SIL Verifikation

Höchster
Sicherheit 2015
Quelle: Infraserv Höchst
Hauptsitz in Brühl, Deutschland
2
Weltweites Netzwerk
Länder mit HIMAVertretern vor Ort
Länder mit HIMAPartnerschaften
3
Marktanteile
Deutschland
Marktführer
Europa
Marktführer
Weltweit
Ziel: Marktführer
4
Größte Auswahl an skalierbaren Sicherheitssystemen

Bewährte und verfeinerte Technologie

Technisch und wirtschaftlich optimale Lösung für jede Applikation

Dezentrale Applikationen via safeethernet

Integration mit allen Prozessleitsystemen (PLS)
5
Wir helfen, die richtigen Entscheidungen zu treffen

Safety Consulting

Weltweites Projektmanagement

Umfangreiche AnwendungsErfahrung und -Unterstützung

Technischer Service weltweit

Vor-Ort-Unterstützung bei
Inbetriebnahme und Wartung

Schulungen bei HIMA oder beim
Kunden vor Ort
6
SIL-Verifikation
im Sinne des FSM
1. SIL-Verifikation, was steckt dahinter
2. SIL-Verifikation Durchführung
• zu welchem Zeitpunkt sinnvoll, wo
notwendig
• benötigte Informationen und..
..in welchen Phasen werden diese
erzeugt
3. SIL-Verifikation Anspruch und
Wirklichkeit
SIL-Verifikation, was steckt dahinter
9
Aufgabenstellung SIL-Verifikation
Weise nach bzw. überprüfe, dass eine bestimmte SIF
(Sicherheitstechnische Funktion) die Anforderungen des
zugewiesenen SIL (Safety Integrity Level) erfüllt.
LS++
LC
EUC
Tank
ABER AUCH: Weise nach bzw. überprüfe, dass diese SIF die
Anforderungen im Rahmen der Gesamtfunktion der Anlage und der
Risikoanalyse sinnhaft erfüllt!
10
Kernaspekte der Sicherheitsintegrität
Vermeidung
systematischer Fehler
Management der
Funktionalen Sicherheit
(FSM)
Beherrschung
systematischer und
zufälliger Fehler
Diagnose u.
Fail Safe Design (SFF) /
Redundanzen (HFT)
Ermittlung der
Wahrscheinlichkeit eines
zufälligen Ausfalls
PFD-Berechnung
Der Sicherheitsintegritätslevel (SIL) ist vor allem auch ein qualitatives Maß
für die Umsetzung der Sicherheitstechnischen Funktion (SIF)
11
Sicherheits-Integritätslevel (Safety Integrity Levels)
Anforderungsbetriebsart
SIL
PFD
RRF
Sicherheits-Integritätslevel
(Safety Integrity Level)
Zielwert für die mittlere
Ausfallwahrscheinlichkeit bei Anforderung
(Probability of failure on demand)
Zielwert für Risikominderung
(Risk Reduction Factor)
SIL 4
>=10-5 to <10-4
100000 to 10000
SIL 3
>=10-4 to <10-3
10000 to 1000
SIL 2
>=10-3 to <10-2
1000 to 100
SIL 1
>=10-2 to <10-1
100 to 10
SIL: Ein Performancekriterium einer Sicherheitstechnischen
Funktion (SIF), das unter anderem die Wahrscheinlichkeit
beschreibt, mit der eine SIF bei einem Störfall den Dienst versagt.
12
Anforderungen an die Systemarchitektur
(gem. – DIN EN 61511 bzw. DIN EN 61508)
DIN EN 61511
Anforderung an die
Sensoren, Aktoren, nicht
progr. Logiksysteme
SIL
Mindest-Hardware-Fehlertoleranz
1
0
2
1
3
2
4
Es gelten besondere Anforderungen. Siehe DIN EN 61508
Safe Failure Fraction
Typ A
Typ B
--0% ...< 60%
0% ...< 60% 60% ...< 90%
60% ...< 90% 90% ...< 99%
≥ 90%
≥ 99%
Hardware
N=0
--SIL1
SIL2
SIL3
Fehlertoleranz N
N=1
N=2
SIL1
SIL2
SIL2
SIL3
SIL3
SIL4
SIL4
SIL4
DIN EN 61508
13
Design und Verifizierung sicherheitstechnischer Funktionen
Spezifikation inkl. erforderlicher SIL
(note 1)
SIL CAPABILITY beachten!
Auswahl geeigneter Geräte (note 1)
/Festlegung der Architektur
Verifizierung der Architekturanforderungen
gem. HFT
HFT Anforderungen bez. SIL
erfüllt?
nein
ja
Verifizierung der geforderten
Ausfallwahrscheinlichkeit (PFD)
PFD Anforderungen bez. SIL
erfüllt?
nein
ja
Hardware Design Verifiziert
14
Apropos Auswahl geeigneter Geräte
SIL Zertifikate ersetzen keine Geräteauswahl „mit Sachverstand“
bzgl. der Eignung für den Prozess !
Einbau
Energieversorgung
Sicherheitsstellung
Anschlüsse
Hilfsenergie
Medienkontakt
Verwendungshäufigkeit
Umwelteinflüsse
Verschleiß / Lebensdauer
Präzision
Prüfbarkeit & Diagnose
15
SIL-Verifikation – Durchführung
zu welchem Zeitpunkt sinnvoll, wo notwendig
16
zu welchem Zeitpunkt sinnvoll, wo notwendig
Spätestens nach der Entwurfs- und Planungsphase sollte die SIL Verifikation durchgeführt werden,
aber…
Gefahrenanalyse
(z.B. HAZOP)
Risikobewertung /
SIL
Einstufung
Spezifikation
der Sicherheitsanforderungen
(SRS)
Entwurf und
Planung des
SIS
Einflussmöglichkeiten mit Weitblick:
wurde angestrebte „SIL“-Funktion sinnvoll definiert
bzw. ist sie technisch, finanziell realisierbar?
Verifikation
der
Sicherheitsfunktionen
(SIL
Verifikation)
Teilebestellung
und Montage
des SIS
SAT und
Inbetriebnahme
Abweichungen?
Modifikationen?
„zurück auf Los“
17
SIL-Verifikation – Durchführung
benötigte Informationen und..
..in welchen Phasen werden diese erzeugt
18
In einer idealen Welt
Management
und
Beurteilung der
Funktionalen
Sicherheit
und Audits
Aufbau und
Planung des
Sicherheitslebenszyklus
Gefährdungs- und Risikobeurteilung
Verifikation
Zuordnung der Sicherheitsfunktionen zu den Schutzebenen
Spezifikation der Sicherheitsanforderungen (SRS) an das SIS
SIL-Verifikation
Entwurf und Planung des Sicherheitstechnischen Systems (SIS)
Entwurf und Planung anderer
Maßnahmen zur Risikominderung
Montage, Inbetriebnahme und Validierung
Betrieb und Instandhaltung
Modifikation
Außerbetriebnahme
19
Beispiel SRS Allgemein und Detail
21
Benötigte Planungsunterlagen für Verifikation
R&I
Stromlaufpäne
Gerätetdaten u. zugehörige Dokumente
22
Benötigte Geräteinformationen
 Für jedes aktive Gerät im Sicherheitskreis
– Hersteller und exakte Typenbezeichnung
– SIL Zertifikat (z.B. TÜV, Exida, Lloyds, …)
oder Herstellererklärung
inkl. zugehörigem Report
(keine ATEX Zertifikate) :-)
– Sicherheitsdatenblatt – Fehlerdaten (SIL, PFD, SFF,
λDU, λDD , λSU, λSD
– Konfigurationsvariante (z.B. MAX-Level, 2/3-wire RTD
(close coupled))
– Sicherheitshandbuch / Safety Manual
 Anzahl und Verschaltung der eingesetzten Geräte
(Redundanz – 1oo2, 1oo3, 2oo2, 2oo3)
23
SIL- Verifikation Anspruch und Wirklichkeit
Stichwort „Berechnungen“
24
SIL Verifikation = SIL Berechnungen?
Sensoren
Logiksystem
SIL
Aktoren
Berechnung
25
Blick durchs Schlüsselloch
Aufgabenstellung: SIL Berechnung für Schutzfunktion mit SIL2 Anforderung
LS++
EUC
SIF Beschreibung:
Überwachung des
Tanklevels (LS++) und
schließen des Zulaufventils
Tank
Ist doch ganz einfach!
Oder ?
27
Das volle Bild – ganzheitliche Verifikation
Vermischung von Schutz- und Regelfunktion
LS++
LC
EUC
Tank
SIF:
Überwachung des
Tanklevels (LS++) und
schließen des Zulaufventils
wenn die
Betriebseinrichtung zur
Füllstands-Regelung (LC)
versagt (Störung)
Das Regelventil selbst kann die Ursache sein  in der Regel
kein SIL2 erreichbar
28
SIL- Verifikation Anspruch und Wirklichkeit
Brownfield vs. Greenfield“
29
Brownfield vs Greenfield
Brownfield (Bestandsanlagen)

Vorteil: Betriebserfahrung liegt vor
 Aber meist Bestandsequipment ohne Nachweismöglichkeit (alt, fehlende
Herstellerdaten oder Betriebsaufzeichnungen)

Veraltete Unterlagen, verlorengegangene Informationen über Original-Design
Greenfield (Neu-Anlagen)

Es liegt in der Regel keine Betriebserfahrung vor

Vorteil: SIL konforme Geräte sind zwar verfügbar
 Aber: Probleme bei der Auswahl durch fehlende Orientierung im „SIL Dschungel“

Blick auf die Gesamtfunktion im Prozess geht verloren (durch Modularisierung und
fehlendes FSM)
 Viele Modifikationen im Projektverlauf ohne ausreichende Einflussanalyse
30
SIL- Verifikation Anspruch und Wirklichkeit
Allgemeine Herausforderungen
31
Safety Requirement Specification (SRS)  Fehlanzeige
Liegt entweder gar nicht oder unvollständig vor
32
ein „Puzzle“ – relevante Informationen zusammentragen
R&I
Risikoanalyse
Ursache&Wirkung
Stromlaufplan
Gerätetdaten u. Dokumente
33
Funktionale Sicherheit
Auf die Reihenfolge kommt es an 
Idealer Ablauf
Gefahrenanalyse
(z.B. HAZOP)
Risikobewertung /
SIL
Assessment
Spezifikation
der Sicherheitsanforderungen
(SRS)
Entwurf und
Planung des
SIS
Verifikation
der
Sicherheitsfunktionen
(SIL
Verifikation)
Entwurf und
Planung des
SIS
Teilebestellung
und Montage
des SIS
Teilebestellung
und Montage
des SIS
SAT und
Inbetriebnahme
Realer Ablauf ??
Gefahrenanalyse
(z.B. HAZOP)
Risikobewertung /
SIL
Assessment
Spezifikation
der Sicherheitsanforderungen
(SRS)
SAT und
Inbetriebnahme
Verifikation
der
Sicherheitsfunktionen
(SIL
Verifikation)
Potential für
Modifikationen
aufgrund
Verifikationsergebnis
34
Auswirkung von unzureichender SIF Definition
Definition von Primär- und Sekundärfunktionen
„Trip Plant, Stop Feed to FuelBurner“
Fehler in der
ESD Funktion
OR
OR
ErdungsOR punkt1
ELEX
Erdung
ErdungsOR punkt2
EVNT
EVNT
EVNT
EVNT
Erdungsschalter
Relais
Erdungsschalter
Relais
Air
OR
3, 4, 5 • • •
•• •
ErdungsOR punkt 6
•••
ErdungsOR Interface
OR
Primary
Air
Blower
OR
OR
EVNT
EVNT
EVNT
EVNT
Relais
Relais
Schütz
Schütz
Secondary
Air
Blower
Slide
Gate 1
OR
AND
EVNT
Slide
Gate 1
EVNT
Hydraulic
Unit 1
EVNT
Motor
Akku/
Hydr.
BlasenPump 1 speicher1
OR
Slide
Gate 2
•••
Slide
Gates
OR
Slide
Gate 3
OR
Slide
Gate 4
AND
•• •
EVNT
Slide
Gate 4
EVNT
EVNT
Motor
Akku/
Hydr.
BlasenPump 4 speicher 4
35
Zertifikate und Ihre Probleme (1)
Safety Manual
Zertifikat
36
Proof test coverage & test frequency (1)
37
Proof test coverage & test frequency (2)
38
Zertifikate und Ihre Probleme (2)
„SIL2 Ventil“
„SIL2 Ventil“ – aber nur mit Partial Stroke Test
39
FAZIT: SIL Verifikation – mehr als nur Berechnungen
λ / PFD
41
Danke für Ihre Aufmerksamkeit
Haben Sie noch weitere Fragen?
Fred Stay

Download Report