SIL-Berechnungssoftware - Eine allgemeine Einführung in Normen und Konzepte

Leistungsstarke Anlagen, brennbare Chemikalien und Hochdruckverfahren können leicht zu gefährlichen oder sogar tödlichen Zwischenfällen führen. Die verfahrenstechnische Industrie, insbesondere der Öl-, Gas- und Chemiesektor, ist gefährlich, und es ist von entscheidender Bedeutung, die Sicherheit unserer Anlagen und unserer Mitarbeiter zu gewährleisten. Deshalb ist es wichtig, potenzielle Gefahren vor Ort zu erkennen und zu vermeiden.

"Bei erfolgreicher Technik geht es darum zu verstehen, wie Dinge kaputt gehen oder versagen." ~ Henry Petroski, Amerikas Experte für Versagen

Viele Anlagen verlassen sich auf Sicherheitsgerichtete Systeme (SIS) (Eine Gefahr ist eine potenzielle Quelle von Schäden oder gesundheitlichen Beeinträchtigungen für eine Person oder mehrere Personen).

Um zu verstehen, was ein sicherheitsgerichtetes System (SIS) ist und wie es dazu beiträgt, Gefahren zu vermeiden, müssen wir zunächst die verschiedenen Verteidigungslinien (LOD) / Schutzschichten (LOPA ) verstehen und wo sicherheitsgerichtetes System (SIS) hineinpasst.

Diese Verteidigungslinien (LOD) / Schutzschichten (LOP) sind unabhängige Schichten, die dazu dienen, entweder zu verhindern, dass sich ein auslösendes Ereignis (z. B. Kühlungsausfall) zu einem Zwischenfall (z. B. Freisetzung eines gefährlichen Stoffes) entwickelt, oder die Folgen eines Zwischenfalls abzumildern, sobald dieser eingetreten ist.

Die erste Ebene ist das Basisprozessleitsystem (BPCS). Das Basisprozessleitsystem (BPCS) steuert Druck, Füllstand, Temperatur, Durchfluss usw.

Das Problem ist jedoch, dass Prozessleitsysteme (BPCS) versagen können! Konstrukteure und Ingenieure können nicht alle möglichen Gefahren vorhersehen und Kontrollsysteme so konzipieren, dass sie alle Gefahren verhindern. Wenn dem so wäre, bräuchten wir keine Alarmsysteme, Überdruckventile, Fackelsysteme usw. Da dies jedoch nicht der Fall ist, benötigen verfahrenstechnische Anlagen mehrere Schutzschichten...

Wenn ein BPCS ausfällt, ist die nächste Schutzebene nach dem Bedienereingriff das vom BPCS unabhängige Safety Instrumented System (SIS).

Ein sicherheitsgerichtetes System (SIS) steuert nichts. Es überwacht viele der gleichen Variablen wie das BPCS, wird aber nur tätig, wenn eine Variable außerhalb ihres normalen Bereichs liegt, was im Allgemeinen bedeutet, dass das Prozessleitsystem (BPCS) ausgefallen ist.

Jedes SIS führt eine oder mehrere sicherheitsbezogene Funktionen (Safety Instrumented Functions - SIF) aus.

Sicherheitsgerichtete Funktionen (Safety Instrumented Functions, SIF) bestehen aus drei Elementen: Sensoren (z. B. ein Durchflussmesser) und Logiklöser (z. B. eine Sicherheits-SPS), die gefährliche Zustände erkennen, und endgültige Steuerelemente (z. B. ein Ventil), die manipuliert werden, um einen sicheren Zustand zu erreichen.

Der Sicherheitsintegritätslevel (SIL) gibt den Grad der Risikominderung durch eine instrumentierte Sicherheitsfunktion (SIF) an, die von einem sicherheitsinstrumentierten System (SIS) innerhalb eines bestimmten Prozesses umgesetzt wird. Mit anderen Worten: SIL ist ein Maß für die Leistung der SIF in Bezug auf die Wahrscheinlichkeit eines Ausfalls bei Bedarf (PFD).

Bei der Auslegung eines SIF ist ein angemessener SIL entscheidend für das Erreichen des erforderlichen Sicherheitsniveaus.

In der IEC 61508 sind vier SIL-Stufen definiert, wobei SIL 4 die höchste Stufe der Sicherheitsleistung darstellt. So entspricht beispielsweise SIL 1 einem Risikominderungsfaktor (RRF) von mindestens 10 und SIL 4 einem Risikominderungsfaktor (RRF) von mindestens 10.000.

Die folgende Tabelle zeigt die zugehörige durchschnittliche Ausfallwahrscheinlichkeit bei Bedarf (_PFDAvg) und die durchschnittlichen Risikominderungsfaktoren (_RRFAvg) für jeden SIL.

Je höher also der SIL-Level, desto höher ist das damit verbundene Sicherheitsniveau und desto geringer ist die Wahrscheinlichkeit, dass ein System ausfällt. Normalerweise bedeutet ein höherer SIL-Level ein komplexeres System und höhere Installations- und Wartungskosten.

Prozessanlagen benötigen in der Regel nur SIL 1 und SIL 2 SIFs. SIL 3 und SIL 4 SIFs sind sehr selten und in der Regel nicht wirtschaftlich sinnvoll zu implementieren, da sie ein hohes Maß an Duplikation erfordern. In den meisten dieser Fälle sollte man die grundlegende Auslegung des Prozesses überdenken.

In diesem Zusammenhang ist es auch wichtig zu erwähnen, dass SIL-Stufen nur für SIFs gelten. Einzelne Produkte oder Komponenten haben keine SIL-Einstufung. Sie können jedoch als geeignet für die Verwendung in einer bestimmten SIL-Umgebung gekennzeichnet werden.

Lassen Sie uns kurz über die IEC 61508 und die anderen Normen sprechen, die es gibt.

Im Jahr 1998 veröffentlichte die Internationale Elektrotechnische Kommission (IEC) die IEC 61508, die erste internationale Norm zur Quantifizierung der Sicherheitsleistung eines elektrischen Steuerungssystems und zur Einführung des Konzepts des Lebenszyklus. Das Hauptziel dieser Norm ist die Minimierung von Ausfällen in allen elektrischen/elektronischen/programmierbaren elektronischen sicherheitsrelevanten Systemen.

Die Norm IEC 61511 wurde als eine Implementierung der IEC 61508 für den Prozesssektor entwickelt und enthält Anforderungen für die Spezifikation, den Entwurf, die Installation, den Betrieb und die Wartung von sicherheitsgerichteten Systemen (SIS).

In den USA wird die Norm ANSI/ISA-84.00.01 verwendet. Dies ist die gleiche Norm wie die internationale Norm IEC 61511, mit dem Zusatz einer Besitzstandsklausel, um bestehende SIS-Installationen zu berücksichtigen.

Diese Normen stellen die derzeitige bewährte Praxis für das Management von SIFs in verfahrenstechnischen Anlagen auf der ganzen Welt dar. Durch die Übernahme dieser Normen wird ein angemessenes Risikomanagement gewährleistet. Daher sollte auch die SIL-Bewertungssoftware / SIL-Berechnungssoftware an diese Normen angepasst werden.

Um den SIL-Level eines SIFs zu bestimmen, muss die PFD des SIFs insgesamt berechnet werden. Bei dieser SIL-Berechnung werden die Ausfallraten der einzelnen SIF-Komponenten (d. h. der Sensoren, Logiklöser und Steuerelemente) kombiniert und die Testhäufigkeit, Redundanz, Abstimmungsvereinbarungen usw. berücksichtigt.

Daten zur Ausfallrate der einzelnen Komponenten können von den Geräteherstellern bezogen werden. Aber selbst wenn diese Daten verfügbar sind, ist die Berechnung recht anspruchsvoll. Es wird daher empfohlen, eine gute SIL-Bewertungssoftware / SIL-Berechnungssoftware zur Bestimmung des SIL zu verwenden. Außerdem sind die Kompetenz und Erfahrung des Anwenders und die Mitwirkung vieler Disziplinen erforderlich.

Doch wie fügt sich die SIL-Berechnung in das Gesamtbild ein? Dazu müssen wir den Sicherheitslebenszyklus verstehen.

Die IEC-Normen definieren ein Konzept, das als Safety Life Cycle bekannt ist. Dabei handelt es sich um einen zyklischen Prozess, bei dem alle Gefährdungen identifiziert und analysiert werden, um zu verstehen, welche Gefährdungen ein SIS erfordern.

Der Sicherheitslebenszyklus kann in wenigen Schritten skizziert werden, um zu zeigen, wo die SIL-Berechnungen ihren Platz haben:

Die Gesamt-PFD des SIF wird mit SIL-Berechnungen ermittelt. Die RRF des SIF kann dann mit der erforderlichen Mindest-RRF verglichen werden (zur Erinnerung: RRF = 1/PFD.). Ist die RRF größer als die geforderte Mindest-RRF, ist das SIF ausreichend.

Die SIL-Bestimmung erfordert Sorgfalt. Daher sollte man auch bei der Auswahl der SIL-Bewertungssoftware / SIL-Berechnungssoftware sorgfältig vorgehen. Idealerweise sollte sich die Software nicht nur auf die SIL-Berechnung konzentrieren, sondern bei der gesamten Safety-Lifecycle-Analyse helfen.