale Sicherheit und die Frage, wie Hersteller sicherstellen können, dass sie auf der richtigen Seite der Vorschriften bleiben, untersucht.

Hier teilt er Einblicke aus dem BPE Whitepaper.

Das unmittelbare Problem ist das Risiko, dass Sicherheitsregulatoren in Mitleidenschaft gezogen werden. Obwohl die Einhaltung funktionaler Sicherheitsstandards keine gesetzliche Anforderung ist, werden sie von den Aufsichtsbehörden weithin als "best practice" angesehen. Im Vereinigten Königreich sind die Sicherheitsvorschriften im Allgemeinen nicht vorgeschrieben, sondern verlangen von Anlagenbetreibern, dass sie bewährte Verfahren anwenden, um die Sicherheit ihrer Betriebe zu gewährleisten.

Folglich fordert der HSE zunehmend den Nachweis, dass in den in Großbritannien ansässigen Prozessanlagen tatsächlich die beste Praxis eingeführt wurde. Der Nachweis der Einhaltung sowohl der technischen als auch der Managementaspekte der funktionalen Sicherheitsstandards liefert eindeutige, dokumentierte und überprüfbare Beweise dafür.

Es gibt jedoch eine positivere Motivation für Unternehmen, die Einhaltung von Standards für funktionale Sicherheit zu suchen - sie sind aus gutem Grund die beste Praxis. Unternehmen, die die Standards einhalten, profitieren von einem umfassenden, "verbundenen" und innovativen Ansatz für das Sicherheitsmanagement.

Der Grund dafür ist, dass die Standards mehr als eine enge technische Anleitung enthalten. Ebenso wichtig sind die Management-Praktiken, die implementiert werden müssen, um sowohl die anfängliche als auch die fortlaufende Einhaltung sicherzustellen.

In dieser Hinsicht haben Standards für funktionale Sicherheit viele Gemeinsamkeiten mit Qualitätsstandards - sie erfordern, dass Unternehmen, die die Vorschriften einhalten, einen systematischen und überprüfbaren Managementansatz festlegen und anwenden. Anders gesagt, Compliance erfordert die Implementierung eines "Managementsystems", das den gesamten Lebenszyklus von sicherheitstechnischen Systemen regelt.

Parallel zu technischen Aufgaben im Zusammenhang mit der Spezifikation, Auslegung, Installation und Verifizierung von sicherheitstechnischen Systemen müssen Managementaktivitäten durchgeführt werden, um beispielsweise die Angemessenheit der Lieferanten, die Kompetenz des Personals und die Dokumentation der durchgeführten Aufgaben zu gewährleisten. Das Erreichen und Aufrechterhalten der Einhaltung von Standards für funktionale Sicherheit hilft Unternehmen, nicht nur die Sicherheit ihrer Betriebsabläufe zu gewährleisten, sondern auch, dass sie ihren Betrieb effektiv verwalten.

Risikomanagement in der chemischen Prozessindustrie

Der funktionale Sicherheitsstandard IEC 61508: 2010 definiert Sicherheit als "Freiheit von inakzeptablen Risiken". Diese Definition impliziert, dass die Einhaltung des Standards sowohl ein Verständnis des aktuellen Risikoniveaus als auch eine Entscheidung darüber erfordert, ob diese Risiken akzeptabel sind oder nicht. In der chemischen Prozessindustrie müssen Anlagenbetreiber das Risiko für ihre Prozessabläufe systematisch abschätzen und Kriterien für die Akzeptanz dieser Risiken definieren.

Das Engineering-Risiko ist definiert als das Produkt der Häufigkeit des Auftretens eines gefährlichen Ereignisses und der mit dem Ereignis verbundenen Konsequenzen. Risikoniveaus können daher gemildert werden, indem entweder die Häufigkeit des Auftretens eines gefährlichen Ereignisses reduziert wird oder indem mögliche Folgen minimiert werden.

Natürlich sind ausgereifte Prozessanlagen so ausgelegt, dass sie das Risiko durch die Einführung von Good Engineering Practice (GEP) minimieren. Designer können eine Anzahl von unabhängigen Schutzschichten enthalten, um die Häufigkeit oder die Folgen von gefährlichen Ereignissen zu reduzieren.

Beispiele für solche Schutzschichten könnten Druckentlastungsventile sein (einschließlich der geeigneten Behandlung von entlüfteten Gasen), das Prozesskontrollsystem der Anlage oder physische Barrieren, wie etwa Bonds, die die Ausbreitung von verschütteten Gasen reduzieren.

Diese traditionellen Maßnahmen zur Risikokontrolle sind heute genauso gültig wie sie es immer waren. Funktionale Sicherheitsstandards erkennen solche Maßnahmen zur Risikominimierung an und ermöglichen es Prozessanlageneignern, entsprechende Risikoreduzierungen zu berücksichtigen.

Formale Techniken wie eine Schichtschutzanalyse (LOPA) wurden entwickelt, um eine systematische Bewertung bestehender Schutzschichten zu ermöglichen und die Risikoreduzierungen zu quantifizieren. Die Schutzschichten, die normalerweise in einer LOPA berücksichtigt werden, sind unten aufgeführt.

Funktionale Sicherheit - Schutzschichten betrachtet LOPA

Abbildung 1: Schutzschichten, die in einer LOPA berücksichtigt werden

Nach Berücksichtigung vorhandener Schutzschichten können weitere Risikoreduzierungen durch die Einführung von sicherheitstechnischen Systemen erreicht werden. IEC 61508: 2010 und die zugehörigen funktionalen Sicherheitsstandards wurden speziell entwickelt, um sicherzustellen, dass solche Systeme (und Komponentengeräte) während ihres gesamten Lebenszyklus korrekt entwickelt und verwaltet werden. Die Einhaltung der Standards stellt sicher, dass das für ein sicherheitstechnisches System geforderte Maß an Risikominderung tatsächlich in der Praxis umgesetzt wird.

Funktionale Sicherheit und sicherheitstechnische Systeme

Industriefachleute beziehen sich unterschiedlich auf die Kombination eines Sensors, einer logischen Steuerung und eines Endelements (möglicherweise ein betätigtes Ventil oder ein Motorstarter) als ein sicherheitstechnisches System, ein instrumentiertes Sicherheitssystem, eine SIL-Schleife (Safety Integrity Level), ein automatisierter Schutz System oder ein sicherheitsbezogenes System. Für den Rest dieses Artikels werden wir weiterhin den Begriff "sicherheitstechnisches System" oder "SIS" verwenden.

Der IEC 61508: 2010-Standard definiert die funktionale Sicherheit als "Teil der Gesamtsicherheit in Bezug auf den Prozess und sein Prozessleitsystem, die von der korrekten Funktion der sicherheitstechnischen Systeme und anderen Risikominderungsmaßnahmen abhängt". Der Schwerpunkt liegt auf dem "korrekten Funktionieren eines sicherheitstechnischen Systems" - wenn andere Risikominderungsmaßnahmen berücksichtigt wurden. (Siehe Abbildung 2).

Funktionale Sicherheit - SIS-Schutzschichten

Abbildung 2: SIS und andere Schutzebenen

Um eine funktionale Sicherheit zu erreichen, muss ein sicherheitstechnisches System wie geplant und mit einer hohen Erfolgswahrscheinlichkeit funktionieren. Mit anderen Worten, funktionale Sicherheit bedeutet, dass, sobald alle vorhandenen Schutzschichten berücksichtigt sind, der zusätzliche Risikoreduktionsfaktor, der vom SIS gefordert wird, tatsächlich realisiert wird.

Funktionale Sicherheit ist daher das vorrangige Ziel bei der Spezifizierung, Auslegung, Installation und Wartung eines SIS. Um ein akzeptables Niveau an funktionaler Sicherheit zu erreichen, müssen sowohl das Engineering als auch das Management des SIS während seines gesamten Lebenszyklus den Standards entsprechen.

Es ist auch wichtig zu betonen, dass die Einhaltung von IEC 61508: 2010 und verwandten Standards nur dann erforderlich ist, wenn die behauptete Risikoreduktion eines SIS gleich oder größer als ein Faktor von 10 ist. In der Tat basieren die Normen auf dem Konzept der Verringerung der Größenordnung des Risikos für sicherheitstechnische Systeme.

Jede Verringerung der Größenordnung wird als "Sicherheitsintegritätslevel: oder" SIL "bezeichnet. Funktionale Sicherheitsstandards erfordern zunehmend strengere Engineering- und Managementprozesse, da die SIL-Level steigen.

Sicherheitsinstrumentierte Systeme sind keine Prozessleitsysteme

Sicherheitsinstrumentierte Systeme unterscheiden sich von Prozessleitsystemen. Sie sind so ausgelegt, dass sie eine "letzte Schutzschicht" bilden, um im Falle eines gefährlichen Ereignisses Personen oder die Umwelt zu schützen.

Ein sicherheitstechnisches System unterscheidet sich von einem Prozessleitsystem darin, dass es in seltenen Intervallen mit einer hohen und vorhersagbaren Erfolgswahrscheinlichkeit arbeiten muss. Im Gegensatz dazu sind Prozesssteuerungssysteme so ausgelegt, dass sie kontinuierlich arbeiten, um Prozessvariablen innerhalb vordefinierter Bereiche zu halten.

Sicherheitstechnische Anlagen sitzen "oben" auf der Prozessanlage und dem zugehörigen Prozessleitsystem - nur dann, wenn sie auf ein gefährliches Ereignis reagieren müssen, um einen Unfall zu vermeiden. Die intermittierenden Anforderungen an sicherheitstechnische Systeme erfordern, dass diese in regelmäßigen Abständen gewartet und getestet werden.

Dies ist ein Schlüsselmerkmal der Anforderungen der Normen. Sicherheitsinstrumentierte Systeme müssen so funktionieren, wie sie gebraucht werden - mit hoher Erfolgswahrscheinlichkeit. Funktionale Sicherheitsstandards bieten einen Rahmen für die Quantifizierung und Rechtfertigung der Wahrscheinlichkeit, dass ein SIS bei Bedarf wie beabsichtigt funktioniert.

Wie zuvor diskutiert, können Prozesssteuersysteme auch eine Schutzschicht zum Verhindern von Schaden bereitstellen. Sie dürfen jedoch nicht als SIS verwendet werden, und der geforderte Risikominderungsfaktor darf 10 nicht überschreiten.

Der Sicherheitslebenszyklus

Ein wesentliches Merkmal funktionaler Sicherheitsstandards ist das Konzept eines Sicherheitslebenszyklus für sicherheitstechnische Systeme. (Siehe Abbildung 3).

Funktionale Sicherheit - Der Sicherheitslebenszyklus

Abbildung 3: Der Sicherheitslebenszyklus (IEC 61511: 2003)

Das Konzept des Sicherheitslebenszyklus entstand nach zahlreichen Studien zu SIS-Ausfällen, die zu Unfällen führten. Eine maßgebliche Studie des HSE * zeigte, dass eine schlechte Spezifikation des SIS die Hauptursache für 44% der Ausfälle war, die von solchen Systemen erfahren wurden. Ein weiterer 21% wurde durch Änderungen nach der Inbetriebnahme verursacht.

* Außer Kontrolle: Warum Steuersysteme schief gehen und wie man Fehler verhindert; Sheffield (UK) Gesundheit und Sicherheit, 1995.

Das Konzept des Sicherheitslebenszyklus befasst sich daher sowohl mit Engineering- als auch mit Managementfragen in Bezug auf sicherheitstechnische Systeme. Die Verwaltung des SIS-Sicherheitslebenszyklus ist von entscheidender Bedeutung, um sicherzustellen, dass sicherheitstechnische Systeme nicht nur dort entwickelt und installiert werden, wo sie benötigt werden, sondern dass sie die geforderte funktionale Sicherheit über den gesamten Sicherheitslebenszyklus von der Spezifikation bis zur Außerbetriebnahme erreichen.

Managementaktivitäten und funktionale Sicherheit

Die meisten Manager werden technische Aspekte der funktionalen Sicherheit verstehen und kennen. Begriffe wie "HAZOP", "Inbetriebnahmeplan" und sogar "FMEDA" und "LOPA" gehören zur Sprache moderner Anlagenplanung und -betrieb. Wie viele Führungskräfte sind jedoch mit den Managementaktivitäten vertraut, die auch für die funktionale Sicherheit erforderlich sind?

Funktionale Sicherheitsmanagement-Aktivitäten sind eine absolute Voraussetzung für die Einhaltung der Standards. Sie müssen in allen Phasen des SIS-Sicherheitslebenszyklus und in der SIS-Lieferkette vollständig angewendet werden. Sie berühren jede Person, jedes Unternehmen und jede Aktivität, die mit der Implementierung eines SIS verbunden ist.

Funktionale Sicherheitsmanagement-Aktivitäten werden in einem der wenigen vorschreibenden Teile der "Standards" beschrieben: IEC61508: 2010 Part 1, Abschnitt 6. Obwohl nur drei Seiten lang, scheint dieser Abschnitt sehr beunruhigend zu sein.

Beispiele für Managementaktivitäten, die zur Gewährleistung der funktionalen Sicherheit erforderlich sind, sind:

  • Bekenntnis zu einer umfassenden Politik und Strategie zur Erreichung funktionaler Sicherheit;
  • Klare Zuordnung von Verantwortlichkeiten zu verantwortlichen Personen;
  • Sicherstellung und Leitung der Kompetenz verantwortlicher Personen;
  • Angemessene Verwaltung der Kommunikation;
  • Angemessenes Management der Lieferanten;
  • Angemessene Nachverfolgung und Lösung von Empfehlungen;
  • Meldung und Analyse von gefährlichen Vorfällen; und
  • Angemessene Verwaltung der Dokumentation.


Vorsicht vor "versteckten" sicherheitstechnischen Systemen

Die letztendliche Verantwortung für die Einhaltung der Standards für funktionale Sicherheit liegt beim Endnutzer - dem Unternehmen, das das sicherheitstechnische System besitzt und auf dieses angewiesen ist. Der Endanwender muss nicht nur sicherstellen, dass die sicherheitstechnischen Systeme unter Einhaltung der funktionalen Sicherheitsstandards betrieben werden, sondern dass sie vor dem Betrieb korrekt spezifiziert, konstruiert und installiert werden.

Dies erfordert eine ganzheitliche Sichtweise, die nicht nur den Sicherheitslebenszyklus solcher Systeme umfasst, sondern auch ein stringentes Management der Lieferkette, die an der Schaffung solcher Systeme beteiligt ist. (Siehe Abbildung 5).

Funktionale Sicherheit - Sicherheitslebenszyklusfunktion

Abbildung 4: Die Einhaltung erfordert sowohl den Sicherheitslebenszyklus als auch die Lieferkette

Sicherheitsinstrumentierte Systeme können ihren Weg in eine Prozessanlage finden, ohne dass der Endanwender dies überhaupt bemerkt. Endbenutzer sollten sich vor sicherheitstechnischen Systemen hüten, die mit verpackten Geräten wie Mühlen, Zentrifugen, Trägheitssystemen, Heizkesseln, Brennern, Vakuumpumpen oder Stickstoffgeneratoren geliefert werden.

Wie viele davon kommen mit Füllstandmessumformern, Temperaturmessumformern oder Sauerstoffanalysatoren? Wovor schützt sich das SIS, und welche Konsequenzen hätte es, wenn das SIS bei Bedarf versagt?

Sicherheitsinstrumentierungssysteme können auch unangekündigt als Teil eines ATEX-konformen Ausrüstungspakets auf einer Baustelle erscheinen. ATEX-Ausrüstungslieferanten können Temperaturmessumformer verwenden, um sicherzustellen, dass die Oberflächentemperatur von Pumpengehäusen oder Lagern zum Beispiel die für die jeweilige ATEX-Zertifizierung geforderte Grenztemperatur nicht überschreitet.

Der Ausrüstungslieferant ist dafür verantwortlich, dass seine Ausrüstung für die spezifizierte ATEX-Bereichsklassifizierung geeignet ist, aber der Endbenutzer übernimmt die Verantwortung dafür, dass alle sicherheitstechnischen Systeme für ihren Zweck geeignet sind, tatsächlich die erforderlichen Leistungsmerkmale aufweisen und gewartet und verwaltet werden richtig - und es ist der Endbenutzer, der verantwortlich ist, wenn sie dies nicht tun.

Die richtige Lösung finden

Funktionale Sicherheitsstandards bleiben bestehen und der Nachweis der Einhaltung der Normen wird weiterhin unerlässlich sein, um "Best Practice" in der Anlagensicherheit zu demonstrieren. Endnutzer verstehen dies, verfügen jedoch häufig nicht über das Wissen und die Ressourcen, die erforderlich sind, um sicherzustellen, dass ihre Vorgänge den Anforderungen entsprechen. Die Nichteinhaltung von Vorschriften birgt nicht nur das Risiko, dass die Sicherheitsbehörden in Mitleidenschaft gezogen werden, sondern stellt auch eine verpasste Chance dar, einen innovativen Ansatz für das Sicherheitsmanagement zu implementieren.

Die Anforderungen für die Einhaltung der Standards für die funktionale Sicherheit hängen von der jeweiligen Stufe des Sicherheitslebenszyklus (s) und der Position ab, die ein Unternehmen in der Lieferkette einnimmt. Ein durchdachtes funktionales Sicherheitsmanagementsystem spezifiziert die Anforderungen für die Einhaltung dieser Prinzipien.

BPE bietet in Zusammenarbeit mit unseren Partnern SISLYNX ein systematisches und umfassendes funktionales Sicherheitsmanagementsystem, das eine kostengünstige Einhaltung der Standards für funktionale Sicherheit ermöglicht. Mit diesem System können wir:

  1. Bereitstellung eines unabhängigen "Gesundheitschecks", um den Endnutzern zu zeigen, dass bereits vorhandene sicherheitstechnische Systeme sowohl den technischen als auch den Managementanforderungen der funktionalen Sicherheitsstandards entsprechen oder etwaige Mängel identifizieren und Korrekturmaßnahmen vorschlagen;
  2. Bereitstellung einer unabhängigen Qualitätsprüfung, um sicherzustellen, dass neue integrierte Sicherheitssysteme gemäß den Anforderungen der Normen korrekt spezifiziert, entworfen und installiert werden;
  3. Bereitstellung eines fortlaufenden Compliance-Managements, einschließlich Wartung und Proof-Tests, Dokumentation, Dokumentenkontrolle und Überprüfung; und
  4. Bereitstellung umfassender und überprüfbarer Nachweise dafür, dass Managementprozesse vorhanden sind, die den Anforderungen der Standards entsprechen.

Viele Unternehmen haben Maßnahmen ergriffen, um die Standards für funktionale Sicherheit zu erfüllen, doch allzu oft frustriert ein mangelndes Verständnis dafür, was erforderlich ist (oder nicht), diese Bemühungen. Manager sollten sich fragen, ob sie sicher sind, dass Compliance erforderlich ist (oder nicht). Wenn Compliance gefordert ist, wird sie tatsächlich erreicht - und wie kann dies gezeigt werden? Sich auf ein unvollständiges Verständnis der funktionalen Sicherheitsstandards zu verlassen, ist keine akzeptable Option mehr.

Über den Autor

Peter Stabler BSc (Hons), PhD ist Associate Consultant bei der verfahrenstechnischen Firma BPE. Seine Karriere umfasst nahezu 30-Jahre in der Prozessentwicklungsbranche. Während dieser Zeit leitete er nationale und internationale Projekte für Unilever und James Finlay Ltd. Er ist spezialisiert auf die Feinchemie-, Pharma- und Nahrungsmittelindustrie.

Prozessindustrie Informer

Weitere Nachrichten

Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. erforderliche Felder sind markiert *

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.