Funktionale Sicherheit Sicherheits-Integritätslevels (SIL): Bestimmung nach DIN EN 50156-1 Anlage Hersteller KKS-Nr. Bezeichnung im Klartext RI-Fliessbild-Nr. Verhinderung der Überhitzung der Brennkammerwandung Aufgrund fehlendem Kesselwasser Gefährliches Ereignis (Ereigniskette): Absinken des Wasserstands unter den Bereich der Rauchrohre/Flammrohr • • • • Feuerung unzureichende Kühlung der Rauchrohre/Flammrohr unzulässig hohe Rohrwandtemperaturen Rohrreisser (nicht unmittelbar) unkontrollierter Dampfaustritt Ursache: Versagen der Niveauregeleinrichtung; Speiseventil defekt bzw. öffnet nicht Aktion: Abschalten der Beheizung bei Unterschreitung eines festgelegten Wasserstands (NW) bei einem Dampfkessel (Grosswasserraumkessel). Gefahrenbereich: gesamtes Kesselhaus Erforderlicher Sicherheits-Integritätslevel: keine Sicherheitsanforderungen; a keine besonderen Sicherheitsanforderungen; 1, 2, 3, 4 sicherheitsbezogene Anforderungsstufen; b einfaches Schutzsystem nicht ausreichend Bestimmung der Risikoparameter: Folgen des gefährlichen Ereignisses: C1 leichte Verletzung; C2 schwere irreversible Verletzung einer oder mehrerer Personen, Tod einer Person; C3 Tod mehrerer Personen; C4 sehr viele Tote. ☐ ☐ ☒ ☐ Häufigkeit und Dauer des Aufenthalts im Gefahrenbereich: F1 selten bis öfter; F2 häufig bis dauernd. ☒ ☐ Möglichkeit der Abwendung des gefährlichen Ereignisses: P1 möglich unter bestimmten Bedingungen; P2 kaum möglich. ☒ ☐ Eintrittswahrscheinlichkeit des unerwünschten Ereignisses: W1 sehr geringe Wahrscheinlichkeit; W2 geringe Wahrscheinlichkeit; W3 relativ hohe Wahrscheinlichkeit. ☐ ☒ ☐ Ergebnis der Einstufung: Sicherheits-Integritätslevel SIL 1 Begründung für die Wahl der Risikoparameter: Schadenausmass (C): Der unkontrollierte Austritt einer grossen Dampfmenge in das gesamte Kesselhaus kann nicht ausgeschlossen werden. Eine kontrollierte Zugangsbeschränkung in das gesamte Kesselhaus besteht in der Regel nicht. Infolge der Gefährdung durch Verbrühen und Ersticken besteht die Gefahr mehrerer Toter. Aufenthaltsdauer (F): Eine Person ist täglich für Kontroll- und Messzwecke kurzfristig im Kesselhaus. Eine bis zwei Personen sind gelegentlich für Reparaturarbeiten, etc. im Kesselhaus. Gefahrenabwendung (P): Der Betrieb wird durch ausgebildete Personen (Bediener) ständig überwacht. Der Kesselwasserstand ist erkennbar. Die Entwicklung des gefährlichen Ereignisses (bis zum Aufreissen von Rohren) ist nicht plötzlich. Die Zeit zwischen der Warnung des Bedieners und dem Aufreissen von Rohren ist ausreichend für erforderliche Massnahmen (Evakuierung, Prozesseingriff). Es ist sicher zu stellen, dass die Massnahmen unabhängig und rückwirkungsfrei vom Schutzsystem funktionieren. Eintrittswahrscheinlichkeit (W): Die betriebliche Leittechnik (Betriebsautomaten und Speisewasserregelung) ist eine Massnahme zur Reduzierung der Eintrittswahrscheinlichkeit. Es ist sicher zu stellen, dass sie unabhängig und rückwirkungsfrei vom Schutzsystem funktioniert. 16.04.2015 Seite 1 von 2 Ihr Ansprechpartner: Ing. Anton Sulovsky, Sachverständiger Elektro- und MSR-Technik (TÜV-Functional Safety Expert)  Hohenrainstrasse 10, CH-4133 Pratteln  +41 44 877 61 96  [email protected] Schutzziel: Bauart Funktionale Sicherheit Sicherheits-Integritätslevels (SIL): Verifizierung nach DIN EN 50156-1 Das Schutzsystem unterliegt folgenden Gesetzen / Rechtsverordnungen / technischen Regeln usw. StFV ☐ DIN EN 12952 ☒ DGRL ☐ DIN EN 12953 ☐ sonst. ☐ DIN EN 746 ☒ sonst. ☒ Sensor Gerätetechnische Daten Bezeichnung (Elektro und Logik Aktuator Hersteller Typ Eignungsnachweis Konfiguration Grenzwerteinstellung ☐ SIL ☒ BKZ ☒ Sonstiges ☐ 1oo1 ☐ 1oo2 ☐ 2oo2 ☒ 2oo3 ☒ min. ☐ max. Im Rahmen dieser Variante der SIL-Verifizierung ist eine Fehlersichere-SPS zwingend erforderlich. R+I Schema) Grenzwert:……………………................................ Fehleraufdeckungsgrad ☐ kein ☐ mittel ☒ einfach ☐ hochwertig ☒ SIL ☒ BKZ ☐ Sonstiges ☐ 1oo1 ☒ 1oo2 ☐ 2oo2 ☐ 2oo3 ☐ kein ☒ mittel ☐ einfach ☐ hochwertig Betriebsintervall zwischen zwei Prüfungen: Prüfanweisung liegt vor: ☐ ≤ 1 Monat ☐ ≤ 6 Monate ☒ ≤ 12 Monate ☐ Ja ☒ Nein ☒ Ist noch zu erstellen Begründung für die Wahl des Fehleraufdeckungsgrades: zu Fehleraufdeckungsgrad Sensor (einfach) • Diskrepanzüberwachung zwischen den Gebern, Alarmierung des einzelnen Gebers 1von3 zu Fehleraufdeckungsgrad Aktuator (mittel) • Endlagenüberwachung mit Plausibilitätsprüfung • Laufzeitüberwachung zw. Ansteuerbefehl und Erreichen der Endlage • Dichtigkeitstest der Absperrarmaturen für gasförmige Brennstoffe vor erstmaligem Brennerstart nach Vorbelüftung * Die ausgewählte Stufe des Fehleraufdeckungsgrades muss entsprechend der Angaben programmiert und überprüft werden. Weitere Gegenmassnahmen: Sicherheitsfunktion erfüllt die sicherheitsbezogene Anforderung Unterschriften Datum ☒ Ja ☐ Nein Unterschrift Investor Anlageplaner Hersteller Betreiber Sachverständiger 16.04.2015 Seite 2 von 2 Ihr Ansprechpartner: Ing. Anton Sulovsky, Sachverständiger Elektro- und MSR-Technik (TÜV-Functional Safety Expert)  Hohenrainstrasse 10, CH-4133 Pratteln  +41 44 877 61 96  [email protected] Teil der Sicherheitsfunktion