Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen - Sicherheitslebenszyklus Teil 1: Analyse

Transkript

1 Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen - Sicherheitslebenszyklus Teil 1: Analyse A. Krause, L. Urbas Dresden,

2 Sicherheitslebenszyklus nach DIN EN [1] Teil 1: Analyse Gefährungs- und Risikobeurteilung Zuordnung der Sicherheitsfunktionen zu Schutzebenen Sicherheitslebenszyklus - Analyse Folie 2 von 46

3 GEFÄHRUNGS- UND RISIKOBEURTEILUNG Sicherheitslebenszyklus - Analyse Folie 3 von 46

4 Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (1/2) Phase: Gefährdungs- und Risikobeurteilung Ziele: Ermittlung von Gefährdungen und gefährlichen Ereignissen durch den Prozess, Bestimmung von Ereignisketten, die zu gefährlichen Ereignissen führen können, Bestimmung des Prozessrisikos, Bestimmung der Anforderungen zur Risikoreduzierung und der sicherheitstechnischen Funktionen Sicherheitslebenszyklus - Analyse Folie 4 von 46

5 Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (2/2) Phase: Gefährdungs- und Risikobeurteilung Anforderungen: DIN EN Abschnitt 8 Eingaben: Verfahrenstechnischer Entwurf, Auslegung, personelle Maßnahmen, Sicherheitsziele Ergebnisse: Beschreibung der Gefährdungen, der benötigten Sicherheitsfunktionen und der jeweiligen Risikoreduzierung Sicherheitslebenszyklus - Analyse Folie 5 von 46

6 Begriffe nach DIN EN [1] Gefährdung (en. hazard) - potentielle Schadensquelle Schaden (en. harm) physische Verletzung oder Schädigung der Gesundheit von Menschen, entweder direkt oder indirekt als ein Ergebnis von Schäden am Eigentum oder an der Umwelt Risiko (en. risk) Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrads dieses Schadens Sicherheitslebenszyklus - Analyse Folie 6 von 46

7 Anforderungen nach DIN EN [1] nur Anforderungen an das Ergebnis jede Arbeitstechnik kann verwendet werden, wenn sie für geeignet erachtet wird Betrachtung aller vorhersehbarer Umstände in der Prozessindustrie: frühzeitige vorläufige Gefährdungsund Risikoanalysen und Anwendung des Prinzips der Eigensicherheit (liegt außerhalb der DIN EN 61511) strukturierte Vorgehensweise bei komplexen Entwürfen oder neuen Prozessen (DIN EN Risikomanagement Verfahren zur Risikobeurteilung [2]) Sicherheitslebenszyklus - Analyse Folie 7 von 46

8 DIN EN [2] - Risikomanagement Schritte des Risikobeurteilungsprozesses Risikoermittlung Risikoanalyse Folgen analysieren qualitative, semi-quantitative und quantitative Schätzung der Wahrscheinlichkeit Beurteilung der Wirksamkeit eventuell vorhandener Schutzmaßnahmen Schätzung des Risikoniveaus Risikobewertung Sicherheitslebenszyklus - Analyse Folie 8 von 46

9 Gefährdungsanalyse qualitative Methoden [1] Sicherheits-Durchsprachen Checklisten Was-wäre-wenn-Analysen HAZOP (national PAAG genannt) FMEA Ursache-Wirkungsanalyse Sicherheitslebenszyklus - Analyse Folie 9 von 46

10 Eignung der Verfahren nach [2] Sicherheitslebenszyklus - Analyse Folie 10 von 46

11 Einflussfaktoren für die Verfahrensauswahl [2] Komplexität des Problems und des Verfahren Art und Grad der Ungewissheit der Risikobeurteilung verfügbare Informationen Zielsetzung Art und Menge der erforderlichen Ressourcen Zeit Grad des erforderlichen Fachwissens Datenerfordernisse Kostenaufwand Art des Ergebnisses quantitativ qualitativ Sicherheitslebenszyklus - Analyse Folie 11 von 46

12 Einschätzung der Einflussfaktoren nach [2] Sicherheitslebenszyklus - Analyse Folie 12 von 46

13 Weitere Betrachtung der folgenden Verfahren Induktive Verfahren (bottom-up) HAZard and OPerability study (HAZOP) Failure Mode and Effects Analysis (FMEA) Event Tree Analysis (ETA) Deduktive Verfahren (top-down) Fault Tree Analysis (FTA) Sicherheitslebenszyklus - Analyse Folie 13 von 46

14 Gefährungs- und Risikobeurteilung INDUKTIVE VERFAHREN Sicherheitslebenszyklus - Analyse Folie 14 von 46

15 HAZOP [3] nach IEC HAZard and OPerability Study Systematische Untersuchung des Prozesses durch Leitworte Sicherheitslebenszyklus - Analyse Folie 15 von 46

16 HAZOP: Beispiel [1] - Systembeschreibung Druckbehälter mit flüchtigem brennbarem Gas Schutzebene Fackel BPCS misst Stand und stellt Ventil BPCS PA+ P001 LC L001 VC V001 unabhängiger Druckmesser mit Hochalarm > Eingriff durch Bediener Nicht-PLT-Schutzebene z.b. Berstscheibe oder Sicherheitsventil Sicherheitslebenszyklus - Analyse Folie 16 von 46

17 Schutzebene Fackel BPCS PA+ P001 LC L001 VC V001 HAZOP: Beispielanalyse [1] Gegenstand Behälter Abweichung Ursachen Auswirkung Schutzeinrichtung Maßnahmen Hoher Durchfluss Versagen der Durchflussregelung Druck hoch 1) Versagen der Durchflussregelung 2) Brand in der Umgebung Niedriger oder kein Durchfluss Versagen der Durchflussregelung Druckanstieg Zerstörung des Behälters und Freisetzung in die Umgebung Keine maßgeblichen Folgen 1) Hoch-Alarm für den Druck 2) Flutungssystem 3) Druckentlastungsventil Bewertung der Entwurfsbedingungen für die Freisetzung des Druckentlastungsventils in die Umgebung Rückströmung Keine maßgeblichen Folgen Sicherheitslebenszyklus - Analyse Folie 17 von 46

18 FMEA nach DIN EN [4] Failure Mode and Effects Analysis in erster Linie auf die Untersuchung von Material- und Geräteausfällen abgestimmt anwendbar auf Systeme mit unterschiedliche Technologien (elektrisch, mechanisch, usw.) auf alle Ebenen des Systementwurfs anwendbar (System, Teilsystem, Komponente, Einheit), aber besonders für die untere Ebene (mit vielen Einheiten) geeignet liefert wesentliche Informationen für Diagnose- und Instandhaltungsverfahren Sicherheitslebenszyklus - Analyse Folie 18 von 46

19 FMEA: Beispiel [3] Sicherheitslebenszyklus - Analyse Folie 19 von 46

20 ETA nach DIN EN (VDE ) [6] Event Tree Analysis Visualisierung von Ereignisketten Identifizierung von Fehlerausbreitungspfaden Modellierung der Reihenfolge und Wechselwirkung verschiedener schadensmindernder Faktoren Bestimmung der Wahrscheinlichkeiten kann durch andere Verfahren ergänzt werden Schritt 1: Definition des Systems, das betrachtet werden soll Schritt 2: Ermittlung der zu betrachtenden Startereignisse Schritt 3: Ermittlung der schadensmindernden Faktoren und physikalischen Phänomene Schritt 4: Definition einer Reihenfolge und deren Ergebnisse sowie deren Quantifizierung Schritt 5: Analyse der Ergebnisse Sicherheitslebenszyklus - Analyse Folie 20 von 46

21 ETA: Beispielanalyse [1] Druck-Hoch- Alarm Reaktion des Bedieners Schutzebene Auswirkungen Wahrscheinlichkeit Ja 1. Keine Freisetzung von Stoffen 8 x 10-2 /Jahr Erfolg Erfolgreich? Ja 2. Entspannung über eine Fackel durch Schutzebene 8 x 10-3 /Jahr Überdruck 10-1 /Jahr 0,9 Erfolgreich? 0,1 Nein Erfolgreich? Nein Ja 3. Freisetzung in die Umgebung 4. Entspannung über eine Fackel durch Schutzebene 9 x 10-4 /Jahr 9 x 10-3 /Jahr Ausfall/Versagen Erfolgreich? Nein 5. Freisetzung in die Umgebung 1 x 10-3 /Jahr Aktuelles Risiko: 1 x 10-3 /Jahr + 9 x 10-4 /Jahr = 1,9 x 10-3 /Jahr Sicherheitslebenszyklus - Analyse Folie 21 von 46

22 Gefährungs- und Risikobeurteilung DEDUKTIVE VERFAHREN Sicherheitslebenszyklus - Analyse Folie 22 von 46

23 FTA nach DIN EN [5] Fault Tree Analysis geordnete graphische Darstellung zeigt die Ursachen und die Kombinationen von Ursachen, die zum Hauptereignis führen kann qualitativ oder quantitativ sein kann komplexe Systeme mit abhängigen Subsystemen untersuchen kann Wechselbeziehungen zwischen mechanischen, elektrischen und softwaretechnischen Teilsystemen darstellen Sicherheitslebenszyklus - Analyse Folie 23 von 46

24 FTA: Beispielanalyse [1] Überdruck 0,1/Jahr Ursachen für unerwünschtes Ereignis (Hauptereignis): Überdruck im Behälter Legende: Hauptereignis oder Zwischenereignis Äußere Ereignisse (Feuer) BPCS-Funktion versagt ODER-Gatter An anderer Stelle untersucht BPCS-Funktion versagt Sensor versagt Ventil verklemmt Grundereignis Sicherheitslebenszyklus - Analyse Folie 24 von 46

25 Kombination von induktiven und deduktiven Verfahren am Beispiel FTA [5] FTA + FMEA FTA + ETA (Ursachen- und Folgeanalyse) FTA + Markov-Modell FTA + binäres Entscheidungsdiagramm FTA + Zuverlässigkeitsblockdiagramm Sicherheitslebenszyklus - Analyse Folie 25 von 46

26 ZUORDNUNG DER SICHERHEITSFUNKTIONEN ZU SCHUTZEBENEN Sicherheitslebenszyklus - Analyse Folie 26 von 46

27 Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (1/2) Phase: Zuordnung der Sicherheitsfunktionen zu Schutzebenen Ziele: Zuordnung der Sicherheitsfunktionen zu den entsprechenden Schutzebenen und für jede sicherheitstechnische Funktion das zugehörige Sicherheits-Integritätslevel (SIL) Sicherheitslebenszyklus - Analyse Folie 27 von 46

28 Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (2/2) Anforderungen: DIN EN Abschnitt 9 Vorgaben: Eine Beschreibung der benötigten sicherheitstechnischen Funktionen einschließlich der Anforderungen an die Sicherheitsintegrität Ergebnisse: Eine Beschreibung der Zuordnung von Sicherheitsanforderungen Sicherheitslebenszyklus - Analyse Folie 28 von 46

29 Zuordnung zu den Schutzfunktionen Zuordnung jeder Sicherheitsfunktion Nicht-SIS- Schutzebene SIF Andere Schutzebenen SIL Sicherheitslebenszyklus - Analyse Folie 29 von 46

30 Begriff nach DIN EN [1] Sicherheitsfunktion Funktion, die von einem SIS, von einem sicherheitsbezogenen System anderer Technologie oder von externen Einrichtungen zur Risikominderung ausgeführt wird, mit dem Ziel, [..] einen sicheren Zustand für den Prozess zu erreichen oder aufrecht zu erhalten Sicherheitslebenszyklus - Analyse Folie 30 von 46

31 Begriff nach DIN EN [1] Sicherheitstechnisches System (en. Safety instumented system; kurz: SIS) Sicherheitstechnisches System zur Ausführung einer oder mehrerer sicherheitstechnischer Funktionen. Ein SIS besteht aus Sensor(en), Logiksystem und Aktor(en). Sicherheitslebenszyklus - Analyse Folie 31 von 46

32 Begriff nach DIN EN [1] Sicherheitstechnische Funktion (en. safety instrumented function; kurz: SIF) Funktion mit vorgegebenem SIL, die zum Erreichen der funktionalen Sicherheit notwendig ist. Eine sicherheitstechnische Funktion kann entweder eine sicherheitstechnische Schutzfunktion oder sicherheitstechnische Regelfunktion sein. Sicherheitslebenszyklus - Analyse Folie 32 von 46

33 Schutzebene [1] Schutzebene - jede unabhängige Maßnahme, die das Risiko durch Regelung oder Steuerung, Schutz- oder Schadensbegrenzungsmaßnahmen vermindert Dazu gehören auch: verfahrenstechnische und organisatorische Maßnahmen Öffentliche Maßnahmen in Notfällen Rundfunkinformation im Notfall Anlagenbezogene Maßnahmen in Notfällen Evakuierungsmaßnahmen Schadensbegrenzung Mechanische Systeme Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schadensbegrenzungseinrichtungen Betriebliche Überwachung Schutz Mechanische Systeme Prozessalarme mit Bedienereingriff Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schutzeinrichtungen Regelung und Überwachung Betriebs- und Überwachungseinrichtungen Prozessalarme Prozess Beispiel für Schutzebenen Sicherheitslebenszyklus - Analyse Folie 33 von 46

34 Begriffe [1] Sicherheitsintegrität mittlere Wahrscheinlichkeit, dass ein sicherheitstechnisches System die geforderten sicherheitstechnischen Funktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes anforderungsgemäß ausführt Sicherheits-Integritätslevel (SIL) eine von vier diskreten Stufen zur Spezifikation der Anforderungen für die Sicherheitsintegrität der sicherheitstechnischen Funktionen, die dem sicherheitstechnischen System zugeordnet werden, wobei SIL 4 den höchsten Grad, SIL 1 den niedrigsten darstellt Sicherheitslebenszyklus - Analyse Folie 34 von 46

35 Was heißt SIL 1 bis SIL 4 in quantitativen Werten? [1] Anforderungsbetriebsart SIL PFD avg Erforderliche Risikominderung bis < 10-4 > 10 4 bis bis < 10-3 > 10 3 bis bis < 10-2 > 10 2 bis bis < 10-1 > 10 bis 100 Betriebsart mit kontinuierlicher Anforderung SIL PFH (Ausfälle pro Stunde) bis < bis < bis < bis < Sicherheitslebenszyklus - Analyse Folie 35 von 46

36 Ziel: Risikominderung durch SIS [1] Sicherheitslebenszyklus - Analyse Folie 36 von 46

37 ETA: Beispielanalyse [1] Tolerierbares Risiko: 1 x 10-4 /Jahr Aktuelles Risiko: 1,9 x 10-3 /Jahr Druck-Hoch- Alarm Reaktion des Bedieners Schutzebene Auswirkungen Wahrscheinlichkeit Ja 1. Keine Freisetzung von Stoffen 8 x 10-2 /Jahr Erfolg Erfolgreich? Ja 2. Entspannung über eine Fackel durch Schutzebene 8 x 10-3 /Jahr Überdruck 0,1/Jahr 0,9 Erfolgreich? 0,1 Nein Erfolgreich? Nein Ja 3. Freisetzung in die Umgebung 4. Entspannung über eine Fackel durch Schutzebene 9 x 10-4 /Jahr 9 x 10-3 /Jahr Ausfall/Versagen Erfolgreich? Nein 5. Freisetzung in die Umgebung 1 x 10-3 /Jahr Sicherheitslebenszyklus - Analyse Folie 37 von 46

38 Mögliche Risikominderung durch weitere Schutzebene [1] Druck-Hoch- Alarm Reaktion des Bedieners Schutzebene 1 Schutzebene 2 Auswirkungen Wahrscheinlichkeit Ja 1. Keine Freisetzung von Stoffen 8 x 10-2 /Jahr Überdruck 10-1 /Jahr Erfolg 0,9 Erfolgreich? 0,1 Erfolgreich? Nein Erfolgreich? Nein Ja 2. Entspannung über eine Fackel 8 x 10-3 /Jahr Ja 3. Entspannung über eine Fackel 8 x 10-4 /Jahr Erfolgreich? Nein 4. Freisetzung in die Umgebung 9 x 10-5 /Jahr Ja 5. Entspannung über eine Fackel 9 x 10-3 /Jahr Ausfall/Versagen Erfolgreich? Ja 6. Entspannung über eine Fackel 9 x 10-4 /Jahr Nein Erfolgreich? Nein 7. Freisetzung in die Umgebung 1 x 10-4 /Jahr Realisierbares Risiko: 1,9 x 10-4 /Jahr > 10-4 /Jahr Sicherheitslebenszyklus - Analyse Folie 38 von 46

39 Mögliche Risikominderung durch SIS [1] Druck-Hoch- Alarm Reaktion des Bedieners SIS Schutzebene Auswirkungen Wahrscheinlichkeit Ja 1. Keine Freisetzung von Stoffen 8 x 10-2 /Jahr Überdruck 10-1 /Jahr Erfolg 0,9 Erfolgreich? Erfolgreich? Nein 0,99 Erfolgreich? 0,01 Nein Ja 2. Keine Freisetzung von Stoffen 9 x 10-3 /Jahr Ja 3. Entspannung über eine Fackel 8 x 10-5 /Jahr Erfolgreich? 0,1 0,99 Ja Nein 4. Freisetzung in die Umgebung 5. Keine Freisetzung von Stoffen 9 x 10-6 /Jahr 1 x 10-2 /Jahr Ausfall/Versagen Erfolgreich? 0,01 Nein Ja Erfolgreich? 6. Entspannung über eine Fackel 9 x 10-5 /Jahr Nein 7. Freisetzung in die Umgebung 1 x 10-5 /Jahr Realisierbares Risiko: 1,9 x 10-5 /Jahr < 10-4 /Jahr Sicherheitslebenszyklus - Analyse Folie 39 von 46

40 Bestimmung des Sicherheits-Integritätslevel: Qualitative und quantitative Methoden [1] Risikograph (qualitativ oder teilqualitativ) ALARP-Methode Risikomatrix LOPA-Methode (quantitativ) Sicherheitslebenszyklus - Analyse Folie 40 von 46

41 Risikograph qualitativ [1] Sicherheitslebenszyklus - Analyse Folie 41 von 46

42 Analyse der Schutzebenen - LOPA [1] Sicherheitslebenszyklus - Analyse Folie 42 von 46

43 Typische Ausfallwahrscheinlichkeiten von Schutzebenen [1] Schutzebene Ausfallwahrscheinlichkeit (PFD avg ) Regelung 10-1 Menschliche Leistung (ausgebildet, kein Stress) 10-2 bis 10-4 Menschliche Leistung (Stress) 0,5 bis 1 Bedieneingriffe des Betriebspersonals aufgrund von Alarmen Auslegung von Behältern für einen Druck oberhalb innerer und äußerer Druckerzeuger oder besser, wenn die Unversehrtheit des Behälters sichergestellt ist Sicherheitslebenszyklus - Analyse Folie 43 von 46

44 NÄCHSTE VORLESUNG Sicherheitslebenszyklus - Analyse Folie 44 von 46

45 Sicherheitslebenszyklus Teil 1: Analyse Gefahren erkennen & Risiken bewerten Teil 2: Spezifikation & Entwurf Risiken reduzieren Teil 3: Inbetriebnahme & Betrieb Sicherheit aufrecht erhalten [1] Sicherheitslebenszyklus - Analyse Folie 45 von 46

46 Quellen [1] DIN EN 61511: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie. [2] DIN EN (VDE ): Risikomanagement Verfahren zur Risikobeurteilung. [3] DIN EN : Zuverlässigkeitsmanagement Teil 3-1: Anwendungsleitfaden Verfahren zur Analyse der Zuverlässigkeit Leitfaden zur Methodik. [4] DIN EN 60812: Analysetechniken für die Funktionsfähigkeit von Systemen Verfahren für die Fehlzustandsart- und -auswirkungsanalyse (FMEA). [5] DIN EN 61025: Fehlzustandsbaumanalyse. [6] DIN EN 62502: Verfahren zur Analyse der Zuverlässigkeit Ereignisbaumanalyse (ETA). Sicherheitslebenszyklus - Analyse Folie 46 von 46