Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen - Sicherheitslebenszyklus Teil 1: Analyse A. Krause, L. Urbas Dresden,
Sicherheitslebenszyklus nach DIN EN 61511 [1] Teil 1: Analyse Gefährungs- und Risikobeurteilung Zuordnung der Sicherheitsfunktionen zu Schutzebenen Sicherheitslebenszyklus - Analyse Folie 2 von 46
GEFÄHRUNGS- UND RISIKOBEURTEILUNG 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 3 von 46
Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (1/2) Phase: Gefährdungs- und Risikobeurteilung Ziele: Ermittlung von Gefährdungen und gefährlichen Ereignissen durch den Prozess, Bestimmung von Ereignisketten, die zu gefährlichen Ereignissen führen können, Bestimmung des Prozessrisikos, Bestimmung der Anforderungen zur Risikoreduzierung und der sicherheitstechnischen Funktionen Sicherheitslebenszyklus - Analyse Folie 4 von 46
Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (2/2) Phase: Gefährdungs- und Risikobeurteilung Anforderungen: DIN EN 61511-1 Abschnitt 8 Eingaben: Verfahrenstechnischer Entwurf, Auslegung, personelle Maßnahmen, Sicherheitsziele Ergebnisse: Beschreibung der Gefährdungen, der benötigten Sicherheitsfunktionen und der jeweiligen Risikoreduzierung Sicherheitslebenszyklus - Analyse Folie 5 von 46
Begriffe nach DIN EN 61511 [1] Gefährdung (en. hazard) - potentielle Schadensquelle Schaden (en. harm) physische Verletzung oder Schädigung der Gesundheit von Menschen, entweder direkt oder indirekt als ein Ergebnis von Schäden am Eigentum oder an der Umwelt Risiko (en. risk) Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrads dieses Schadens Sicherheitslebenszyklus - Analyse Folie 6 von 46
Anforderungen nach DIN EN 61511 [1] nur Anforderungen an das Ergebnis jede Arbeitstechnik kann verwendet werden, wenn sie für geeignet erachtet wird Betrachtung aller vorhersehbarer Umstände in der Prozessindustrie: frühzeitige vorläufige Gefährdungsund Risikoanalysen und Anwendung des Prinzips der Eigensicherheit (liegt außerhalb der DIN EN 61511) strukturierte Vorgehensweise bei komplexen Entwürfen oder neuen Prozessen (DIN EN 31010 Risikomanagement Verfahren zur Risikobeurteilung [2]) Sicherheitslebenszyklus - Analyse Folie 7 von 46
DIN EN 31010 [2] - Risikomanagement Schritte des Risikobeurteilungsprozesses Risikoermittlung Risikoanalyse Folgen analysieren qualitative, semi-quantitative und quantitative Schätzung der Wahrscheinlichkeit Beurteilung der Wirksamkeit eventuell vorhandener Schutzmaßnahmen Schätzung des Risikoniveaus Risikobewertung Sicherheitslebenszyklus - Analyse Folie 8 von 46
Gefährdungsanalyse qualitative Methoden [1] Sicherheits-Durchsprachen Checklisten Was-wäre-wenn-Analysen HAZOP (national PAAG genannt) FMEA Ursache-Wirkungsanalyse Sicherheitslebenszyklus - Analyse Folie 9 von 46
Eignung der Verfahren nach [2] Sicherheitslebenszyklus - Analyse Folie 10 von 46
Einflussfaktoren für die Verfahrensauswahl [2] Komplexität des Problems und des Verfahren Art und Grad der Ungewissheit der Risikobeurteilung verfügbare Informationen Zielsetzung Art und Menge der erforderlichen Ressourcen Zeit Grad des erforderlichen Fachwissens Datenerfordernisse Kostenaufwand Art des Ergebnisses quantitativ qualitativ Sicherheitslebenszyklus - Analyse Folie 11 von 46
Einschätzung der Einflussfaktoren nach [2] Sicherheitslebenszyklus - Analyse Folie 12 von 46
Weitere Betrachtung der folgenden Verfahren Induktive Verfahren (bottom-up) HAZard and OPerability study (HAZOP) Failure Mode and Effects Analysis (FMEA) Event Tree Analysis (ETA) Deduktive Verfahren (top-down) Fault Tree Analysis (FTA) Sicherheitslebenszyklus - Analyse Folie 13 von 46
Gefährungs- und Risikobeurteilung INDUKTIVE VERFAHREN 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 14 von 46
HAZOP [3] nach IEC 61882 HAZard and OPerability Study Systematische Untersuchung des Prozesses durch Leitworte Sicherheitslebenszyklus - Analyse Folie 15 von 46
HAZOP: Beispiel [1] - Systembeschreibung Druckbehälter mit flüchtigem brennbarem Gas Schutzebene Fackel BPCS misst Stand und stellt Ventil BPCS PA+ P001 LC L001 VC V001 unabhängiger Druckmesser mit Hochalarm > Eingriff durch Bediener Nicht-PLT-Schutzebene z.b. Berstscheibe oder Sicherheitsventil Sicherheitslebenszyklus - Analyse Folie 16 von 46
Schutzebene Fackel BPCS PA+ P001 LC L001 VC V001 HAZOP: Beispielanalyse [1] Gegenstand Behälter Abweichung Ursachen Auswirkung Schutzeinrichtung Maßnahmen Hoher Durchfluss Versagen der Durchflussregelung Druck hoch 1) Versagen der Durchflussregelung 2) Brand in der Umgebung Niedriger oder kein Durchfluss Versagen der Durchflussregelung Druckanstieg Zerstörung des Behälters und Freisetzung in die Umgebung Keine maßgeblichen Folgen 1) Hoch-Alarm für den Druck 2) Flutungssystem 3) Druckentlastungsventil Bewertung der Entwurfsbedingungen für die Freisetzung des Druckentlastungsventils in die Umgebung Rückströmung Keine maßgeblichen Folgen Sicherheitslebenszyklus - Analyse Folie 17 von 46
FMEA nach DIN EN 60812 [4] Failure Mode and Effects Analysis in erster Linie auf die Untersuchung von Material- und Geräteausfällen abgestimmt anwendbar auf Systeme mit unterschiedliche Technologien (elektrisch, mechanisch, usw.) auf alle Ebenen des Systementwurfs anwendbar (System, Teilsystem, Komponente, Einheit), aber besonders für die untere Ebene (mit vielen Einheiten) geeignet liefert wesentliche Informationen für Diagnose- und Instandhaltungsverfahren Sicherheitslebenszyklus - Analyse Folie 18 von 46
FMEA: Beispiel [3] Sicherheitslebenszyklus - Analyse Folie 19 von 46
ETA nach DIN EN 62502 (VDE 0050-3) [6] Event Tree Analysis Visualisierung von Ereignisketten Identifizierung von Fehlerausbreitungspfaden Modellierung der Reihenfolge und Wechselwirkung verschiedener schadensmindernder Faktoren Bestimmung der Wahrscheinlichkeiten kann durch andere Verfahren ergänzt werden Schritt 1: Definition des Systems, das betrachtet werden soll Schritt 2: Ermittlung der zu betrachtenden Startereignisse Schritt 3: Ermittlung der schadensmindernden Faktoren und physikalischen Phänomene Schritt 4: Definition einer Reihenfolge und deren Ergebnisse sowie deren Quantifizierung Schritt 5: Analyse der Ergebnisse Sicherheitslebenszyklus - Analyse Folie 20 von 46
ETA: Beispielanalyse [1] Druck-Hoch- Alarm Reaktion des Bedieners Schutzebene Auswirkungen Wahrscheinlichkeit Ja 1. Keine Freisetzung von Stoffen 8 x 10-2 /Jahr Erfolg Erfolgreich? Ja 2. Entspannung über eine Fackel durch Schutzebene 8 x 10-3 /Jahr Überdruck 10-1 /Jahr 0,9 Erfolgreich? 0,1 Nein Erfolgreich? Nein Ja 3. Freisetzung in die Umgebung 4. Entspannung über eine Fackel durch Schutzebene 9 x 10-4 /Jahr 9 x 10-3 /Jahr Ausfall/Versagen Erfolgreich? Nein 5. Freisetzung in die Umgebung 1 x 10-3 /Jahr Aktuelles Risiko: 1 x 10-3 /Jahr + 9 x 10-4 /Jahr = 1,9 x 10-3 /Jahr Sicherheitslebenszyklus - Analyse Folie 21 von 46
Gefährungs- und Risikobeurteilung DEDUKTIVE VERFAHREN 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 22 von 46
FTA nach DIN EN 61025 [5] Fault Tree Analysis geordnete graphische Darstellung zeigt die Ursachen und die Kombinationen von Ursachen, die zum Hauptereignis führen kann qualitativ oder quantitativ sein kann komplexe Systeme mit abhängigen Subsystemen untersuchen kann Wechselbeziehungen zwischen mechanischen, elektrischen und softwaretechnischen Teilsystemen darstellen Sicherheitslebenszyklus - Analyse Folie 23 von 46
FTA: Beispielanalyse [1] Überdruck 0,1/Jahr Ursachen für unerwünschtes Ereignis (Hauptereignis): Überdruck im Behälter Legende: Hauptereignis oder Zwischenereignis Äußere Ereignisse (Feuer) BPCS-Funktion versagt ODER-Gatter An anderer Stelle untersucht BPCS-Funktion versagt Sensor versagt Ventil verklemmt Grundereignis Sicherheitslebenszyklus - Analyse Folie 24 von 46
Kombination von induktiven und deduktiven Verfahren am Beispiel FTA [5] FTA + FMEA FTA + ETA (Ursachen- und Folgeanalyse) FTA + Markov-Modell FTA + binäres Entscheidungsdiagramm FTA + Zuverlässigkeitsblockdiagramm Sicherheitslebenszyklus - Analyse Folie 25 von 46
ZUORDNUNG DER SICHERHEITSFUNKTIONEN ZU SCHUTZEBENEN 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 26 von 46
Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (1/2) Phase: Zuordnung der Sicherheitsfunktionen zu Schutzebenen Ziele: Zuordnung der Sicherheitsfunktionen zu den entsprechenden Schutzebenen und für jede sicherheitstechnische Funktion das zugehörige Sicherheits-Integritätslevel (SIL) Sicherheitslebenszyklus - Analyse Folie 27 von 46
Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (2/2) Anforderungen: DIN EN 61511-1 Abschnitt 9 Vorgaben: Eine Beschreibung der benötigten sicherheitstechnischen Funktionen einschließlich der Anforderungen an die Sicherheitsintegrität Ergebnisse: Eine Beschreibung der Zuordnung von Sicherheitsanforderungen Sicherheitslebenszyklus - Analyse Folie 28 von 46
Zuordnung zu den Schutzfunktionen Zuordnung jeder Sicherheitsfunktion Nicht-SIS- Schutzebene SIF Andere Schutzebenen SIL 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 29 von 46
Begriff nach DIN EN 61511 [1] Sicherheitsfunktion Funktion, die von einem SIS, von einem sicherheitsbezogenen System anderer Technologie oder von externen Einrichtungen zur Risikominderung ausgeführt wird, mit dem Ziel, [..] einen sicheren Zustand für den Prozess zu erreichen oder aufrecht zu erhalten Sicherheitslebenszyklus - Analyse Folie 30 von 46
Begriff nach DIN EN 61511 [1] Sicherheitstechnisches System (en. Safety instumented system; kurz: SIS) Sicherheitstechnisches System zur Ausführung einer oder mehrerer sicherheitstechnischer Funktionen. Ein SIS besteht aus Sensor(en), Logiksystem und Aktor(en). Sicherheitslebenszyklus - Analyse Folie 31 von 46
Begriff nach DIN EN 61511 [1] Sicherheitstechnische Funktion (en. safety instrumented function; kurz: SIF) Funktion mit vorgegebenem SIL, die zum Erreichen der funktionalen Sicherheit notwendig ist. Eine sicherheitstechnische Funktion kann entweder eine sicherheitstechnische Schutzfunktion oder sicherheitstechnische Regelfunktion sein. Sicherheitslebenszyklus - Analyse Folie 32 von 46
Schutzebene [1] Schutzebene - jede unabhängige Maßnahme, die das Risiko durch Regelung oder Steuerung, Schutz- oder Schadensbegrenzungsmaßnahmen vermindert Dazu gehören auch: verfahrenstechnische und organisatorische Maßnahmen Öffentliche Maßnahmen in Notfällen Rundfunkinformation im Notfall Anlagenbezogene Maßnahmen in Notfällen Evakuierungsmaßnahmen Schadensbegrenzung Mechanische Systeme Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schadensbegrenzungseinrichtungen Betriebliche Überwachung Schutz Mechanische Systeme Prozessalarme mit Bedienereingriff Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schutzeinrichtungen Regelung und Überwachung Betriebs- und Überwachungseinrichtungen Prozessalarme Prozess Beispiel für Schutzebenen Sicherheitslebenszyklus - Analyse Folie 33 von 46
Begriffe [1] Sicherheitsintegrität mittlere Wahrscheinlichkeit, dass ein sicherheitstechnisches System die geforderten sicherheitstechnischen Funktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes anforderungsgemäß ausführt Sicherheits-Integritätslevel (SIL) eine von vier diskreten Stufen zur Spezifikation der Anforderungen für die Sicherheitsintegrität der sicherheitstechnischen Funktionen, die dem sicherheitstechnischen System zugeordnet werden, wobei SIL 4 den höchsten Grad, SIL 1 den niedrigsten darstellt Sicherheitslebenszyklus - Analyse Folie 34 von 46
Was heißt SIL 1 bis SIL 4 in quantitativen Werten? [1] Anforderungsbetriebsart SIL PFD avg Erforderliche Risikominderung 4 10-5 bis < 10-4 > 10 4 bis 10 5 3 10-4 bis < 10-3 > 10 3 bis 10 4 2 10-3 bis < 10-2 > 10 2 bis 10 3 1 10-2 bis < 10-1 > 10 bis 100 Betriebsart mit kontinuierlicher Anforderung SIL PFH (Ausfälle pro Stunde) 4 10-9 bis < 10-8 3 10-8 bis < 10-7 2 10-7 bis < 10-6 1 10-6 bis < 10-5 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 35 von 46
Ziel: Risikominderung durch SIS [1] 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 36 von 46
ETA: Beispielanalyse [1] Tolerierbares Risiko: 1 x 10-4 /Jahr Aktuelles Risiko: 1,9 x 10-3 /Jahr Druck-Hoch- Alarm Reaktion des Bedieners Schutzebene Auswirkungen Wahrscheinlichkeit Ja 1. Keine Freisetzung von Stoffen 8 x 10-2 /Jahr Erfolg Erfolgreich? Ja 2. Entspannung über eine Fackel durch Schutzebene 8 x 10-3 /Jahr Überdruck 0,1/Jahr 0,9 Erfolgreich? 0,1 Nein Erfolgreich? Nein Ja 3. Freisetzung in die Umgebung 4. Entspannung über eine Fackel durch Schutzebene 9 x 10-4 /Jahr 9 x 10-3 /Jahr Ausfall/Versagen Erfolgreich? Nein 5. Freisetzung in die Umgebung 1 x 10-3 /Jahr Sicherheitslebenszyklus - Analyse Folie 37 von 46
Mögliche Risikominderung durch weitere Schutzebene [1] Druck-Hoch- Alarm Reaktion des Bedieners Schutzebene 1 Schutzebene 2 Auswirkungen Wahrscheinlichkeit Ja 1. Keine Freisetzung von Stoffen 8 x 10-2 /Jahr Überdruck 10-1 /Jahr Erfolg 0,9 Erfolgreich? 0,1 Erfolgreich? Nein Erfolgreich? Nein Ja 2. Entspannung über eine Fackel 8 x 10-3 /Jahr Ja 3. Entspannung über eine Fackel 8 x 10-4 /Jahr Erfolgreich? Nein 4. Freisetzung in die Umgebung 9 x 10-5 /Jahr Ja 5. Entspannung über eine Fackel 9 x 10-3 /Jahr Ausfall/Versagen Erfolgreich? Ja 6. Entspannung über eine Fackel 9 x 10-4 /Jahr Nein Erfolgreich? Nein 7. Freisetzung in die Umgebung 1 x 10-4 /Jahr Realisierbares Risiko: 1,9 x 10-4 /Jahr > 10-4 /Jahr 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 38 von 46
Mögliche Risikominderung durch SIS [1] Druck-Hoch- Alarm Reaktion des Bedieners SIS Schutzebene Auswirkungen Wahrscheinlichkeit Ja 1. Keine Freisetzung von Stoffen 8 x 10-2 /Jahr Überdruck 10-1 /Jahr Erfolg 0,9 Erfolgreich? Erfolgreich? Nein 0,99 Erfolgreich? 0,01 Nein Ja 2. Keine Freisetzung von Stoffen 9 x 10-3 /Jahr Ja 3. Entspannung über eine Fackel 8 x 10-5 /Jahr Erfolgreich? 0,1 0,99 Ja Nein 4. Freisetzung in die Umgebung 5. Keine Freisetzung von Stoffen 9 x 10-6 /Jahr 1 x 10-2 /Jahr Ausfall/Versagen Erfolgreich? 0,01 Nein Ja Erfolgreich? 6. Entspannung über eine Fackel 9 x 10-5 /Jahr Nein 7. Freisetzung in die Umgebung 1 x 10-5 /Jahr Realisierbares Risiko: 1,9 x 10-5 /Jahr < 10-4 /Jahr 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 39 von 46
Bestimmung des Sicherheits-Integritätslevel: Qualitative und quantitative Methoden [1] Risikograph (qualitativ oder teilqualitativ) ALARP-Methode Risikomatrix LOPA-Methode (quantitativ) Sicherheitslebenszyklus - Analyse Folie 40 von 46
Risikograph qualitativ [1] Sicherheitslebenszyklus - Analyse Folie 41 von 46
Analyse der Schutzebenen - LOPA [1] Sicherheitslebenszyklus - Analyse Folie 42 von 46
Typische Ausfallwahrscheinlichkeiten von Schutzebenen [1] Schutzebene Ausfallwahrscheinlichkeit (PFD avg ) Regelung 10-1 Menschliche Leistung (ausgebildet, kein Stress) 10-2 bis 10-4 Menschliche Leistung (Stress) 0,5 bis 1 Bedieneingriffe des Betriebspersonals aufgrund von Alarmen Auslegung von Behältern für einen Druck oberhalb innerer und äußerer Druckerzeuger 10-1 10-4 oder besser, wenn die Unversehrtheit des Behälters sichergestellt ist Sicherheitslebenszyklus - Analyse Folie 43 von 46
NÄCHSTE VORLESUNG 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 44 von 46
Sicherheitslebenszyklus Teil 1: Analyse Gefahren erkennen & Risiken bewerten Teil 2: Spezifikation & Entwurf Risiken reduzieren Teil 3: Inbetriebnahme & Betrieb Sicherheit aufrecht erhalten [1] 10.04.2013 Sicherheitslebenszyklus - Analyse Folie 45 von 46
Quellen [1] DIN EN 61511: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie. [2] DIN EN 31010 (VDE 0050-1): Risikomanagement Verfahren zur Risikobeurteilung. [3] DIN EN 60300-3-1: Zuverlässigkeitsmanagement Teil 3-1: Anwendungsleitfaden Verfahren zur Analyse der Zuverlässigkeit Leitfaden zur Methodik. [4] DIN EN 60812: Analysetechniken für die Funktionsfähigkeit von Systemen Verfahren für die Fehlzustandsart- und -auswirkungsanalyse (FMEA). [5] DIN EN 61025: Fehlzustandsbaumanalyse. [6] DIN EN 62502: Verfahren zur Analyse der Zuverlässigkeit Ereignisbaumanalyse (ETA). Sicherheitslebenszyklus - Analyse Folie 46 von 46