Fehleinschätzungen rund um SIL

Fehleinschätzungen SIL

Kommen Ihnen diese Statements bekannt vor? „Hab ich SIL, hab ich Sicherheit“ - „Hab ich ein Zertifikat, hab ich den SIL erfüllt“ - „Hab ich Redundanz, bin ich sicherer“ - „Wenns läuft, läufts – SIL installieren und vergessen“ - „Hab ich SIL, läuft die Anlage“

„Hab ich SIL, hab ich Sicherheit“

Maschinen und Prozessanlagen unterliegen den komplexen Regelwerken der Funktionalen Sicherheit, um Menschen und Umwelt möglichst gut vor Gefährdungen zu schützen. Betreiber müssen im Rahmen einer Gefährdungs- und Risikobeurteilung Sicherheits-Integritätslevel festlegen (SIL 1 bis SIL 4). Wichtig dabei: trotz Kosten- und Termindruck darf es hier nicht zu oberflächlichen Analysen oder Fehleinschätzungen bei der Risikoermittlung oder -einstufung kommen, denn immer wieder zeigt die Praxis, dass die meisten Störfälle Folge von übersehenen Gefahren und falschen Annahmen sind. Sicherheitstechnische Funktionen können eben nur vor den Gefahren und Risiken schützen, die man vorher erkannt hat. Sorgfalt bei der Gefahrenanalyse und eine saubere Dokumentation sind deshalb die erste Pflicht. Sie sind die Basis für alles und müssen auch bei späteren Modifikationen über die gesamte Lebenszeit einer Anlage oder Maschine immer wieder bewertet und aktualisiert werden.

„Zunächst gilt es, möglichst alle gefährlichen Ereignisse in einer Prozessanlage bzw. an einer Maschine zu ermitteln sowie deren Schadenspotential und Eintrittswahrscheinlichkeit zu bestimmen. Entscheidungen müssen getroffen werden, welche Schutzebenen angewendet werden und wie stark diese sein müssen, um ein tolerierbares Risiko zu erreichen. Wird dazu eine Sicherheitstechnische Funktion verwendet, so sind die SIL-Stufe und die damit verbundene Ausfallwahrscheinlichkeit der Sicherheitseinrichtung (PFD) festzulegen.“
Fred Stay,
Director Safety Consulting at HIMA

„Hab ich ein Zertifikat, hab ich den SIL erfüllt“

Einem Irrtum darf man bei der nachfolgenden Realisierung der Sicherheitstechnischen Funktionen keinesfalls aufsitzen: dass eine SIL-Bescheinigung eines Herstellers ausreichende Grundlage für den Einsatz des Geräts in einem Sicherheitskreis ist. SIL ist keine Geräteeigenschaft, sondern bezieht sich immer auf die gesamte risikoreduzierende Funktion. Nur einem vollständigen Sicherheitskreis kann ein Sicherheits-Integritätslevel zugeordnet werden und jede Kette ist eben nur so stark wie das schwächste Glied.

„Der SIL-Nachweis für eine Sicherheitstechnische Funktion ist nicht mit dem Abheften der zugehörigen Gerätezertifikate erbracht. Von der grundsätzlichen technischen Eignung der Geräte für die individuelle Anwendung und Betriebsart über die Hinweise in den Sicherheitshandbüchern bis hin zu den eigenen Betriebserfahrungen gibt es einige Kriterien mehr zu berücksichtigen. Diese stehen üblicherweise nicht im Zertifikat.“
Fred Stay,
Director Safety Consulting at HIMA

„Hab ich Redundanz, bin ich sicherer“

Ab bestimmten SIL Stufen sind Mindest-Redundanzanforderungen (Hardware Fehler-Toleranz) zu beachten. Redundanz mit den gleichen Geräten aufzubauen kann dabei unter Umständen falsche Weg sein, da dann ein gefährlicher Ausfall aufgrund gemeinsamer Ursache, zum Beispiel bei einem durch erhöhte Temperatur verursachten Fehler, bei beiden möglich ist. Das gleiche gilt auch für andere systematische Fehler, welche z.B. im Betriebssystem bei komplexeren Geräten vorhanden sein können und dementsprechend bei beiden Geräten gleichzeitig zum Vorschein kommen. Hier ist zu prüfen, ob explizit eine systematische Eignung der Geräte für diese SIL-Stufe vorliegt oder ob man alternativ auf ein diversitäres Gerät eines anderen Herstellers zurückgreift um die Redundanz aufzubauen.

 „Wenns läuft, läufts – SIL installieren und vergessen“

Läuft alles, ist das kein Grund sich zurückzulehnen. Auch Sicherheitskreise altern oder verschleißen und müssen regelmäßig überprüft werden. Diese wiederkehrenden Prüfungen bei Sicherheitseinrichtungen sind mit den Werkstattintervallen und TÜV-Prüfungen beim Auto vergleichbar. Sie finden in anlagen- und geräteabhängigen Intervallen statt und sind für einen sicheren Betrieb unabdingbar. Functional Safety Management Systeme unterstützen dabei, die Prüfungen zum richtigen Zeitpunkt in korrekter Art und Weise auszuführen und zu dokumentieren Die gute Nachricht: Ein erheblicher Teil dieser Prüfungen lässt sich heute jedoch automatisieren.

„Die Integrität der Sicherheitstechnischen Funktionen ist keine Momentaufnahme im Rahmen der Inbetriebnahme einer Anlage oder Maschine. Sie ist über den ganzen Lebenszyklus hinweg aufrecht zu erhalten. Dies setzt regelmäßige Prüfungen und ein aktives Management auch während der oft sehr langen Betriebsphase bzw. Nutzungsdauer voraus.“
Fred Stay,
Director Safety Consulting bei HIMA

„Hab ich SIL, läuft die Anlage“

Hinzu kommt ein weiterer Punkt: Die Sicherheitsvorkehrungen sollen aus Betreibersicht die Anlagenverfügbarkeit nicht einschränken. Es gilt also das Design der Sicherheitstechnischen Funktion so zu gestalten, dass außerplanmäßiger Stillstand vermieden und die Wartung und Prüfbarkeit der Einrichtungen ermöglicht werden. Redundanz kann deshalb nicht nur aus Safety-Gründen notwendig sein. Auch vorbeugende Fehlererkennung kann die Anlagenverfügbarkeit enorm verbessern. Ein Schlagwort in diesem Zusammenhang ist auch der „Smart Safety-Test“. Prüfungen „intelligenter“ Feldgeräte können dann beispielsweise über Prüfabläufe, die in der Sicherheitssteuerung hinterlegt sind, voll- oder teilautomatisiert zu vorher festgelegten Zeitpunkten durchgeführt werden, wobei die Anlage nicht zwangsläufig stillstehen muss.

Wer sich wegen der sehr komplexen Thematik Berater rund um die Anlagensicherheit ins Boot nimmt, für den gilt dann die Devise „Trau, schau, wem“. Nur wer regelmäßig mit den Normen, Regelwerken und Behörden zu tun hat, wird sich auch wirklich mit allen Facetten der Funktionalen Sicherheit auskennen. Als verlässlicher Partner kann hier HIMA mit seinen Safety Services die passende Unterstützung bieten.