NAMUR: Realisierung von PLT-Betriebseinrichtungen mit Sicherheitsfunktion

Sicherheitsfunktionen können je nach auszuführender Qualität unterschiedlich umgesetzt werden. So können Sicherheitsfunktionen z.B. hartverdrahtet, in einer Sicherheitssteuerung oder unter bestimmten Bedingungen auch im betrieblichen Leitsystem umgesetzt werden. Diese Möglichkeiten sind nicht neu, im Rahmen des aktuellen Regelwerks werden aber Anforderungen u.a. an Sicherheitsfunktionen im betrieblichen Leitsystem konkretisiert.

In Prozessanlagen sind häufig zwei getrennte Systeme für die Automatisierung zu finden:

  1. das Prozessleitsystem (BPCS) und
  2. das Sicherheitssystem (SIS).

Wird eine Anlage neu errichtet oder erweitert, werden im Rahmen einer Sicherheitsanalyse Maßnahmen zur Risikominimierung (wenn erforderlich) definiert. Ist das Risiko für Leib, Umwelt und Leben klein oder gering (man spricht auch vom Risk Reduction Factor RRF <= 10) können diese mit Funktionen im Prozessleitsystem realisiert werden. Dieses ist für alle Produktionsschritte und –abläufe zuständig. Alle anderen Sicherheitsfunktionen (RRF > 10) werden meist im Sicherheitssystem (SIS) realisiert.

Grafische Darstellung der verschiedenen Schutzebenen einer Prozessanlage („Zwiebelschalenmodell“)
Grafische Darstellung der verschiedenen Schutzebenen einer Prozessanlage („Zwiebelschalenmodell“)

Sicherheitsfunktion

Sicherheitsfunktionen können je nach auszuführender Qualität unterschiedlich umgesetzt werden. So können Sicherheitsfunktionen z.B. hartverdrahtet, in einer Sicherheitssteuerung oder unter bestimmten Bedingungen auch im betrieblichen Leitsystem umgesetzt werden. Diese Möglichkeiten sind nicht neu, im Rahmen des aktuellen Regelwerks werden aber Anforderungen u.a. an Sicherheitsfunktionen im betrieblichen Leitsystem konkretisiert. (z.B. IEC-61511:2016 oder, TRGS725).

In Gesprächen des NAMUR AK 4.5 (Funktionale Sicherheit) mit Vertretern der Anlagensicherheit aus dem VCI wurden Bedarf und Einsatzmöglichkeiten identifiziert. Warum der NAMUR Arbeitskreis dieses Thema aufgreift, erfahren Sie hier!

Kurz nachgefragt

bei Udo Menck, Global Functional Safety Manager, Dow Chemical, Werk Stade. Hier in der Funktion als Mitglied des NAMUR Arbeitskreises 4.5 (Funktionale Sicherheit)

Udo Menck
Udo Menck

Thomas Schindler von Yokogawa: Herr Menck, was sind die Auswirkungen der Änderung der IEC61511 ed2 für das Arbeitsfeld des NAMUR AK 4.5?

Udo Menck: Durch die oben beschriebenen Möglichkeiten können auch Sicherheitsfunktionen mit geringer oder ergänzender Risikominimierung im normalen Prozessleitsystem (BPCS) realisiert werden. Dabei entsteht automatisch die Frage: Wie kann ich dies in der Praxis umsetzen? Leider bieten Normen und Standards dafür keine konkreten Hinweise zur Implementierung. Der NAMUR AK 4.5 arbeitet an Lösungsmöglichkeiten, um solche Maßnahmen mit den Anforderungen der IEC 61511 in Einklang  zu bringen.

Dabei ist das Ziel, eine Lösung zur Umsetzung für Anlagensicherheit und gleichzeitig für Explosionsschutz zu schaffen.

Thomas Schindler von Yokogawa: Welche Themen werden von der NAMUR in diesem Zusammenhang aufgegriffen?

Udo Menck: Es geht um praktische Dinge, wie z.B.: Welche Geräte dürfen verwendet werden? Wie oft müssen diese gewartet werden? Wie ist das Änderungsmanagement aufzusetzen? Wie gestaltet sich die Programmierung, Verifikation und Validierung?

Thomas Schindler von Yokogawa: Wieso ist es Ihnen wichtig, die Hersteller von Prozessleitsystemen (BPCS) hier miteinzubeziehen?

Udo Menck: Die Herausforderungen bei der Implementierung von PLT-Betriebseinrichtungen mit Sicherheitsfunktion ist eine ausreichende Unabhängigkeit von den normalen Betriebseinrichtungen.

Der NAMUR Arbeitskreis hat festgestellt, dass zurzeit noch kein Leitsystemhersteller auf die Implementierung dieser Sicherheitsfunktionen im Leitsystem eingegangen ist.

Wir sehen eine Differenz zwischen den normativen Anforderungen, den  gewünschten Möglichkeiten und der verfügbaren Produkte am Markt um eine anwenderfreundliche Implementierung zu vollziehen.

Umfragen bei den Endanwendern haben ergeben, dass die Hardware der üblichen Leitsysteme als ausreichend zuverlässig angesehen wird, um PLT-Betriebseinrichtungen mit Sicherheitsfunktion zu realisieren. Dies sollten die Lieferanten uns in Zukunft auch bestätigen.

Die Bedenken der Endanwender liegen hauptsächlich beim täglichen Umgang mit dem Leitsystem. Ein Programmierer könnte z.B. durch eine Änderung im Betriebsprogramm versehentlich eine PLT Betriebseinrichtung mit Sicherheitsfunktion deaktivieren oder durch Parameteränderungen ein ungewolltes Verhalten initiieren. Dieses wird zurzeit durch ein sehr aufwändiges „Management of Change System“ – manuell – sichergestellt.

Um an dieser Stelle Vereinfachungen für den Endanwender zu schaffen, erarbeitet die NAMUR gemeinsam mit den Leitsystemherstellern die Anforderungen an Leitsysteme (im Rahmen einer NAMUR-Empfehlung – NE165). Die Nutzung von PLT-Betriebseinrichtungen mit Sicherheitsfunktion per Design könnte damit erlaubt werden. Hersteller, die diese Anforderungen erfüllen, können und sollen dann dem Endanwender bescheinigen, dass das jeweilige System den Anforderungen der NAMUR NE165 entspricht.

Umsetzung der automatisierten Schutzschichten in Gerätetechnik (NAMUR Proposal)
Umsetzung der automatisierten Schutzschichten in Gerätetechnik (NAMUR Proposal)

Es bleibt also spannend. Wir arbeiten mit der NAMUR weiter eng zusammen, um die Anforderungen an unabhängige Steuerungs- und Sicherheitsfunktionen in Zukunft umsetzen zu können. Sobald es Neuigkeiten zu dem Thema gibt, erfahren Sie hier davon.


NAMUR-Hauptsitzung 2017 

Am 9.11. wird Udo Menck (Dow) und Gregor Schmitt-Pauksztat (Bayer) zu dem Thema “PLT-Betriebseinrichtungen mit Sicherheitsfunktion” auch einen Vortrag halten. Mehr zum Workshop-Programm finden Sie hier.


Wenn Sie schon jetzt Fragen oder Anmerkungen haben, schreiben Sie es in die Kommentare. Wir freuen uns auf den Austausch mit Ihnen. 

Mehr zum Thema Safety & Security finden Sie hier.

 

3 Kommentare zu „NAMUR: Realisierung von PLT-Betriebseinrichtungen mit Sicherheitsfunktion“

  1. Hallo Herr Schindler,

    toller Artikel. Jetzt hab ichs kapiert.

    Vielleicht eine randständige Frage:
    Im Bild steht „critical alarms“. Oft gibt es aber auch noch eine ganze Menge anderer “Alarme”. Dann versucht man diese zu „managen“.

    Wo ist eigentlich Alarm-Management im obigen Kontext genau zu verorten?

    Beste Gruesse, Andreas Helget

  2. Hallo Herr Helget – Hallo Herr Schindler,
    grundsätzlich bin ich der Meinung, dass eine BPCS-P Funktion einen automatischen Aktor (Schütz, Ventil) haben sollte. Man kann auch den Menschen als “Aktor” nutzen (z.B. ein Operator muss aufgrund eines Alarms in die Anlage und einen Handschieber schließen). In diesem Fall ist es natürlich äußerst wichtig ein gut aufgestelltes Alarmmanagement zu haben, damit diese sicherheitsrelevanten Alarme richtig vom Operator erkannt werden können. Zusätzlich sollte man in diesen Fällen ein HRA (Human Risk Assessment) durchführen, um sicherzustellen, dass ein Mensch wirklich zuverlässig genug ist, um eine Risikoreduzierung von 10 zu gewährleisten.

    1. Hallo Herr Menck, Hallo Herr Helget,

      danke für die Diskussion und Ihre Beiträge. Ich glaube es ist deutlich, dass Alarmmanagement wichtig ist um Alarme aus dem Bereich BPCS-P deutlicher, also sichtbarer für den Operator zu machen. Ein Mittel dazu wäre alle “anderen” Alarme (u.a. BPCS-C) zu reduzieren oder zu sortieren.

      Beste Grüße Thomas Schindler

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Scroll to Top