Management der funktionalen Sicherheit 3. EAS Instandhaltungsworkshop 24. 27. November 2015 Guido Niehaves
Inhalt - Aktuelle Normen und Regelwerke Übersicht zur neuen Betriebssicherheitsverordnung - Safety Management System Funktionale Sicherheit T. Wollnik / G. Recke
Inhalt - Übersicht zur neuen Betriebssicherheitsverordnung gültig ab 01.06.2015 Aktuelle Normen und Regelwerke T. Wollnik / G. Recke
Abschnitt 1 1 Anwendungsbereich BetrSichV 1 Anwendungsbereich und Zielsetzung (1) Ziel dieser Verordnung ist es, die Sicherheit und den Schutz der Gesundheit von Beschäftigten bei der Verwendung von Arbeitsmitteln zu gewährleisten. Arbeitsmittel sind Werkzeuge, Geräte, Maschinen oder Anlagen, die für die Arbeit verwendet werden, sowie überwachungsbedürftige Anlagen. Auszug aus der BetrSichV 4
Abschnitt 2 3 Gefährdungsbeurteilung BetrSichV (1) Der Arbeitgeber hat vor der Verwendung von Arbeitsmitteln die auftretenden Gefährdungen zu beurteilen (Gefährdungsbeurteilung) und daraus notwendige und geeignete Schutzmaßnahmen abzuleiten. Das Vorhandensein einer CE- Kennzeichnung am Arbeitsmittel entbindet nicht von der Pflicht zur Durchführung einer Gefährdungsbeurteilung. Quelle BetrSichV 5
Abschnitt 2 3 Gefährdungsbeurteilung BetrSichV (3) Die Gefährdungsbeurteilung soll bereits vor der Auswahl und der Beschaffung der Arbeitsmittel begonnen werden. (6) Der Arbeitgeber hat Art und Umfang erforderlicher Prüfungen von Arbeitsmitteln sowie die Fristen von wiederkehrenden Prüfungen zu ermitteln und festzulegen. Quelle BetrSichV 7
Abschnitt 2 3 Gefährdungsbeurteilung BetrSichV (7) Die Gefährdungsbeurteilung ist regelmäßig zu überprüfen. Dabei ist der Stand der Technik zu berücksichtigen. Soweit erforderlich, sind die Schutzmaßnahmen bei der Verwendung von Arbeitsmitteln entsprechend anzupassen. Ergibt die Überprüfung der Gefährdungsbeurteilung, dass keine Aktualisierung erforderlich ist, so hat der Arbeitgeber dies unter Angabe des Datums der Überprüfung in der Dokumentation zu vermerken. Quelle BetrSichV 8
Abschnitt 2 4 Grundpflichten des Arbeitgebers (1) Arbeitsmittel dürfen erst verwendet werden, nachdem der Arbeitgeber 1. eine Gefährdungsbeurteilung durchgeführt hat, 2. die dabei ermittelten Schutzmaßnahmen nach dem Stand der Technik getroffen hat und 3. festgestellt hat, dass die Verwendung der Arbeitsmittel nach dem Stand der Technik sicher ist. (5) Der Arbeitgeber hat die Wirksamkeit der Schutzmaßnahmen vor der erstmaligen Verwendung der Arbeitsmittel zu überprüfen und Schutz- und Sicherheitseinrichtungen einer regelmäßigen Funktionskontrolle unterzogen werden. Quelle BetrSichV 9
Abschnitt 2 10 Instandhaltung und Änderung von Arbeitsmitteln (1) Der Arbeitgeber hat Instandhaltungsmaßnahmen zu treffen, damit die Arbeitsmittel während der gesamten Verwendungsdauer den für sie geltenden Sicherheits- und Gesundheitsschutzanforderungen entsprechen. und in einem sicheren Zustand erhalten werden (5) Bei Änderungen von Arbeitsmitteln hat der Arbeitgeber zu beurteilen, ob es sich um prüfpflichtige Änderungen handelt. Er hat auch zu beurteilen, ob er bei den Änderungen von Arbeitsmitteln Herstellerpflichten zu beachten hat Quelle BetrSichV 11
Zusätzliche Vorschriften für überwachungsbedürftige Anlagen 15 Prüfung vor Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen (1) Der Arbeitgeber hat sicherzustellen, dass überwachungsbedürftige Anlagen vor erstmaliger Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen geprüft werden. (3) Die Prüfungen sind von einer zugelassenen Überwachungsstelle oder einer zur Prüfung befähigten Person durchzuführen ( je nach Zuordnung der Prüfgruppe gemäß der Tabellen im Anhang 2) Quelle BetrSichV 12
Abschnitt 3 Zusätzliche Vorschriften für überwachungsbedürftige Anlagen 16 Wiederkehrende Prüfung (1) Der Arbeitgeber hat sicherzustellen, dass überwachungsbedürftige Anlagen wiederkehrend auf ihren sicheren Zustand hinsichtlich des Betriebs geprüft werden. (2) Bei der wiederkehrenden Prüfung ist auch zu überprüfen, ob die Frist für die nächste wiederkehrende Prüfung nach 3 Absatz 6 zutreffend festgelegt wurde. Im Streitfall entscheidet die zuständige Behörde.. Quelle BetrSichV 13
Abschnitt 4 Vollzugsregelungen und Ausschuss für Betriebssicherheit 19 Mitteilungspflichten (1) Der Arbeitgeber hat bei Arbeitsmitteln der zuständigen Behörde folgende Ereignisse unverzüglich anzuzeigen: 1. jeden Unfall, bei dem ein Mensch getötet oder erheblich verletzt worden ist, und 2. jeden Schadensfall, bei dem Bauteile oder sicherheitstechnische Einrichtungen versagt haben. Quelle BetrSichV 14
Abschnitt 5 Ordnungswidrigkeiten und Straftaten 22 Ordnungswidrigkeiten 23 Strafttaten 24 Übergangsvorschriften (1) Der Weiterbetrieb einer erlaubnisbedürftigen Anlage, die vor dem 1. Juni 2015 befugt errichtet und verwendet wurde, ist zulässig. Quelle BetrSichV 15
Anhang 2 Prüfvorschriften für überwachungsbedürftige Anlagen Abschnitt 3 Explosionsgefährdungen Dieser Abschnitt gilt für Prüfungen von Arbeitsmitteln und für Prüfungen der technischen Maßnahmen in explosionsgefährdeten Bereichen nach 2 Absatz 14 der Gefahrstoffverordnung. Auszug aus der BetrSichV 16
Inhalt - Anforderungen - Sicherheitslebenszyklus - Funktionsprüfungen - Wiederkehrende Prüfungen - Beispiele für Nachweisdokumentation und FMS Safety Management System T. Wollnik / G. Recke
Warum ein Safety Management System? Sicherheit (Funktionale Anlagensicherheit) darf kein zufälliges Ergebnis sein. Sicherheit (Funktionale Anlagensicherheit) muss nachvollziehbar und reproduzierbar sein. Die DIN EN 61508 / 61511 fordert zur Vermeidung von systematischen Fehlern, ein Management der funktionalen Sicherheit. 22
Fehlervermeidung und Fehlerbeherrschung Grundlegend gilt für die Funktionale Sicherheit: Vermeidung systematischer Fehler Management der funktionalen Sicherheit: Vermeiden von Fehlern beim Entwurf, der Planung, der Erstellung und dem Betreiben des Systems Beherrschung zufälliger Fehler Quantitative Betrachtung: Berechnung der Ausfallwahrscheinlichkeit & Qualitative Betrachtung: Auswahl geeigneter Komponenten Auswahl der geforderten Redundanz Systematische Fehler betreffen alle Komponenten Zufällige Fehler betreffen nur einen Teil der Komponenten 24
Systematische Fehlerursachen Die Hauptursache für den Ausfall einer Sicherheitsfunktion sind systematische Fehler! Spezifikationsfehler Planungsfehler Prüffehler Programmierfehler Inbetriebnahme Fehler Installationsfehler 25
Beispiele für systematische Fehler Systematische Fehler in der Hardware oder in der Ausführung Fertigungsfehler beim Hersteller (z.b. Einbau falscher Bauteile) Projektierungsfehler beim Anwender (z.b. falsche Auslegung Betriebsdruck) Montage- oder Installationsfehler Messbereich falsch ausgewählt oder eingestellt Fehlerhafte Betriebsanleitung Systematische Fehler in der Software Spezifikationsfehler Programmierfehler (z.b. Jahr 2000 Problem) Implementierungsfehler 26
Safety Management System Umfang des SMS (Safety Management System): Bei dem Management der funktionalen Sicherheit werden alle Phasen des Lebenszyklus eines Sicherheitssystems betrachtet. Phasen des SMS: Der Lebenszyklus eines Sicherheitssystems besteht aus den einzelnen Projektphasen d.h. beginnend mit der Entwurfs- und Planungsphase, über die Erstellungs-und Inbetriebnahmephase bis zur eigentlichen Betriebs- und Instandhaltungsphase und der Außerbetriebnahmephase. Ein wesentlicher Bestandteil hierbei sind die einzelnen Prüfschritte (Verifizierung und Validierung), sowie die Festlegung von Verantwortlichkeiten in jeder einzelnen Phase des Lebenszyklus. 27
Inhalt - Anforderungen - Sicherheitslebenszyklus - Software Lebenszyklus - Umsetzung Safety Management System - Funktionsprüfungen - Wiederkehrende Prüfungen - Beispiele für Nachweisdokumentation und FMS Safety Management System T. Wollnik / G. Recke
Sicherheitslebenszyklus Die Phasen nach DIN EN 61511 29
1. Gefährdungs- und Risikobeurteilung Festlegung von Gefährdungen und gefahrbringenden Ereignissen DIN EN 61511 Auf Grundlage der Gefahren- und Risikobeurteilung erfolgt die Festlegung des jeweiligen Sicherheits-Integritätslevels (SIL 1-4) zu jeder sicherheitstechnischen Funktion. 31
2. Zuordnung der Sicherheitsfunktionen zu den Schutzebenen Zuordnung der Sicherheitsfunktionen zu den entsprechenden Schutzebenen und für jede sicherheitstechnische Funktion Zuordnung des zugehörigen Sicherheits-Integritätslevels (SIL). DIN EN 61511 32
3. Spezifikation der Sicherheitsanforderungen an das SIS Festlegung der Anforderungen an jedes SIS in Form der notwendigen sicherheitstechnischen Funktionen und der zugehörigen Sicherheits- Integritätslevel zur Erreichung der erforderlichen funktionalen Sicherheit. SIS = Safety Instrumented System DIN EN 61511 Beispiele: Anforderungen hinsichtlich der Verwendung des Arbeits- oder Ruhestromprinzips eine Definition des sicheren Zustands für jede einzelne sicherheitstechnische Funktion eine Beschreibung der Messsignale des sicherheitstechnischen Systems und deren Grenzwerte 33
4. Entwurf und Planung des SIS Entwurf eines SIS, das den Anforderungen bezüglich der sicherheitstechnischen Funktionen und der Sicherheitsintegrität genügt. DIN EN 61511 SIS = Safety Instrumented System 34
5. SIS-Montage, Inbetriebnahme und Validierung Integration und Prüfung des SIS Validierung, dass das SIS mit seinen einzelnen sicherheitstechnischen Funktionen und deren Sicherheitsintegrität in jeder Hinsicht die gestellten Sicherheitsanforderungen erfüllt. DIN EN 61511 SIS = Safety Instrumented System Die durchgeführte Montage / Errichtung aller Komponenten ist bezüglich der Einhaltung der sicherheitstechnischen Vorgaben aus der Spezifikation, sowie deren Eignung zu prüfen. 35
6. SIS-Betrieb und Instandhaltung Sicherstellen, dass die funktionale Sicherheit des SIS während des Betriebs und bei Instandhaltungsarbeiten erhalten bleibt. DIN EN 61511 SIS = Safety Instrumented System 36
7. Modifikationen am SIS Durchführung von Korrekturen, Verbesserungen oder Anpassungen des SIS so, dass der erforderliche Sicherheits- Integritätslevel erreicht und erhalten wird. DIN EN 61511 Bei einer Modifikation, muss die damit verbundene Auswirkung auf das sicherheitstechnische System beurteilt werden. Es ist sicherzustellen, dass der geforderte Sicherheits-Integritätslevel auch nach der Modifikation am sicherheitstechnische System erhalten bleibt. Wenn die Beurteilung ergibt, dass durch die Modifikation die Sicherheit beeinflusst wird, muss die Vorgehensweise wie bei der Neuerstellung einer sicherheitstechnischen Systems eingehalten werden! 37
7. Modifikationen / Änderungsmanagement Änderungsbedarf: Hardware: z.b. 1oo2 2oo3 Software: z.b. Überwachungszeit Bewertung der Änderung: Auswirkungen Verfahren / Doku etc. Aktueller (Ist-)Stand: Stand Prüfen, Kennzeichnen, Informieren Änderungen: Ausführen, Prüfen, Freigeben, Informieren 38
8. Außerbetriebnahme Durch geeignete Prüfung und Beachtung der Anlagenstruktur sicherstellen, dass nicht betroffene Funktionen in Betrieb bleiben. DIN EN 61511 39
Inhalt - Anforderungen - Sicherheitslebenszyklus - Software Lebenszyklus - Umsetzung Safety Management System - Funktionsprüfungen - Wiederkehrende Prüfungen - Beispiele für Nachweisdokumentation und FMS Safety Management System T. Wollnik / G. Recke
Durchführung von Funktionsprüfungen / Proof Test Prüfung der Schutzeinrichtungen Durch regelmäßige Wiederholungsprüfungen der Schutzeinrichtungen wird deren einwandfreie Funktion nachgewiesen. Insbesondere passive Fehler sollen damit aufgedeckt und behoben werden. Für jede Schutzeinrichtung ist eine Prüfanweisung zu erstellen. Quelle VDI / VDE 2180 50
Prüfung der Schutzeinrichtungen Wann muss geprüft werden? Die Termine der Funktionsprüfungen sind so festzulegen, dass der erforderliche SIL erreicht wird. Die Durchführung der Funktionsprüfungen zu den vorgesehenen Terminen ist durch den Betreiber sicherzustellen. Wie muss geprüft werden? Funktionsprüfungen sollen passive Fehler aufdecken. Sie werden gemäß Prüfanweisungen durchgeführt und sollen so betriebsnah wie möglich erfolgen. Die Prüfung einer Schutzeinrichtung muss immer die gesamte Einrichtung vom Sensor über die Steuerung bis zum Aktor (inklusive produktberührte Teile) berücksichtigen. Vorzugsweise ist die Schutzfunktion aus dem Prozess heraus auszulösen. Ist dies nicht möglich, kann eine Auslösung durch Simulation der Prozessgrößen erfolgen. Quelle VDI / VDE 2180 51
PFD E.ON Anlagenservice Abdeckungsgrad der Prüftiefe des gesamten Sicherheitskreises SIL 1 SIL 2 Wiederkehrender Prüfung (vollständig) PFD avg Prüfintervall Ti Betriebsdauer t 52
Prüfung von analogen Aufnehmern Es ist zu prüfen, ob der Messaufnehmer den Messwert im Rahmen einer vorgegebenen Fehlergrenze richtig überträgt. Dies sollte durch Aufprägen der zu messenden Prozessgröße geschehen, also z.b. bei Druckmessumformern durch Beaufschlagen mit dem entsprechenden Druck. Das ist entweder mit Prüfgeräten oder aus dem Prozess heraus mit unabhängigen Messungen möglich. Der ganze Messbereich sollte durch Vergleich von mindestens drei Testpunkten erfasst werden. Der Schaltpunkt sollte innerhalb dieses Testintervalls und nicht zu nahe an den Messbereichsgrenzen liegen. Quelle VDI / VDE 2180 53
Prüfung von Grenzwertgebern Der Zustandswechsel des zugeordneten Grenzwertgebers muss innerhalb der zulässigen Toleranz am vorgegebenen Schaltpunkt erfolgen. Ein Test des Grenzwertgebers bei geänderter Grenzwerteinstellung ist nur im Ausnahmefall zulässig, da dadurch nicht alle möglicherweise vorliegenden Fehler im Anregeteil erkannt werden können. Die Wiedereinstellung des ursprünglichen Grenzwertes ist mit besonderer Sorgfalt sicherzustellen. Quelle VDI / VDE 2180 54
Prüfung der Signalverarbeitung (Logikeinheit) Im Prinzip ist die Funktion der Logik zu überprüfen, das heißt, dass die Wirkung eines Eingangs auf den logisch verbundenen Ausgang nachzuvollziehen ist. Bei Speicherfunktionen (z. B. Selbsthaltungen) ist darauf zu achten, dass die Ausgangssignale nicht nur von den Eingangssignalen, sondern auch von vorangehenden Signalzuständen abhängen. Zeitstufen sind auf Funktion, auf geforderte Genauigkeiten und Zeitverhalten zu prüfen. Bei wiederkehrenden Prüfungen von PLT-Schutzeinrichtungen ist an der SSPS zu prüfen, ob der implementierte Hard- und Softwarestand dem genehmigten Stand entspricht. Quelle VDI / VDE 2180 55
Prüfung vom Auslöseteil Beim Auslöseteil ist die Signalübertragung von der Steuerung zum Stellglied und dessen anforderungsgerechte Unterbrechung des Stoff- oder Energiestroms zu prüfen. Beurteilungskriterien bei der Prüfung von Stellorganen sind: Funktion des Magnetventils. Erreichen der Sicherheitsstellung unter Betriebsbedingungen. Einhalten von maximalen oder minimalen Stellzeiten. Funktion von elektrischen Stellgliedern (Schütze, Leistungsschalter). Betrieblich erfolgte Auslösungen des Stellglieds können als Funktionsprüfung gewertet und dokumentiert werden. Quelle VDI / VDE 2180 56
Prüfkriterien / Prüfungsvoraussetzungen Die Prüftätigkeiten umfassen u. a.: Schutzeinrichtung zeigt Meldungen und Betriebszustände richtig an? Korrekte Funktion entsprechend der logischen Struktur (z. B. 1-von-2, 2-von-3) gemäß der Sicherheitsspezifikation? Schutzeinrichtungen verhalten sich bei Energieausfall richtig Schutzfunktionsverhalten bei Messwerten außerhalb des Messbereichs? Prüfungsvoraussetzungen korrekte Kalibrierung aller Messinstrumente Übereinstimmung der PLT-Dokumentation mit dem installierten Zustand organisatorische Festlegungen (z. B. Personalbereitstellung, Freigaben). Quelle VDI / VDE 2180 57
Dokumentation der Prüfungen Jede Prüfung ist mit folgenden Mindestinhalten zur dokumentieren: Bezeichnung des Prüfobjektes Prüfbefund: im Fehlerfall Angaben über Fehler und Bestätigung der Beseitigung sowie der korrekten Wiederinbetriebnahme Datum der Prüfung Unterschrift des Prüfers (Fachabteilung) Unterschrift des Betreibers. Quelle VDI / VDE 2180 58
Inhalt - Anforderungen - Sicherheitslebenszyklus - Software Lebenszyklus - Umsetzung Safety Management System - Funktionsprüfungen - Wiederkehrende Prüfungen - Beispiele für Nachweisdokumentation und FMS Safety Management System T. Wollnik / G. Recke
Arbeitsanweisung 60
Checkliste 61
Protokoll Sicherheits-Management 62
Prüfanweisung VDE 0100_600 63
Prüfprotokoll 64
Gefährdungs- und Risikobeurteilung / Beispiel 65
Nachweisberechnung 66
Prüfanweisung 67
Sicherheitskreis Prüfung 68
Sicherheitskreis Prüfung / Tool 69
Zusammenfassung der Inhalte Notwendigkeit eines Safety Management Systems Sicherheitslebenszyklus Software Lebenszyklus Gefährdungs- und Risikobeurteilung Nachweisberechnung Arbeitsanweisung Protokoll Sicherheits-Management Checkliste Prüfanweisung Abdeckungsgrad Prüfintervall 70