Funktionale Sicherheit und die Anwendung der MSR-Technik im Explosionsschutz

Quelle:PantherMedia/icholakov01

Innerhalb der technischen Sicherheit nimmt die funktionale Sicherheit einen besonderen Stellenwert ein. Die funktionale Sicherheit ist dabei der Teil der Gesamtsicherheit, der von der korrekten Funktion einer risikomindernden steuerungsabhängigen Sicherheitsfunktion abhängt. Dies bedeutet, dass keine Fehlerzustände auftreten dürfen, die eine Gefährdung mit inakzeptabel hohem Risiko durch Ausfall einer Sicherheitsfunktion bedingen. Im Bereich der Maschinensicherheit wird die funktionale Sicherheit von sicherheits­relevanten Maschinensteuerungen beispielsweise über einen sog. Performance Level (PL) oder einen Safety Integrity Level (SIL) nachgewiesen. In der Prozessindustrie wird zumeist der SIL verwendet. Die Anwendung der funktionalen Sicherheit innerhalb des Explosionsschutzes, z. B. in Form diskreter Level (SIL, PL) für MSR-Einrichtungen, sowie deren formalen und rechnerischen Nachweisen wird seit einiger Zeit diskutiert.

Ausgehend von einer grundlegenden Darstellung der Prinzipien der technischen Zuverlässigkeit wird deren Anwendung in der funktionalen Sicherheit sowie innerhalb des Explosionsschutzes beschrieben. Im Ergebnis soll ein Verständnis dafür geschaffen werden, welche Prinzipien der technischen Zuverlässigkeit in der funktionalen Sicherheit und im bewährten Explosionsschutz (sowohl hinsichtlich der Gerätetechnik als auch der Betriebsanforderungen) Anwendung finden. Darauf aufbauend wird der Stand der Diskussion hinsichtlich der Anwendung von MSR-Technik im betrieblichen Explosionsschutz und als Ergänzung/Überwachung von Sicherheits-, Kontroll- und Regelvorrichtung im Sinne der RL 94/9/EU bzw. RL 2014/34/EU [1] dargestellt. Im zweiten Teil des Beitrags wird die, bis dahin neu in Kraft getretene TRGS 725 „Gefähr­liche explosionsfähige Atmosphäre – Mess-, Steuer- und Regeleinrichtungen im Rahmen von Explosionsschutzmaßnahmen“ vorgestellt und diskutiert.

Prinzipien der technischen Zuver­lässigkeit

Als Grundprinzip gilt, dass die Höhe des zu mindernden Risikos unmittel­baren Einfluss auf die Gestaltung tech­nischer Schutzmaßnahmen hat. Je höher das zu mindernde Risiko ist, desto unwahrscheinlicher muss das Versagen einer Schutzmaßnahme sein. Innerhalb der Maschinensicherheit wird hierzu beispielsweise eine Risikoeinschätzung vorgenommen (Teil der Risikobeurteilung des Herstellers), auf deren Basis dann der notwendige Grad der Zuverlässigkeit für die sicherheitsbezogenen Teile der Steuerung (Teil der funktionalen Sicherheit) festgelegt wird.

Im Explosionsschutz legen die Zoneneinteilung und die darauf basierende Gerätekategorie den notwendigen Grad der Zuverlässigkeit fest. Die Ausgestaltung wird durch die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen der Explosionsschutzverordnung (RL 2014/34/EU [1], umgesetzt in der 11. Produktsicherheitsverordnung, ProdSV) präzisiert. Die Anforderungen, die an die technischen Schutzmaßnahmen gestellt werden, basieren ebenso auf grundlegenden Prinzipien der technischen Zuverlässigkeit, die im Folgenden dargestellt werden.

Betrachtet man die technischen Schutzmaßnahmen, so ist es wichtig, diese zuverlässig zu gestalten, um die Sicherheitsfunktion(en) zu gewährleisten. Es kann grundlegend zwischen steuerungsabhängigen und steuerungsunabhängigen Maßnahmen unterschieden werden.

Steuerungsunabhängige Schutzmaßnahmen in der Maschinensicherheit sind beispielsweise trennende Schutzeinrichtungen (Fingerabweiser, Schutzgitter etc.), im Explosionsschutz z. B. Explo­sionsklappen, Berstscheiben oder aber natürliche Lüftung zur Vermeidung von gefährlicher explosionsfähiger Atmosphäre (g. e. A.).

Steuerungsabhängige Maßnahmen bestehen vom Grundsatz her aus einem Input (Sensor), einer Verarbeitung (Logik) und einem Output (Aktor). Ein Beispiel im Bereich der Maschinensicherheit ist der Positionsschalter an einer Maschinentür (Sensor), verknüpft mit einer SPS (Logik) und einem Motor mit Bremsfunktion (Aktor) zur Durchführung einer sicherheitsbezogenen Stoppfunk­tion. Ein mögliches sicherheitsbezogenes System im Explosionsschutz besteht aus einem IR-Detektor (Sensor), einem Mikrocontroller (Logik) und einem HRD-Löscher (Aktor) zur Explosions­unterdrückung (vgl. DIN EN 14373).

Steuerungsunabhängige Maßnahmen (sofern diese richtig spezifiziert, ausgelegt und betrieben werden) gelten i. d. R. über die Lebensdauer der Anlage als ausfallsicher. Steuerungsabhängige Maßnahmen wiederum können stochastisch ausfallen. Fehler die zu diesen Ausfällen führen, werden in systematische Fehler oder zufällige Fehler eingeteilt.

Zufällige Fehler

Zufällige Fehler sind solche, die zu einem zufälligen Zeitpunkt auftreten und die aus einem oder mehreren mög­lichen Verschlechterungsmechanismen in der Hardware resultieren, also Fehler, deren Ursache in einem stochastischen Ausfall von Bauteilen liegt (vgl. [2]). Zu dieser Fehlerklasse sind Zahlenwerte (Ausfallrate , Mean Time To Failure MTTF usw.) bestimmbar. Jedoch kann diese Ausfallart niemals vollständig ausgeschlossen oder dessen Zeitpunkt bestimmt werden. Beispiele solcher zufälliger Fehler sind das „Kleben“ eines (Leistungs-)Schützes, das Blockieren eines Ventils, der Ausfall eines Transistors oder eines Optokopplers. Es ist ersichtlich, dass hierbei im Wesentlichen die Unterscheidung zwischen elektrischen, elektronischen, elektromechanischen und mechanischen Bauteilen getroffen werden kann. Um derartige Fehler zu vermeiden bzw. deren negative Auswirkungen auf die Zuverlässigkeit der Sicherheitsfunktionen zu minimieren, existieren grundsätzliche Maßnahmen der technischen Sicherheit bzw. tech­nischen Zuverlässigkeit¹⁾, die weiter unten skizziert werden.

Systematische Fehler

Systematische Fehler sind solche, die eindeutig mit einer bestimmten Ursache in Beziehung stehen. Die Ursachen für systematische Fehler sind vor allem im Entwicklungsprozess zu suchen und können folglich durch eine Änderung des Entwurfs oder des Fertigungsprozesses, der Betriebsverfahren oder anderer relevanter Faktoren beseitigt werden. Beispiele hierfür sind eine zu geringe Dimensionierung, falsche Materialauswahl oder ein Fehler im Softwareprogramm (vgl. [2]).

Prinzipien zur Vermeidung zufälliger Fehler

Zuverlässigkeit von Bauteilen

Grundsätzlich besteht die Möglichkeit, die Bauteile, mit denen eine Sicherheitsfunktion realisiert wird, hinsichtlich ihrer Zuverlässigkeit auszuwählen. Damit ergibt sich eine Zusammenstellung aus Bauteilen mit höherer Verfügbarkeit und damit generell eine höhere Zuverlässigkeit des Gesamtsystems.

Redundanz und Diversität

Soll ein System zuverlässig gestaltet werden, so kann man es redundant, also zwei- oder mehrkanalig aufbauen. Ein Kanal bezeichnet hierbei einen unabhängigen Übertragungspfad oder eine unabhängige Schutzbarriere. So wird ein Fehler in einem Kanal nicht zu einem Ausfall der Funktion führen, da der zweite Kanal sehr wahrscheinlich nicht zur gleichen Zeit ausfällt und weiter funktionsfähig bleibt. Eine solche Redundanz wird auch als Hardware-Fehlertoleranz (HFT) oder ein M-out-of-N- System (MooN) bezeichnet. Eine ein­fache Redundanz wäre z. B. eine HFT von 1 oder ein 1oo2-System. Als Diversität bezeichnet man es, wenn der zweite Kanal „andersartig“ aufgebaut ist. Dies kann sich beispielsweise auf die Technologie (Kanal 1 pneumatisch, Kanal 2 hydraulisch ausgeführt) beziehen, aber auch auf den Hersteller von Bauteilen.

Diagnose, Test, Prüfung und Überwachung

Eine weitere Möglichkeit die Zuverlässigkeit zu erhöhen, ist die Testung der Sicherheitsfunktionen in Teilen oder insgesamt. Solche Tests können in der Entwicklung, vor Inbetriebnahme, im laufenden Betrieb oder im Sinne eines Funktionstests in festgelegten Inter­vallen erfolgen. Bei einer bestehenden Zweikanaligkeit können die Zustände der Kanäle miteinander verglichen werden. Somit kann festgestellt werden, inwieweit deren Signale voneinander abweichen und somit ein Fehlerzustand besteht.

Prinzipien zur Vermeidung systematischer Fehler

Planung der technischen Sicherheit

Sollen sicherheitsbezogene Systeme entwickelt werden, so ist ein strukturiertes Vorgehen unerlässlich. Dies wird sowohl in Produktsicherheitsvorschriften (z. B. Maschinen- und Explosionsschutzverordnung) als auch in einschlägigen Normen gefordert. Um diesen Forderungen im Bereich steuerungsabhängiger Systeme nachzukommen, wird i. d. R. ein sog. „Plan der funktionalen Sicherheit erstellt“. In diesem werden die Aufbau- und Ablauforganisation und der Designprozess in Form von erforder­lichen Schritten (Risikobeurteilung, Systemspezifika­tion, Planung von Validierung und Verifikation etc.) sowie Verantwortlichkeiten festgelegt (vgl. [2]).

Strukturierte Analyse und risikobasierte Entwicklung

Ein wesentlicher Faktor und die Grundlage für eine fundierte Systemspezifikation ist eine strukturierte Analyse (Requirements Engineering) zu Beginn der Systementwicklung. Im Bereich der Produktsicherheitsvorschriften erfolgt dies im Wesentlichen durch die Durchführung einer Risikobeurteilung [3]. Im Zuge dessen kann auch der notwendige Grad der Risikominderung für steuerungsabhängige Sicherheitsfunktionen (MSR-Technik) ermittelt werden. Im weiteren Entwicklungsverlauf werden entsprechende Systemarchitekturen, Zuverlässigkeitskenngrößen von Bauteilen sowie Maßnahmen zur Fehlererkennung und deren Qualität (sog. Diagnose­deckungsgrad) vorgegeben. Diesen Prozess robust zu gestalten, hilft bei der Vermeidung systematischer Fehler.

Prüfung durch unabhängige Instanzen

Als weiteres Prinzip während des Entwicklungsprozesses kommt die Prüfung durch unabhängige Instanzen hinzu. Es ist sinnvoll, den Grad der Unabhängigkeit der prüfenden Instanzen vom zu erreichenden Grad der Risikominderung abhängig zu machen. So reicht dies vom einfachen Vieraugenprinzip, über Tests durch Mitarbeiter einer anderen Abteilung innerhalb des Unternehmens bis hin zu Tests durch externe Prüfstellen. Dieses Prinzip ist unabhängig von rechtlich bindenden Vorgaben wie z. B. denen einer Baumusterprüfung.

Risikobegriff in der funktionalen Sicherheit

Vereinfacht ausgedrückt besteht das Risiko aus dem Produkt von Eintrittswahrscheinlichkeit (oftmals eher im Sinne einer Häufigkeit) und Schadenschwere:

R = P  S

Um eine technische Schutzmaßnahme hinsichtlich deren technischer Zuverlässigkeit auszulegen, ist es im ersten Schritt wichtig, festzustellen, wie groß der Grad der Risikominderung ist, der durch die Maßnahme gewährleistet werden soll. Sicherheitsfunktionen sollten erst dann als solche definiert werden, wenn deren Ausfall eine unmittelbare Erhöhung des Risikos bedeutet. So spricht z. B. in der Maschinensicherheit die DIN EN 62061 von einem sicherheitsbezogenen elektrischen Steuerungssystem (SRECS = Safety-Related Electrical Control System) als „elektrisches Steuerungssystem (einer Maschine), dessen Ausfall zu einer unmittelbaren Erhöhung des Risikos (der Risiken) führt“ [4; 5].

In der Maschinensicherheit im Sinne der DIN EN 62061 werden zur Bestimmung des abzudecken Risikos verschiedene Parameter zur Bestimmung von Eintrittswahrscheinlichkeit/Häufigkeit und Schadenschwere verwendet. Hierbei wird über die Addition der Häufigkeit F, der Wahrscheinlichkeit des gefährlichen Ereignisses W und der Vermeidung P eine sog. Klasse K (ein Zahlenwert von 4 bis 15) ermittelt. Hinzu kommt die Schadenschwere S (von 1 bis 4) (Tabelle 1).

Tabelle 1 Beispiel für die Bestimmung des abzudecken Risikos in der funktionalen Sicherheit (in Anlehnung an [2]).

Risikobegriff im Explosionsschutz

Sofern eine gefährliche explosions­fähige Atmosphäre (g. e. A.) nicht sicher verhindert werden kann, werden weitere Maßnahmen notwendig. Grundlage des Explosionsschutzes ist es, auf der Basis einer Einteilung in Zonen und der verwendeten Stoffe bzw. deren sicherheitstechnischen Kenngrößen (STK), die Gerätetechnik so zu gestalten und auszuwählen, dass eine Zündung der explo­sionsfähigen Atmosphäre sicher vermieden wird. Hierbei wird die Zuverlässigkeit der Vermeidung von Zündgefahren umso wichtiger, je wahrscheinlicher das Auftreten einer explosionsfähigen Atmosphäre ist. Diese Auftretenshäufigkeit ist elementare Grundlage der Zoneneinteilung.

Aus der Zoneneinteilung lassen sich Anforderungen an die einzusetzenden Geräte im Sinne der RL94/9/EU bzw. RL2014/34/EU, im Folgenden als „ATEX-Geräte“ bezeichnet, und an andere inhärente Zündquellen ableiten, vgl. [1] (Tabelle 2).

Tabelle 2 Zoneneinteilung und Gerätekategorie [1].

Anwendung der Prinzipien der funktionalen Sicherheit im ATEX-Bereich (Geräte- und Schutzsystem)

Betrachtet man den Bereich des Explosionsschutzes, so handelt es sich hierbei um einen Bereich der Sicherheitstechnik mit langer Tradition und einem umfassenden bewährtem Regelwerk. Generell ist eine Einteilung in Beschaffenheits­anforderungen (ausgehend von der RL 2014/34/EU) und den Betriebsan­forderungen (ausgehend von der RL 1999/92/EG) zweckmäßig. Bei den Beschaffenheitsanforderungen des sog. ATEX-Gerätebereichs. Es ist naheliegend, dass hinsichtlich der Hard­ware-Fehler­toleranz mit den Gerätekategorien bestimmte Vorgaben einhergehen. So ist die Explosionssicherheit bei der Kategorie 1 auch bei „selten auftretenden Störungen“ zu gewährleisten. Die RL 2014/34/EU führt hierzu aus:

„Geräte und Schutzsysteme sind unter Betrachtung möglicher Fehlerzustände zu entwerfen und herzustellen, um gefährliche Situationen soweit möglich auszuschalten.

Sie müssen mit Explosionsschutzmaßnahmen ausgerüstet sein, sodass…

– beim Versagen einer apparativen Schutzmaßnahme mindestens eine zweite unabhängige apparative Schutzmaßnahme die erforderliche Sicherheit gewährleistet oder – beim Auftreten von zwei unabhängigen Fehlern das erforderliche Maß an Sicherheit gewährleistet ist.“

Als Fehler/Fehlfunktion werden im Explosionsschutz z. B. in der Norm DIN EN 60079 „Explosionsgefährdete Bereiche Teil 0: Betriebsmittel – Allgemeine Anforderungen“, sowohl systematische Fehler (z. B. Softwarefehler oder Konstruktionsfehler), externe Einwirkungen (z. B. Vibration oder elektromagnetische Felder) als auch zufällige Fehler (Ausfall eines Bauteils) genannt. Diese führen dazu, dass ein Gerät zur potenziellen Zündquelle wird. Mit Maßnahmen gegen eine Fehleranhäufung ist damit also eine Hardware-Fehlertoleranz einbezogen. Aus Normen, wie der für die Zündschutzart „Eigensicherheit (Ex i)“ [6] lassen sich konkrete Vorgaben zur Redundanz ableiten. So kann beispielsweise die Anzahl der parallel geschalteten Zenerdioden bzw. -barrieren zur Spannungsbegrenzung erhöht werden. Versagen zwei Zenerdioden in gefähr­licher Weise, indem sie unterbrechen, bleibt immer noch eine dritte wirksam. Damit steigt die Hardware-Fehlertoleranz gegenüber eines Versagens dieses elektronischen Bauteils.

Tabelle 3 Prinzipien der technischen Zuverlässigkeit in der Sicherheitstechnik.

Prozessleittechnik und Beschaffenheitsanforderungen im Explosionsschutz

Weiter oben wurde festgestellt, in welchen Bereichen der ATEX- Gerätetechnik Prinzipien der technischen Zuverlässigkeit umgesetzt werden und welche Unterschiede bezüglich der funktionalen Sicherheit in Form bestimmter diskreter Level existieren. Es ist zu hinterfragen, inwiefern weitere Betrachtungen bzw. eine Übertragung der Normung der funktionalen Sicherheit anwendbar und notwendig sind. Solche Betrachtungen werden immer dann von Interesse sein, wenn bestehende ATEX-Geräte mit den Mitteln der MSR-Technik verknüpft werden [8; 9]. Dieses kann dann der Fall sein, wenn Geräte mit den Mitteln der MSR-Technik überwacht werden (z. B. externe Temperaturüberwachung) bzw. andere Parameter (z. B. Füllstandsüberwachung) als zusätzliche Maßnahme im mechanischen Explosionsschutz eingesetzt werden, um das Gerät bestimmungsgemäß zu betreiben. Eine weitere Möglichkeit wäre es, ein ATEX-Gerät mithilfe einer zusätzlichen Sicherheitseinrichtung in einer anderen Zone als der ursprünglich vorgesehenen einzusetzen. Hierzu enthält die DIN EN 50495 [10] einen Ansatz. Dieser stellt dar, wie man Gerätekategorien mit den Mitteln der „technischen Überwachung“ für den Einsatz in einer niedrigeren Zone „ertüchtigt“. Bei dem Einsatz einer Sicherheitseinrichtung, die Geräte automa­tisiert überwacht, übernimmt diese demnach die Funktion einer zweiten unabhängigen apparativen Schutzmaßnahme im Sinne der ATEX-Richtlinie.

Tabelle 4 Minimale Anforderung an die Sicherheitsintegrität und Fehlertoleranz einer Sicherheitseinrichtung im Sinne der DIN EN 50495 [10].

Überwachtes Betriebsmittel im Sinne von [2].

Interessant ist, dass in dieser Norm konkret auf die Normen des SIL Bezug genommen wird. Hiermit wird implizit eine formale und rechnerische Nachweisform der funktionalen Sicherheit konkret mit dem ATEX-Bereich verknüpft und für den Anwender der Norm somit verbindlich. Damit wird von der ursprünglichen und bewährten Philosophie des Explosionsschutzes, in der Regel keine rechnerischen Nachweise zu führen, abgewichen.

Prozessleittechnik und betrieblicher Explosionsschutz

Hinsichtlich der Verwendung von Prozessleittechnik bzw. der Übertragung der funktionalen Sicherheit in den betrieb­lichen Explosionsschutz, existieren in Deutschland zwei wesentliche Diskussionsbeiträge, die Namur-Empfehlung 138 [8] und die Richtlinie VDI 2180 Blatt 6 [9]. Des Weiteren wird die Technische Regel Gefahrstoffe (TRGS) 725 „Gefährliche explosionsfähige Atmosphäre – Mess-, Steuer- und Regeleinrichtungen im Rahmen von Explosionsschutzmaßnahmen“ 2016 in Kraft treten. Während die VDI 2180 Blatt 6 konkrete SIL-Einstufungen vorschlägt, vermeidet die Namurempfehlung (NE) diese Bezeichnung. Die NE 138 beschreibt den Einsatz von Prozessleittechnik im Explosionsschutz für beispielhafte Anwendungsfälle.

Eine bewährte Maßnahme des Explosionsschutzes ist es, über Lüftungsmaßnahmen zu einer geringeren Häufigkeit/Dauer einer gefährlichen explosionsfähigen Atmosphäre und damit zu einer höheren Zone zu gelangen. Hiermit können die weiteren notwendigen Maßnahmen, insbesondere hinsichtlich der Zündquellenvermeidung und Gerätetechnik, reduziert werden. Wird diese „Zonenverschiebung“ mit Mitteln der PLT sichergestellt, so sind Betrachtungen zur tech­nischen Zuverlässigkeit anzustellen. Entsprechende Vorschläge werden in der NE 138 gegeben.

Ein weiteres Einsatzgebiet für die funktionale Sicherheit ist im Sinne der NE 138 der Einsatz von Prozessleittechnik, um ein bestehendes ATEX-Gerät in einer anderen Zone einsetzen zu können. Dies wäre ein analoger Ansatz zur Norm DIN EN 50945 [10]. Beispielsweise kann ein Gerät der Kategorie 2 statt in Zone 1 auch, wie ein Gerät der Kategorie 1, in Zone 0 eingesetzt werden, sofern bestimmte Maßnahmen der Prozessleittechnik (z. B. Füllstandsüberwachung) sichergestellt werden. Hier können zwei Fälle unterschieden werden:

1. Vom Hersteller des Geräts werden die Maßnahmen der Prozessleittechnik, die zum bestimmungsgemäßen Betrieb in einer bestimmten Zone gehören, vorgegeben.
2. Der Betreiber setzt ein Gerät in einer niedrigeren Zone ein und sichert die Maßnahme mit dem Einsatz von Prozessleittechnik ab. Der Inhalt der NE 138 wird zukünftig durch die TRGS725 abgedeckt und daher an dieser Stelle nicht weiter diskutiert (siehe Teil 2).   TS 514