Funktionale Sicherheit

Funktionale Sicherheit.. Anspruch und Wirklichkeit Der richtige Weg zur funktionalen Sicherheit in der praktischen Umsetzung für das Gesamtsystem Beschäftigen wir uns noch mit dem Richtigen? Hans Christian Schröder Kraftwerks- und Anagenservice Mannheim, 21. Februar 2013 Folie 1

Gliederung Begriffsdefinitionen Regelwerkspyramide / Allgemeines SIL und Historie Anforderung an Leitsysteme Risikograf / Methodik / Stand der Technik Ansätze / Auswirkungen von risikoorientierter Betrachtung Funktionale Anlage und Vorgehensweise bei Bewertung Fehlerarten und Fehlerstatus Methodik Risikobeherrschung Loopbetrachtung von Schutzsysteme Einfluss auf Betriebseigenschaften Schlussfolgerung Gedanken von Prof. Renn Folie 2

Anlagenmanagement und Kundennutzen Wir sind ihr Partner in den Bereichen: Plangerechte Ausführung und QS Projekte Sicherstellung / Erhöhung der geplanten Verfügbarkeit Verlängerung bzw. Flexibilisierung von Revisionszyklen Sicherstellung bzw. Verlängerung der projektierten Lebensdauer Optimierung Instandhaltungsstrategie Einschätzung und Dokumentation von Risiken

Basiselemente Errichtung Grundlagenplanung Ausführungsplanung Ausschreibung/Vergabe - Wärme- und VT-technische Auslegung - Standortbewertung - Risikoanalyse -... - Genehmigungsplanung - Konstruktive Auslegung -... - Erstellung Spezifikationen - Leistungsverzeichnisse - Angebotsvergleich -... Bauleitung/Bauaufsicht Inbetriebsetzung/Abnahme Claim Management - Bauabwicklung - Terminüberwachung - Qualitätsüberwachung -... - Erst./Überwachung IBS-Programme - Gewährleistungs-/Leistungsmessung - Betriebshandbücher -... - Dokumentationen - Kosten-/Termin-/Vertragsanalysen - Forderungsvergleich -...

Basiselemente Betrieb Betriebsführung Prozessführung - Personalqualifikation - Organisation - Logistik -... - Verfahrenstechnik - Prozessleittechnik - MSR-Technik -... Anlagenbewertung Wirtschaftlichkeit Standort / Umwelt - Zustandsbewertung - Lebensdauerbewertung -... - Instandhaltungsstrategie - Kosten/Nutzen-Analysen - LCC (Life-Cycle-Costs) -... - Risikobetrachtungen - Nutzwertanalyse -...

Aktuelle Projekte Forschungsprojekte Teststrecke GKM HWT I / HWT II Neubauprojekte GKM / Block 9 und EnBW RDK 8 Neubauprojekt Solarthermische Anlage in Spanien Baubegleitende Tätigkeiten im In- und Ausland Betreuung der Kraftwerksstandorte in Baden-Württemberg Betreuung MVA s in Baden-Württemberg Schadensbegutachtungen Gutachterliche Tätigkeiten und Mediation Kunden / Gerichte Generierung neuer Dienstleistungen und Bearbeitung zukünftiger Themen in Form von Praktika / Diplomarbeiten mit Studenten

Grundsätzlich können wir Ihnen bei Ihrer Anfrage helfen. Neue Kraftwerkskonzepte Neue Kraftwerkskonzepte... erfordern neue Strategien neue Werkstoffkonzepte angepasstes Engineering angepasste QS und Spezifikationen angepasste Prüfkonzepte andere Lebensdauerbetrachtung hohe Anforderung an Regelung mit hoher Regelgüte (EMSR) Trendgüteüberwachung optimierte Betriebskonzepte angepasste Instandhaltungsstrategie ganzheitliches Engineering Gilt das noch nach der Energiewende? November 2011

Begriffsdefinitionen benannte Stelle / DGRL harmonisierte Normen Konformitätsvermutung Herstellerbescheinigung Herstellererklärung zugelassene Überwachungsstelle (ZÜS) / BSV 8

Begriffsdefinitionen Bestandsschutz alte Regelwerke und vorhandene Genehmigung neue Regelwerke und Genehmigung bei Neubau, Modernisierung und Umbaumaßnahmen funktionale Gesamtabnahme 9

Begriffsdefinitionen Gesetzesanforderungen Gefährdungsbeurteilung (BSV) SIL Performence-Level Schutz-Niveau-Stufe Prüffristen Gefahrenanalysen (DGRL) Risikobeurteilung (MRL) 10

Sicherheitsbetrachtung Was ist der Unterschied zwischen einer Risiko- und Gefahrenanalyse Muss Errichter erstellen Enthält Gefahren und deren Minderung für das/die Teil/Komponente Grundlage des Sicherheitskonzeptes Forderung der Richtlinie Gefährdungsbeurteilung Muss Betreiber erstellen Enthält die Gefahren beim Umgang mit der Anlage (funktional) Teil des Sicherheitskonzeptes Forderung der Betriebssicherheitsverordnung 11

Gefährdungsbeurteilung Methodische Ansätze Ereignisablaufanalyse (Event Tree Analysis) Fehlerbaum- Analyse (Fault Tree Analysis) FMEA (Failure Mode and Effects Analysis PAAG- Verfahren (HAZOP- Analysis) Sicherheitsgespräche Ursache- Wirkungs- Analyse LOPA- Verfahren

Was ist Funktionale Sicherheit (1) Was ist Funktionale Sicherheit? Wozu ein Schutzsystem? Reicht eine qualifizierte Regelung nicht aus? Warum ein Schutzsystem basierend auf der Systemplattform eines Leitsystems? Systemkonzept des Schutzsystems Qualifizierung des Schutzsystems Einsatz des Schutzsystems in Kesselschutz-Projekten

Was ist Funktionale Sicherheit (2) Sicherheit ist die Freiheit von unvertretbaren Risiken der physischen Verletzung oder Schädigung der Gesundheit von Menschen, entweder direkt oder indirekt als ein Ergebnis von Schäden an Gütern oder der Umwelt. Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der davon abhängig ist, dass ein System oder ein Betriebsmittel korrekte Antworten auf seine Eingangszustände liefert. D.h. die korrekte Funktion eines Schutzsystems inklusive der Sensoren und Aktoren. Quelle: DIN EN 61508 Bl1 E1

Was ist Funktionale Sicherheit (3) Beispiel: Ein Übertemperatur-Schutzgerät, das Temperatursensoren in den Wicklungen eines elektrischen Motors verwendet, um den Motor abzuschalten, bevor er sich überhitzen kann. Das Bereitstellen einer speziellen Isolierung, um hohen Temperaturen standzuhalten, ist kein Beispiel für funktionale Sicherheit, obwohl es immer noch ein Beispiel für Sicherheit ist und gegen genau die gleiche Gefährdung schützen könnte. Ist eine konstruktive Lösung und hat nichts mit der funktionalen Sicherheit zu tun. Wenn diese Temperaturüberschreitung über Sensoren in eine Schutzabschaltung (elektronisch) überführt wird, handelt es sich um eine sogenannte funktionale Sicherheit. Analog wäre z. B. auch ein mechanisches SV zu nennen HDU wäre funktionale Sicherheit

Abgrenzung zw. Betr-, Überw. & Schutzeinrichtung

Wozu ein Schutzsystem? (1) Reicht eine qualifizierte Regelung nicht aus? Aufgaben der Regelung Optimale Führung von Prozessgrößen beim Anfahren und bei Laständerungen Halten der Prozessgrößen auf vorgegebenen Sollwerten auch bei Störungen Verhindern, dass die Prozessgrößen bei Störungen in unzulässige Bereiche kommen Anforderungen an die Regelung Regelung muss optimal auf die zu erwartenden Störungen eingestellt sein Optimale Regelungsstruktur + optimale Parameter Regelung muss die Regelungsaufgaben mit hoher Zuverlässigkeit erfüllen Fehlertolerante Systemstruktur (Redundanz) + zuverlässige Systemkomponenten (geringe Ausfallraten)

Wozu ein Schutzsystem? (2) Reicht eine qualifizierte Regelung nicht aus? Grenzen der Regelung Notwendigkeit des Schutzes Schutz muss eingreifen, wenn Eine Störung vorliegt, die von der Regelung prinzipiell nicht beherrschbar ist Eine Störung vorliegt die von der Regelung aufgrund der Intensität oder Dynamik nicht beherrschbar ist Eine Störung der Regelung selbst vorliegt, so dass sie ihre Funktion nicht wahrnehmen kann Prinzipien der Entwurfsplanung Schutzeingriffe vermeiden durch eine leistungsfähige und fehlertolerante Regelung Bei notwendigen Schutzeingriffen habe Schutzeingriffe Vorrang Auslösegrenzen so festlegen, dass unnötige Auslösungen vermieden werden

Was ist ein Sicherheits-Integritätslevel (SIL)? Ein Sicherheits-Integritätslevel ist eine von vier Stufen, wobei jede einem Bereich einer Zielwahrscheinlichkeit des Ausfalls einer Sicherheitsfunktion entspricht. Anforderungsfall Betriebsdauer in h Low Demand PFD PFH 10-2 10-1 SIL 1 10-6 10-5 10-3 10-2 SIL 2 10-7 10-6 10-4 10-3 SIL 3 10-8 10-7 10-5 10-4 SIL 4 10-9 10-8 High Demand (Faktor 10.000) Es ist anzumerken, dass ein Sicherheits-Integritätslevel eher eine Eigenschaft einer Sicherheitsfunktion als eines Systems oder irgendeines Teils eines Systems ist.

Schutzsystem auf Basis eines Leitsystems (1) Warum ein Schutzsystem basierend auf der Systemplattform eines Leitsystems Bisherige Sicherheitsfunktionen (konstruktive) werden in wachsender Anzahl durch elektrische, elektronische und programmierbare elektronische Systeme ausgeführt. Ausschöpfung des Potentials der E/E/PE-Technologie zur Verbesserung der Leistungsfähigkeit bzgl. Sicherheit, Verfügbarkeit und Wirtschaftlichkeit von Anlagen. Ermöglichung von technologischen Entwicklungen innerhalb der sicherheitsbezogenen Systeme. Die Herausforderung besteht darin, die Systeme derart zu entwerfen, dass gefahrbringende Ausfälle verhindert werden, oder diese zu beherrschen, wenn sie auftreten.

Schutzsystem auf Basis eines Leitsystems (2) Gefahrbringende Ausfälle können auftreten durch: fehlerhafte Spezifikation des Systems, der Hardware oder der Software; Lücken in der Spezifikation der Sicherheitsanforderungen (z. B. werden nicht alle für die verschiedenen Betriebsarten relevanten Sicherheitsfunktionen bestimmt); zufällige Hardwareausfälle; systematische Hardwareausfälle; Softwarefehler; Ausfälle gemeinsamer Ursache; menschliches Versagen; Umwelteinflüsse (z. B. elektromagnetische, temperaturbedingte oder mechanische Phänomene); Störungen des Versorgungsspannungssystems (z. B. Verlust der Versorgung, reduzierte Spannungen, Wiederkehr der Versorgung).

Definition eines Risikos Sicherheit Risiko ist nicht Höher als höchstes Vertretbares Risiko Restrisiko Höchstes vertretbares Risiko Gefahr Risiko ist höher als höchstes vertretbares Risiko Risiko ohne Schutzmaß nahmen Mindestnotwendige Risikominderung Org.Maß. Tatsächliche FS-Steuerung Risikominderung Konstruktive-Maß. niedrig Risiko hoch

Normenpyramide Entscheidungsfreiheit Individuelle Lösungen Freiraum Gesetze Verordnungen Normen z.b. DIN EN 12953 Nationale Standards Z.B. VDE-Regeln Konkrete Festlegungen Fixierte Lösungen der allgemeinen Sicherheit SHE Versicherungsanforderungen Z.B. VDS-Regelwerk Werksnormen

Trennung von Beschaffenheit und Betrieb Herstellung benannte Stelle Betreib (ZÜS) Nationale Verordnungen 14. ProdSV Harmonisierte EN-Normen EN-12952 / EN-50156 Nicht Harmonisierte Normen z. B. TRD, ASME, Werksnormen Bindend Bindend Bindend Variabel Richtliene 95/63/EG EG-Recht DGRL 97/23/EG Nationales Recht Produktsicherheitsgesetz Betriebssicherheitsverord nung Technische Regeln für Betrieb und Sicherheit TRBS Nationale Normen DIN-12952 / DIN-50156 (TRD, TRB oder TRR) Sonstige Technischen Richtlinien, UVVs VDS- und BG-Richtlinien Werksnormen

Normen Keine bestehende gesetzliche Verpflichtung Normen oder harmonisierte Normen einzuhalten Einhaltung der Norm Nichteinhaltung der Norm Vermutungswirkung Einhaltung allgemein anerkannter Regeln der Technik Trotz Einhaltung der Schutzziele der Norm Beweislast bei Behörden, Gericht, Staatsanwalt Beweislastumkehr Im Ereignisfall (SHE)

SIL in den aktuellen Normen (1) DIN EN 61508 Sicherheits-Grundnorm nur für Einzelgeräte! Gilt für elektrische/elektronische/programmierbarer elektronischer Systeme die Sicherheitsfunktionen ausführen Unabhängig vom Anwendungsgebiet Betrachtung des gesamten Sicherheitslebenszyklus Definition des SIL zur Spezifikation der Sicherheitsintegrität von Sicherheitsfunktionen Risiko-basierte Festlegung des SIL Festlegung von Ausfallgrenzwerten 26

SIL in den aktuellen Normen (2) DIN EN 61511 Anwendung der Grundnorm DIN EN 61508 in der Prozessindustrie Festlegung der Sicherheitsanforderung durch Risikobeurteilung Zuordnung der Sicherheitsanforderungen zu sicherheitstechnischen Systemen Beschreibung von Methoden zur Erlangung der Funktionalen Sicherheit Behandlung des gesamten Sicherheitslebenszyklus Verwendung des probabilistischen Ansatzes 27

Beziehungen DIN EN 61508 zu DIN EN 61511 IEC 61511 = Anwenderbezogene Umsetzung der IEC 61508 Anwender = Prozessindustrie einschließlich Chemieindustrie, Raffinerien, Öl- und Gasförderung, konventionelle Stromerzeuger

Anlagensicherheit Methodik Risikobeherrschung SHE im Focus! gesellschaftlich akzeptiertes Risiko

SIL in den aktuellen Normen (3) DIN EN 50156-1 Anwendung der Grundnorm DIN EN 61508 für Feuerungsanlagen Festlegung der Sicherheitsanforderung durch Risikobeurteilung Zuordnung der Sicherheitsanforderungen zu sicherheitstechnischen Systemen Behandlung des gesamten Sicherheitslebenszyklus Verwendung des deterministischen Ansatzes Beschreibung zu Planung und Errichtung der elektrischen Ausrüstung und PLT-Schutzeinrichtung Beschreibung zu Methoden und Komponenten zur Erlangung der Funktionalen Sicherheit Vorgabe zur technischen Dokumentation 30

SIL in den aktuellen Normen (4) VDI/VDE 2180 Anleitung zur praktischen Umsetzung der Forderungen aus der DIN EN 61511 Gilt für Anlagen der Prozessindustrie, insbesondere für die von der Störfallverordnung betroffenen Anlagen Beschreibt Planung, Errichtung und Betrieb von PLT- Schutzeinrichtungen Vereinfachte Berechnung gegenüber der DIN EN 61511 Verwendung des probabilistischen Ansatzes 31

Ingenieurkompetenz früher und heute? früher 20 % methodische Ansätze (Werkzeug) 80 Fachkompetenz heute 80 % methodische Ansätze (Treiber) 20 % Fachkompetenz Ingenieur bedeutet: das Ganze im Geist zu überblicken! Folie 32

Gefahrenanalyse / Gefährdungsbeurteilung Risikograph nach z. B. nach VDI 2180

Diskrepanz der Anwendbarkeit Risikografen DIN EN 61508/11 DIN EN 50156 DIN VDE 2180 Folie 34

Definition funktionsfähige Baugruppe Das Funktionieren einer Anlage ist abhängig vom Zusammenspiel der einzelnen Anlagenkomplexe und einer optimalen Regelung! Für eine Anlage werden beispielsweise als zusammenhängende funktionsfähige Baugruppe folgende Anlagenkomplexe definiert: Dampferzeuger, Rauchgasreinigung, Wasser-Dampf- Kreislauf und E- und Leittechnik. Bescheinigung TÜV SÜD für funktionsfähige Baugruppe inkl. der implementierten Prozessleittechnik im Gesamtsystem Bescheinigung und Bewertung des Anlagenschutzes auf Grundlage DIN EN 61 511. Hierbei werde alle Anlagenbereiche und deren funktionale Zusammenhänge in einem ganzheitlichen Kontext bewertet (risiko- und ereignisorientiert) CE-Erklärung und Bescheinigung CE-Erklärung und Bescheinigung CE-Erklärung und Bescheinigung CE-Erklärung und Bescheinigung DE RRA W&D EMSR 35

Bewertung von Wechselwirkungen Wechselwirkungen Einflüsse bei der Bewertung von Gefahren und Risiken im Rahmen einer gesamtheitlichen Gefährdungsbeurteilung auf Grundlage von DIN EN 61 508, 61511, 50156, 62061, VDI/VDE 2180 Arbeitsplatz Stoffe

ganzheitliche Bewertung Bewertung nach SHE und/oder Betriebsanforderungen Konzeptbewertung / Anlagenbewertung ERFAHRUNG Definition des gesamten Anwendungsbereiches Verfahrens- und Betriebskonzept, Umwelt, Sicherheit, Regelwerke Gefährdungs- und Risikoanalyse Gesamte Sicherheitsanforderungen Prozessanforderungen! Definition und Zuordnung der Arbeitsplätze

Fehlerarten und Auswirkung Fehler aktiver (unkritisch, weil dieser den sicheren Zustand herbeiführt aber bei Verlust der Verfügbarkeit) passiver (gefährlich, dieses gilt es zu beherrschen und zu entdecken) Auswirkung SHE (Mindestanforderung sind zu erfüllen) führt zu Schaden (Teile, Komponente, Funktion, System, Anlage) Auswirkung führt zu Ausfall (Teile, Komponente, Funktion, System, Anlage) führt zu Verfügbarkeitsbeeinträchtigung Hierauf sind die Anforderungen auf Grundlage sicherheitstechnischer Anforderungen hinsichtlich Arbeits-, Gesundheits-, Personen- und Umweltschutz zu erfüllen in Form organisatorisch und/oder technischer Maßnahmen Folie 38

Allgemeine Betrachtung Schutzsysteme Sicherheitsrelevante Komponenten dürfen nicht für sich allein betrachtet werden, sie müssen immer in ihrer gesamten Wirkungskette (Loop) betrachtet werden. Zur Wirkungskette gehören auch immer die Prozessanbindungen Aufteilung der Fehlerquellen innerhalb der Wirkungskette Fehlerquellen Sicherheitsgericht et Prozessanbindung Signalgeber Schutzeinrichtung Stellglied Prozesseinbindung Schutzsystem

Unschärfe der Berechnung Weit über 60% der Fehler in Sicherheitssystemen werden noch vor der Inbetriebnahme eingebaut Spezifikation; 44 Änderung nach IBN; 20,6 Betrieb & Wartung; 14,7 Nur dieser kleine Anteil alle Fehler kann mit einer PFD/PFH Berechnung erfasst werden! Planung & Implementi erung; 14,7 Installation & IBN; 5,9 Dies macht deutlich das ein Sicherheitssystem nur mit einem funktionierenden Sicherheitsmanagement sowie entsprechendem Qualifiziertem Personal in Betrieb genommen werden darf

Herstellerangaben sicherheitst. Kenndaten Notwendige sicherheitstechnischer Angaben eines SIL-Zertifikates Kenndaten: Ausfallraten für sicherheitsgerichtete unentdeckte Ausfälle = sicherheitsgerichtete entdeckte Ausfälle = gefährliche unentdeckte Ausfälle = gefährliche entdeckte Ausfälle = SU SD DU DU DD In der Regel gibt es nur die Angaben für und / oder DD bzw. Gesamtwert in Form statistischer Werte ohne eindeutigen Praxisbezug Folgende Angaben sind notwendig, werden aber nicht komplett geliefert: Wahrscheinlichkeit für das Versagen bei Anforderung = PFD / PFH die zulässige Betriebsart = Low Demand / High Demand der Ausfallwahrscheinlichkeit Hardwarefehlertoleranz = HFT Gerätetyp (A= einfaches Teilsystem, B= komplexes Teilsystem) zugrundliegendes Prüfintervall für angegebene SIL-Stufe = T 1 nutzbare Lebensdauer (i.d.r. 8 bis 12 Jahre) Angaben wie geeignet bis SIL 3 macht Fehlinterpretationen möglich und zur Erreichung eines sinnvollen SIL sind unbedingt Angaben zum Redundanzgrad (HFT) notwendig. TÜV SÜD Industrie Service GmbH Kraftwerks- und Anlagenservice 41

Lambdawerte eines Zertifikates

Datenüberprüfung aus Zertifikat SD SU Angaben aus Zertifikat 160 105 DD DU 0 120 SD SD SU DD SU 265 385 DD DU 0,6883 68,83% 160 105 0 160 105 0 120 Die nachträgliche rechnerische Überprüfung ergab somit einen realen Wert von: SFF = 68,83% kein Gerätetyp B (A!!!) Im Zertifikat wird ein wesentlich höherer Wert ausgewiesen: SFF = >90,00%

Anteil der sicheren Fehler nicht verwendbar oder redundant ausführen

Abhängigkeit des PFD-Werts vom Prüfintervall T 1 (2) SIL 1 Angabe in Zertifikaten ist nur eine SIL-Fähigkeit des geprüften Gerätes!!! Für die Prozessanwendung muss das nicht stimmen und möglicherweise erfordert diese notwendige Redundanzen!!! Grundmotivation aus unserer Sicht: Stellschraube Marketing orientiert!? SIL 2 SIL 3 Ti t

Schlussfolgerung Funktionale Betriebssicherheit auf Grundlage nicht zertifizierten Geräten ist das möglich? Redundante Strukturen mit einer geeigneten Diagnose zur Aufdeckung von Passivfehlern sind zertifizierten Geräten vorzuziehen (betriebliche Leittechnik auch für Schutz nutzen) Sicherer Anlagenbetrieb mit SIL möglich? Wie glaubwürdig sind Zertifizierungen? Im Focus steht: Kommerzielle Vermarktung und Absicherung der Verantwortlichkeit durch diese Zertifkate mit SIL Eine funktionale Gebrauchsfähigkeit dieser Einzelgeräte innerhalb eines Regelungs- und Schutzsystems steht dabei nicht im Focus 46

Kontaktdaten Haben Sie Fragen Hans Christian Schröder Thomas Leidel, Karsten Klingler TÜV SÜD Industrie Service GmbH Kraftwerks- und Anlagenservice Arbeitsbereich funktionale Sicherheit in EMSR- Technik, Maschinen- und Explosionsschutz Dudenstraße 28 68167 Mannheim Telefon +49 (0)621 395 273i hanschristian.schroeder@tuev-sued.de 47 47