Safety Integrity Level

VGB PowerTech 8/2011 87

Safety Integrity Level Der richtige Weg zur funktionalen Sicherheit?Hans Christian Schröder, André Günther, Karsten Klingler und Thomas Leidel

Autoren

Hans Christian SchröderLeiter Kraftwerks- und Anlagenservice

André Günther Karsten Klingler Thomas LeidelProjektingenieure EMSR-Technik Kraftwerks- und Anlagenservice TÜV SÜD Industrie Service GmbH Mannheim/Deutschland

Abstract

“SIL” – the right way to achieve functional safety?

Central process control systems complying with the relevant safety requirements must be implemented to operate power plants in a safe, reliable and cost-effective way. In this context, it should be the ultimate goal to establish ef-fective system architecture.

Against this background, high safety integrity levels – as increasingly certified – are to be analysed critically. Effective and practical im-plementation of “SIL (Safety Integrity Level) requirements” for safety-related components must take into consideration the operation of the respective plant and its context.

This involves both need-oriented interpretation of standards and meaningful incorporation into the overall risk management strategy. The de-termination of failure probabilities must take into account process interfaces. Operators are also recommended to analyse the contents of SIL certificates and look at the basis of SIL de-termination.

Einleitung

Die Kluft zwischen Theorie und Praxis ist in kaum einem kraftwerkstechnischen Segment so ausgeprägt wie bei der Umsetzung der so­genannten SIL­Anforderungen für Prozess­leitsysteme. Auf der einen Seite stehen die schriftlich fixierten Anforderungen der Nor­men EN 61508 (Anforderungen für Herstel­ler) und der EN 61511 (Anforderungen für Betreiber). Dem gegenüber steht der An­spruch, diese sinnvoll auf die individuelle An­lage zu übertragen, sodass deren Betrieb auch von mehr Sicherheit, einer höheren Verfügbar­keit und wirtschaftlicheren Prozessen profi­tiert. Diese für viele bekannten Schlagworte nicht nur auf dem Papier umzusetzen, sondern mit messbarem Erfolg im Kraftwerk nachzu­weisen, scheitert nicht selten an systemimma­nenten Zielkonflikten und fraglichen Trends. Die relevanten Akteure dabei sind neben den Anlagenbetreibern die Hersteller der verwen­deten leittechnischen Komponenten sowie die unabhängigen Zertifizierer. Besonders deut­lich wird dies an dem Punkt der von den Nor­men geforderten SIL­Zertifikate für sicher­heitsbezogene Systeme.

Mit dem SIL­Zertifikat werden die Anforde­rungen an die Zuverlässigkeit der Systeme und Komponenten bestätigt. Das SIL­Verfah­ren dient dazu, die potenziellen Risiken bei Personen, Systemen, Geräten und Prozessen im Fall einer Fehlfunktion zu managen. Dazu gehört aber auch ein definierter Fehler, der in Form eines sogenannten Fehlerstatus noch akzeptabel ist. Sicherheitstechnische Systeme werden auf Basis der Normen spezifiziert, entworfen und betrieben. Insbesondere sicher­heitsrelevante Komponenten müssen mehrere Sicherheitsstufen erfüllen, die mit SIL 1 für geringes Risiko bis zu SIL 4 für sehr hohes Risiko unterschieden werden. Mit dem Risiko steigen die Anforderungen an die Zuverlässig­keit der Systeme und Komponenten für einen sicheren Anlagenbetrieb. Der SIL­Wert ver­hält sich umgekehrt proportional zur Ausfall­wahrscheinlichkeit innerhalb des Produktle­benszyklus: Ein hoher SIL­Wert bedeutet eine geringe Ausfallquote.

Obwohl Zertifikate wichtige Hilfsmittel sind, die Orientierung geben und dafür sorgen, dass Serienprodukte nicht immer wieder aufs Neue komplett sicherheitstechnisch einzuordnen

sind, werden ihre Bedeutung und der im Zerti­fikat enthaltene SIL­Wert immer öfter über­schätzt oder fehlerhaft interpretiert. Möglichst hohe SIL­Werte gelten nicht selten vermeint­lich als „der Lösungsansatz“. Gründe dafür sind einerseits, dass sich ein hoher SIL­Wert bei einigen Herstellern positiv auf die Ver­marktung des Bauteils auswirken kann (Stich­wort „Kommerzialisierung“ von Zertifikaten). Andererseits haben die Betreiber fallweise den Eindruck, sich durch die Verwendung hoch zertifizierter Komponenten in ihrer Verant­wortlichkeit absichern zu können. Und viele Zertifizierer konzentrieren sich auf die regel­konformen Berechnungen, während das große Ganze aus dem Blick gerät: eine sichere und verfügbare Steuerung der Anlagenprozesse.

SIL-Level: So niedrig wie möglich, so hoch wie nötig

Ein Beispiel aus der Praxis zeigt die Proble­me, die aus einem unzweckmäßigen Umgang mit Zertifikaten folgen: Der Betreiber eines Ammoniak­Lagers (NH3) hat für das verwen­dete Gaswarnsystem im Rahmen einer Gefah­renanalyse die Sicherheitsanforderung SIL2 ermittelt. Diese wurde zunächst so erfüllt, dass pro NH3­Behälter ein selbstüberwachen­der SIL2­Gassensor zum Einsatz kam. Erst im Nachhinein hat sich für den Betreiber her­ausgestellt, dass im SIL2­Zertifikat der Kom­ponente die Gebrauchsdauer auf zwei Jahre beschränkt war. Der höhere SIL­Wert wurde über die Einschränkung der Gebrauchsdauer erreicht, die die Ausfallwahrscheinlichkeit zwangsläufig reduziert. Das bedeutet jedoch auch, dass der Betreiber die Anlage alle zwei Jahre außer Betrieb setzen muss, um sämt­liche Gassensoren auszutauschen. Auf die Wirtschaftlichkeit der Anlage drücken in diesem Fall nicht nur vergleichsweise kosten­intensive SIL2­Sensoren, die zudem im Zwei­Jahres­Turnus erneuert werden müssen, sondern auch die Kosten der erforderlichen Betriebsunterbrechung einschließlich Wie­derinbetriebnahme.

Im Auftrag des Anlagenbetreibers haben Fach­leute von TÜV SÜD eine alternative Engineer­ing­Lösung erarbeitet: Die SIL2­Sensoren wurden durch drei nicht zertifizierte (betriebs­bewährte) und kostengünstige Sensoren er­setzt, die redundant arbeiten (two out of three). Diese Architektur mit zwei aus drei Kanälen

VGB

Pow

erTe

ch -

Aut

oren

exem

plar

- ©

201

1

>>> VGB DIGITAL <<<VGB PowerTech - Autorenexemplar - © 2011

Safety Integrity Level

88 VGB PowerTech 8/2011

bedeutet, dass nur zwei Kanäle in Einklang die Sicherheitsfunktion ausführen können. Durch diese Lösung konnte nicht nur das War­tungsintervall von zwei auf zehn Jahre verlän­gert werden. Darüber hinaus wurden die An­schaffungskosten reduziert, weil pro NH3­Behälter drei unzertifizierte, und damit kos­tengünstigere Sensoren fünf SIL2­Sensoren gegenüberstehen. Ein weiterer Vorteil ist bei­spielsweise der mögliche Austausch und Test der Sensoren während des laufenden Be­triebs.

Hintergrund zur SIL-Bewertung

Dass ein pragmatischer Ansatz bei der Umset­zung von SIL­Anforderungen auch regel­werkskonform möglich ist, liegt in der Histo­rie begründet. Schon in den 1980er­Jahren wurden die Grundsteine für das heutige Ver­fahren der SIL­Bewertung gelegt. In ihrer Publikation postulierten Hölscher und Rader (Handbuch „Mikrocomputer in der Sicher­heitstechnik“ 1984) unterschiedliche Sicher­heitsklassen, die Anforderungen an Hardware und Software von IT­Systemen definierten. Ein Nachteil im Umgang mit diesem Regel­werk war die anwendungsbezogene Sichtwei­se, die sich nur mit Aufwand auf neue Techno­logien transferieren ließ.

In Anlehnung an diese Publikationen ent­standen die Normen DIN V VDE 19250, DIN V VDE 0801 sowie VDIN VDE 0116. Defi­niert wurde eine Vorgehensweise für die Ge­fahrenanalyse, die in eine Einstufung der An­wendung in Anforderungsklassen (AK 1 bis 8) mündete. Wesentliche Neuerung war eine an­wendungsunabhängige Sichtweise, durch die sich das Regelwerk flexibler an neue Techno­logien anpassen ließ. Nach diesen Vornormen wurden bis August 2002 alle sicherheitsrele­vanten Geräte und Anlagen betrachtet und An­

forderungen an Rechnersysteme (und zwar Hard­ und Software) mit sicherheitsrelevanten Aufgaben abgeleitet. In der Praxis gab es auch hier einen Nachteil: Die Sicherheits­ und Feh­lerbetrachtung endete am Prozessanschluss. Wechselwirkungen mit vor­ und nachgelager­ten Prozessen wurden von der Betrachtung ausgeschlossen. Das hat schon damals ge­zeigt: Das Wissen zu Teilsystemen reicht be­zogen auf eine komplexe Anlage nicht aus.

Daraufhin war die Anforderung an die Be­trachtungsweise für nachfolgende Regelwerke spezifiziert als eine anwendungsunabhängige, ganzheitliche Betrachtung. Mit dieser Vorgabe entstanden die aktuellen Regelwerke IEC 61508/EN 61508, die im November 2002 als verbindliche deutsche Norm VDE 0803 über­nommen wurden. Als Ergebnis der Gefahren­analyse wurde der Sicherheits­Integritäts­Le­vel (SIL 1 bis 4) definiert, der eine anwen­dungsunabhängige und ganzheitliche Betrach­tung verkörpert. Ein großer Vorteil gegenüber den bis dahin bestehenden Regelwerken folgt aus der Sicherheits­ und Fehlerbetrachtung für alle Prozesskomponenten einschließlich aller vorkommenden Systeme anderer Technologi­en (Pneumatik, Hydraulik etc.). Die ganzheit­liche Betrachtung, Bewertung und Dokumen­tation von Anlagen und deren Steuerung bzw. Überwachung sichert eine qualitätsgerechte Risikominderung im Sinne von SHE (Safety, Health and Environment).

Quantitative versus qualitative Verfahren

Die SIL­Bewertung steht also im Kontext von sich wandelnden Regelwerken und im Kontext des Risikomanagements von Anlagenprozes­sen. Risiken aus Prozesszuständen werden analysiert, und aufbauend darauf werden Schutzmaßnahmen im Sinn von Anforderun­

gen an die funktionale Sicherheit eines Sicher­heitssystems abgeleitet. Maßgabe ist, das Restrisiko auf das höchste vertretbare Maß zu beschränken (B i l d 1 ). Zu beachten ist dabei insbesondere, dass das Prozessrisiko auch durch außergewöhnliche und äußere Ereignis­se verursacht werden kann. Die Analyse muss daher alle Schutzebenen ganzheitlich betrach­ten. Voraussetzung für eine stichhaltige SIL­Bewertung ist eine gute Verfahrensbeschrei­bung, die alle möglichen Zusammenhänge integriert.

Aktuell kommen bei der Ermittlung von SIL­Klassen zunehmend isolierte mathematische Modelle zum Einsatz, die auf Annahmen be­ruhen, die für die Modellierung von Einzel­prozessen getroffen werden und einer ganz­heitlichen Betrachtungsweise entgegen stehen. Schon bei der Planung von Prozessleitsystem treten dann häufiger unentdeckte Systemfeh­ler auf, die Nachbesserungen und damit teils erhebliche Folgekosten verursachen.

Die Konzentration auf den SIL­Ansatz bei einzelnen Komponenten orientiert sich vor­wiegend an einer quantitativen Bewertung. Dafür sind Ausgangsdaten zu Ausfallraten nö­tig. Doch wie zuverlässig sind diese Zahlen? In der Praxis liegen lediglich für die Steuer­einheiten genügend gesicherte Daten vor. Bei Signalgebern (Sensoren) und Stellgliedern (Aktoren) hingegen nicht – obwohl deren Feh­lerquoten in der Praxis die von Steuereinhei­ten weit übertreffen (B i l d 2 ).

Auf der Basis von Schätzungen werden für Signalgeber und Stellglieder daher Werte de­finiert und weiter verwendet. Nicht bewertet werden zum Beispiel die Anbindung an die Prozessschnittstellen und mögliche Fehleran­teile der Einzelgeräte innerhalb des Schutz­systems. Es empfiehlt sich, den Sachverhalt zusätzlich qualifiziert zu betrachten. Sicher­heitsrelevante Komponenten werden dabei in ihrer gesamten Wirkungskette (Loop) betrach­tet, einschließlich der Prozessanbindungen. Auch verlangen die Schutzanforderungen nach redundanten Strukturen innerhalb eines Loops.

Quantitative Verfahren haben ihre Berechti­gung, wenn ausreichende Daten zu Betriebs­

SicherheitRisiko ist nicht

höher als höchstesvertretbares Risiko

Höchstesvertretbares

Risiko

GefahrRisiko ist höher

als höchstesvertretbares Risiko

Risiko ohneSchutzmaß-

nahmenRestrisiko

MindestnotwendigeRisikominderung

Tatsächliche Risikominderung

Risiko hochniedrig

Bild 1. Zusammenhang Restrisiko und höchstes vertretbares Risiko (Quelle: TÜV SÜD Industrie Service GmbH).

Bild 2. Statistische Ausfallrate von Aktorik, Sensorik und Steuerung (Endress + Hauser, „Funktionale Sicherheit in der Prozessinstru-mentierung zur Risikominderung“, 2004).

VGB

Pow

erTe

ch -

Aut

oren

exem

plar

- ©

201

1

>>> VGB DIGITAL <<<VGB PowerTech - Autorenexemplar - © 2011

Safety Integrity Level

VGB PowerTech 8/2011 89

bewährung, Ausfallverhalten und Schadens­ausmaß vorliegen. Dies setzt realistische Be­obachtungen der Produkte unter angemesse­nen Zeiträumen voraus (rund fünf bis zehn Jahre). Aufgetretene Ausfälle und Gefährdun­gen müssen unter praxisnahen Einsatzbedin­gungen ermittelt worden sein. Eine rein quan­titative Grenzwertdiskussion, die nicht auf real­wirkursächlichen Risiken basiert, sollte nicht allein als Basis für ein Sicherheitskon­zept dienen.

Regelwerke müssen interpretiert werden – Beispiel Risikomatrix

Allein die Wirksamkeit ist das entscheidende Kriterium für die zu treffenden Schutzmaß­nahmen. Das real vorhandene und wirkur­sächliche Risiko in einem gesamtheitlichen (systemischen) Zusammenhang erlaubt es, die notwendigen sicherheitstechnischen Grenz­werte so festzulegen, dass diese sachlichen und reproduzierbaren Nachprüfungen stand­halten. Das sollte auch für die Auswahl des SIL­Levels gelten, die sich an einer Risikoma­trix (B i l d 3 ) orientiert.

Als Beispiel soll die Frage „Welche SIL­An­forderung ergibt sich bei der Bewertung einer Brennersteuerung?“ erörtert werden. Wenn angenommen wird, dass eine Anlage über eine Fernwarte gefahren wird und Personal nicht ständig vor Ort ist, dann folgt mit den Kate­gorien (S2), (A1), (G1) und (W3) ein SIL­Level 2. Würde unterstellt, dass die Eintritts­wahrscheinlichkeit eines unerwünschten Er­eignisses ohne MSR­Schutzeinrichtung die Kategorisierung in (W2) ermöglicht, dann würde sich lediglich ein SIL­Level 1 ergeben. In der Praxis verursacht dies häufig Diskus­sionen, in denen der SIL­Level 3 gefordert wird, weil dies laut DIN EN 50156 so sei. Doch sollte hier konkret gefragt werden: Lässt

sich diese Anforderung aus der 50156 tatsäch­lich ableiten bzw. sind Kompromisslösungen möglich?

Ein genauer Blick auf den Sachverhalt zeigt, dass hier eine alternative Interpretation mög­lich ist. Der erwähnte SIL­Level 3 wird ledig­lich „beispielhaft“ beschrieben. Umsetzbar wäre durchaus auch ein SIL­Level 2, wenn durch die Anlage kein erhöhtes Risiko im Hin­blick auf SHE (Safety, Health and Environ­ment) verursacht wird. Dieses Beispiel ver­deutlicht die Diskrepanz in der praktischen Umsetzung bei den Interpretationen unter­schiedlicher Normenanwendungen. Dabei sollte nicht der Absicherungsgedanke im Fo­kus stehen, sondern eine technisch umsetzbare und wirtschaftliche Realisierung.

Prozessanbindungen berücksichtigen und Spielräume nutzen

Wer Risiken zuverlässig reduzieren will, muss dabei auch die Prozessan­ und ­einbindung einer Komponente mit betrachten. Wird bei­spielsweise ein redundantes System mit nur einer Prozessanbindung betrieben, kann ein einzelner Fehler in der Prozessanbindung zum Verlust des gesamten Systems führen. Die EN 61511 gibt mögliche Spielräume eindeutig vor. Die Hardware Fault Tolerance (HFT), die für die einzelnen Komponenten einer Prozess­bzw. Signalkette (den Loop) gilt, muss auch

bei der Prozessein­ und ­anbindung beibehal­ten werden, sonst wird eine SIL­Betrachtung schon im Ansatz fehlerhaft. Spielräume eröff­nen sich nur durch Fehlerausschlüsse, bei­spielsweise wenn bei Rohrleitungen nur Me­dien eingesetzt werden, die nicht zu Ablage­rungen neigen und sich die Leitung demzu­folge nicht zusetzen kann.

Ein anderes Beispiel für diesen Ansatz gibt ein Schutzsystem innerhalb einer Prozessanbin­dung (B i l d 4 ). Im vorliegenden Fall werden in der Regel nur die implementierten Schutz­systeme von Signalgeber, Schutzeinrichtung und Stellglied betrachtet – und zwar auf Grundlage einer quantitativen Bewertung. Das B i l d 5 zeigt ein aus hoch­zertifizierten Komponenten aufgebautes Schutzsystem, das SIL3 erreicht. Dabei lässt sich eine SIL3­An­forderung auch mit einem redundanten Auf­bau über SIL1­zertifizierte Geräte erreichen (B i l d 6 ). Allerdings sollten die SIL1­Geräte von unterschiedlichen Herstellern stammen, um produktionsbedingte Fehlerwahrschein­lichkeiten im Vorfeld zu minimieren (diver­sitäre Struktur). Eine solche Konfiguration erhöht meist auch die Verfügbarkeit der Anla­genprozesse. Zudem werden hoch­zertifizierte und damit vergleichsweise kostenintensive Komponenten eingespart. Insgesamt ist eine ganzheitliche Analyse aller Teilsysteme also nicht nur zwingend, um kritische Wechselwir­kungen zu vermeiden, sondern dient vielmehr der Sicherheit, Umweltverträglichkeit, Ver­fügbarkeit und Effizienz von Kraftwerken.

Weil es immer wieder auch auf SIL­zerti­fizierte Komponenten ankommt, sollte sich der SIL­Zertifizierungsprozess am Anspruch messen lassen, bestmöglich zu einer höheren Verfügbarkeit und Sicherheit beizutragen. Da­bei sollten die Inhalte des Zertifikats und die darin enthalten Berechnungsgrundlagen für die SIL­Level analysiert werden.

Was SIL-Zertifikate enthalten

Kerninhalte des SIL­Zertifikats sind die Safe Failure Fraction (SFF) und die Hardware Fault Tolerance (HFT). Erstere setzt sich aus siche­ren und als gefährlich erkannten Fehlern zu­sammen. Während sich sichere Fehler nicht sicherheitskritisch auswirken – die Anlage wird kontrolliert heruntergefahren bzw. kann in Einzellfällen sicher und kontrolliert weiter­

Sch

aden

sfal

l

W3 W2 W1

a

1

2

3

4

b

---

a

1

2

3

4

---

---

a

1

2

3

G1

G2

G1

G2

A1

A2

A1

A2

S1

S2

S3

S4

Schadensausmaß

Aufenthaltsdauer

S1 / C1: leichte Verletzte kleinere schädliche UmwelteinflüsseS2 / C2: schwere Verletzungen oder Tod einer Person vorrübergehende UmweltschädenS3 / C3: Tod mehrerer Personen anhaltende UmweltschädenS4 / C4: Katastrophe, viele Tote

A1 / F1: selten bis öfterA2 / F2: häufig bis dauernd

Gefahrenabwendung

G1 / P1: möglich unter bestimmten BedingungenG2 / P2: kaum möglich

Eintrittswahrscheinlichkeit des unerwünschtenEreignisses ohne MSR-Schutzeinrichtung

W1: sehr geringW2: geringW3: relativ hoch

a = keine besonderen Sicherheitsanforderungen --- = keine Sicherheitsanforderungenb = ein einzelnes SIS reicht nicht aus 1, 2, 3, 4 = Sicherheits-Integritätslevel

Bild 3. Ablaufmatrix in Abhängigkeit einzelner Risikoparameter (Risikograph nach EN 61508/61511 bzw. EN 50156, 2004).

Bild 4. Aufbau eines Schutzsystems innerhalb eines Loops (Quelle: TÜV SÜD Industrie Service GmbH).

VGB

Pow

erTe

ch -

Aut

oren

exem

plar

- ©

201

1

>>> VGB DIGITAL <<<VGB PowerTech - Autorenexemplar - © 2011

Safety Integrity Level

90 VGB PowerTech 8/2011

betrieben werden – können als gefährlich er­kannte Fehler sicherheitsrelevante Fehlfunk­tionen bedeuten. Zusammen errechnet sich daraus die Ausfallrate des Systems.

Das Unterscheiden von sicheren und gefährli­chen Fehlern betrifft auch Fehlerarten wie passive, aktive sowie systematische und zufäl­lige Fehler. Aktive Fehler lösen eine Schutz­funktion aus und sind daher ungefährlich. Passivfehler sind solche, bei denen die Schutz­funktion nicht ausgelöst wird. Jede Diagnose eines Systems zielt darauf ab, diese Fehler aufzudecken. Daher muss für jedes System eine anlagenspezifische Diagnose entwickelt werden, die auch mögliche Passivfehler auf­decken kann.

Die Hardware Fault Tolerance bezieht sich auf die Verfügbarkeit bzw. die Fehlertoleranz eines Systems. Mit der Höhe des Werts (0,1 und 2) steigt die Verfügbarkeit bzw. die Zeit, wie lange ein System ohne Ausfall weiterar­beiten kann. Ausfallsichere und fehlertoleran­te Systeme haben dementsprechend den höchsten der drei HFT­Werte (2). Nach der HFT­Definition der EN 61511 bedeutet eine Hardwarefehlertoleranz von 1, dass zwei Ge­räte für eine Funktion vorhanden sind und deshalb ein gefährlicher Ausfall eines Geräts die Auslösung einer Schutzfunktion nicht verhindert.

Ausfallraten im Zertifikat berechnen

Ein SIL­Zertifikat für EMSR­Komponenten enthält vom Hersteller notwendige sicher­heitstechnische Kenn­ und Basisdaten zur SFF und HFT. Sie betreffen:

sicherheitsgerichtete unentdeckte Ausfälle –

sicherheitsgerichtete entdeckte Ausfälle –

gefährliche entdeckte Ausfälle –

gefährliche unentdeckte Ausfälle –

Daraus kann der Anteil der SFF abgeleitet werden. Enthalten sind zudem:

Wahrscheinlichkeit für das Versagen bei –Anforderung pro Stunde (PFH)

zulässige Betriebsart (Low Demand/High –Demand des PFD)

Hardwarefehlertoleranz (HFT) –

Art des Gerätetyps (A = einfaches Teilsys­ –tem, B = komplexes Teilsystem)

zugrunde liegendes Prüfintervall für die an­ –gegebene SIL­Stufe (T1)

nutzbare Lebensdauer (in der Regel acht bis –zwölf Jahre)

Diagnoseaufdeckungsgrad (DC) –

Zentral für die Erreichung eines erforderli­chen SIL­Levels sind insbesondere Angaben zum Redundanzgrad (HFT). Dahingehend

sollte die SIL­Angabe für eine Komponente schließlich eindeutig sein. Formulierungen wie „geeignet bis SIL3“ ermöglichen unnöti­ge Fehlinterpretationen.

In der Praxis wird immer wieder die Berech­nung der SFF und der PFD diskutiert und da­mit die Zuverlässigkeit des SIL­Werts. Der Betreiber oder Prüfer der Anlage hat aber als Prüfungsgrundlage die HFT­Anforderungen der Norm EN 61511 zu berücksichtigen. Bei möglichen Abweichungen von den vorgenann­ten Daten ist zu prüfen, ob sich daraus gewisse Fahrlässigkeiten im Hinblick auf SHE auswir­ken und somit zu rechtlichen Konsequenzen führen können.

Sicherheitsbezogene Teile einer Steuerung (SRP/CS), die auf Basis vorgenommener Risi­kobewertungen erhöhte Anforderungen stellen, sollten daher nicht von der Zuverlässigkeit der verwendeten Komponenten allein abhängen. Gerade in einem gesamtfunktionalen System sollte nicht die quantitative Bauteilzertifizie­rung allein im Vordergrund stehen, sondern die qualitative Analyse und der Aufbau einer sinn­vollen Systemarchitektur. Funktionale Schutz­systeme, die definierte Schutzanforderungen erfüllen sollen, können nicht nur über zertifi­zierte Einzelgeräte aufgebaut werden, sondern auch über redundant eingesetzte, nicht zertifi­zierte, aber betriebsbewährte, diversitäre Gerä­te. Welches die sinnvollere Engineering­Lö­sung ist oder ob sich vorhandene Lösungen sinnvoll kombinieren lassen, ist für jede Anla­ge immer wieder neu zu klären – mit Blick auf die Betriebsbedingungen und ihren Kontext.

Fazit

Auf dem Weg zur funktionalen Sicherheit von Prozessleitsystemen ist die SIL­Zertifizierung von Komponenten zwar ein wichtiges Hilfs­mittel. Doch die alleinige Konzentration auf SIL­Level und den Wortlaut von Regelwerken, ohne diese in den praktischen Kontext ihrer Anwendung zu setzen, führt in eine Sackgas­se. Im Zentrum der Bewertung sollten zu­nächst die verfahrenstechnischen und funktio­nalen Gesichtspunkte liegen, bevor über eine falsch verstandene Regelwerkstreue vermeint­liche Anforderungen generiert werden, die nicht tatsächlich zweckmäßig sind. Denn das eigentliche Ziel ist ein in sich schlüssiges En­gineering­Konzept mit hoher Verfahrens­ und Prozesssicherheit, das zuverlässige Schutz­maßnahmen garantiert für Personen, Sachwer­te und die Umwelt. □

Bild 5. Aufbau eines Schutzsystems mit zertifizierten Geräten für eine SIL 3-Anforderung (Quelle: TÜV SÜD Industrie Service GmbH).

Bild 6. Aufbau eines Schutzsystems mit einfachen diversitären Geräten für eine SIL 3- Anforderung. Den Begriff „betriebsbewährt“ beschreibt die VDI-/VDE-Richtlinie 2180 (Quelle: TÜV SÜD Industrie Service GmbH).

90 VGB Po wer Tech 9/2005

On li ne-Shop www.vgb.org/shop

VGB

Pow

erTe

ch -

Aut

oren

exem

plar

- ©

201

1

>>> VGB DIGITAL <<<VGB PowerTech - Autorenexemplar - © 2011

VGB PowerTechInternational Journal for Electricity and Heat Generation

Please copy >>> fill in and return by mail or fax

Yes, I would like order a subscription of VGB PowerTech.

The current price is Euro 275.– plus postage and VAT.

Unless terminated with a notice period of one month to the end of the year, this subscription will be extended for a further year in each case.

Return by fax or mail or in business envelope with window to

VGB PowerTech Service GmbHFax No. +49 201 8128-302

Name, First Name

Street

Postal Code City Country

Phone/Fax

Date 1st Signature

Cancellation: This order may be cancelled within 14 days. A notice must be sent to to VGB PowerTech Service GmbH within this period. The deadline will be observed by due mailing. I agree to the terms with my 2nd signature.

Date 2nd Signature

Volume 83/2003 · ISSN 1435-3199

K 43600

International Edition

Topic:Hydro-power

Neue Wege in derProzessleit- undInformationstechnikDevelopment of theOxidation Layer on aSteam Turbine VaneLive-cycle Monitoring/

Condition EvaluationHg-Rückhaltung imSCR-Katalysatorbett

International Journalfor Electricity and Heat Generation

Publication ofVGB PowerTech e.V.www.vgb.org

Volume 85/2005 · ISSN 1435-3199

K 43600

International Edition

Schwerpunktthema:

Kernenergie

2004: Operating Results

of Nuclear Power Plants

European Power Plant

Technology forthe Global Market

Water Treatmentin Power PlantApplications

Distributed Generation

and System Operation

International Journal

for Electricity and Heat Generation

Publication of

VGB PowerTech e.V.

www.vgb.org

Volume 85/2005 · ISSN 1435-3199

K 43600

International Edition

Schwerpunktthema:Instandhaltungin KraftwerkenFurther Developments inCoal-Fired Power PlantTechnology

Hydro Power in aCompetitive MarketThermal Utilisation ofWaste in a Power Plant

Material Developments for High Capacity Power Plants

International Journalfor Electricity and Heat GenerationPublication ofVGB PowerTech e.V.www.vgb.org

Wir bieten eine umfassende Produktpalette für

alle Probleme rund ums Wasser und liefern maß-

geschneiderte Lösungen, die perfekt auf Ihre

speziellen Prozesse abgestimmt sind:

Aufbereitung von Zusatzwasser, Kühl- und Pro-

zesswasser, Kesselwasser, Wasser für Heizungs-

anlagen, Swimming-Pools oder Membranfiltra-

tionsanlagen, Trinkwasser und Abwasser.

Unser vielfältiges Angebot an Produkten und

Ausrüstungen, ergänzt durch fundiertes tech-

nisches Know-how und einen umfassenden

Kundenservice, deckt unterschiedliche

Anwendungsgebiete ab, zum Beispiel in den

Branchen Kraftwerke, Stahlindustrie, Raffinerien

und petrochemische Industrie, chemische

Industrie, Lebensmittel- und Getränkeindustrie,

Anlagenmanagement.

Henkel KGaA, TI Water Treatment • Henkelstraße 67 • 40191 Düsseldorf, Germany

Phone +49 211 7979190 • Fax +49 211 798 2262 • Email: water.treatment@henkel.com

www.henkel-water.com

Innovative Technologien

für die Wasserbehandlung

Für jede Anwendung die passende Lösung

P3-ferrofos®, P3-ferrolix®, P3-cetamine, P3-ferrocid®, P3-ferrolin®, P3-ferrofloc®, P3-ferrocryl®,

P3-osmotech®, P3-ferrosolf®, P3-ferrocor®, P3-ferroflame®

Mit neuer Technologie:

filmbildende Amine für die

Kesselwasserbehandlung

Volume 87/2007 · ISSN 1435-3199

K 43600

International Edition

Focus: Furnaces,

Steam Generators and

Steam Turbines

Optimisation of

Operating Cost

through CDM and JI

Performance of a

900 MW Supercritical

Steam Turbine

Developments of

Fluidised BedGasification

Explosion Protection in

the Case of Hard-coal

International Journal

for Electricity and Heat Generation

Publication of

VGB PowerTech e.V.

www.vgb.org

U 1+4_PT7-07.qxd 18.07.20

07 10:07 Uhr Seite 1

IN ING

WELTWE IT

, Fax +49·89·7 80 49-167, info@bauer-kompressoren.de

rt zum Einsatz, wo es auf Zuverlässigkeit

So liefern BAUER Hochdruckkompres-

nergie, um die Schaufeln und Stellräder

ungsverhältnissen anzupassen. Dadurch

en gleichmäßig laufen und die Genera-

eiderte Problemlösung im Bereich der

g suchen und sich dabei keine Kompro-

uns kennenlernen.

www.baue

r-kompres

soren.de

IGEN!*

rkraft

rkraft

Volume 85/2005 · ISSN 1435-3199

K 43600

International Edition

Schwerpunktthema:

Erneuerbare Energien

Hydrogen Pathways

and Scenarios

Kopswerk II –

Prevailing Conditions

and Design

Arklow Bank

Offshore Wind Park

The EU-Water

Framework Directive

International Journal

for Electricity and Heat Generation

Publication of

VGB PowerTech e.V.

www.vgb.org

www.thyssenkruppxervon.de

ThyssenKrupp Xervon

Powering Plant Performance

ThyssenKrupp

Jede Zusammenarbeit

hat mal klein angefangen.

In der Instandhaltung von Kraftwerken hat ThyssenKrupp Xervon

über 30 Jahre Erfahrung. Ob Basisdienstleistungen wie Gerüst-

bau, Isolierung und technische Reinigung, komplexe Aufgaben

wie Engineering, Modernisierung und Feuerungstechnik oder

komplette, speziell für Ihren Bedarf zusammengestellte

Dienstleistungspakete. Wir beweisen Ihnen gern unsere

Leistungsfähigkeit – im Kleinen wie im Großen.

Kontaktieren Sie uns: xervon@thyssenkrupp.com

ThyssenKrupp Xervon GmbH

An der Landwehr 2

45883 Gelsenkirchen

Telefon 0209 9454-0

Telefax 0209 9454-390

Volume 87/2007 · ISSN 1435-3199

K 43600

International Edition

Focus: Safety at Work

Clean Coal Tech-

nologies – Inter-

national Activities

Biomass-fired Power

Plant with Circulating

Fluidised Bed

Operation

Experiences from

Offshore Wind Farms

Damage Analysis of

Evaporator Tubes

International Journal

for Electricity and Heat Generation

Publication of

VGB PowerTech e.V.

www.vgb.org

Flue Gas Heat Recovery at Torrevaldaliga Nord

VGB PowerTechThe generation of electricity and the disposal of heat is in all parts of the world a central

topic of technology, economy, politics and daily live. Experts are responsible for the

construction and operation of power plants, their development and monitoring as well

as for various tasks in connection with service and management.

The technical journal VGB PowerTech is a competent and internationally accepted

publication for power plant engineering. It appears annually with 11 bilingual issues

(German/English). VGB PowerTech informs with technical/scientific papers and

up-to-date news on all important questions of electricity- and heat generation.

Topics: development, planning, construction and operation of power plants under

special consideration of

– Operation and plant safety,

– Economic efficiency,

– Environmental compatibility,

– Research and development and application of new technologies,

– Competitiveness of different technologies and

– Legal aspects.

VGB PowerTech appears with VGB PowerTech Service GmbH, publishing house of

technical-scientific publications.

VGB PowerTech e.V., the European technical association, is the publisher.

Your contact at VGB PowerTech Service GmbH,

Gregor Scharpey, Phone: +49 201 8128-271, E-Mail: mark@vgb.org

VGB PowerTech Service GmbH P.O. Box 10 39 32 45039 Essen ALLEMAGNE

PT

VGB Po wer Tech-DVDMo re than 12,000 digitalised pa ges with data and expertise

(incl. se arch func ti on for all do cu ments)

Ple ase fill in and re turn by mail or fax

I would li ke to or der the VGB Po wer Tech-DVD 1990 to 2010 (sin gle user li cen se).

Eu ro 950.–* (Subs cri ber of VGB Po wer Tech Jour nal 1)

Eu ro 1950.–* (Non-subs cri ber of VGB Po wer Tech Jour nal 2) Plus postage, Germany Euro 7.50 and VAT

Net work li cen se (cor po ra te li cen se), VGB mem bers’ edi ti on (In fo Ex pert) and edu ca ti on li cen se on re quest

(pho ne: +49 201 8128-200).

* Plus VAT.Annual update 1) Euro 150.–; 2) Euro 350.– The update has to be ordered annually.

Re turn by fax or in business envelope with window to

VGB Po wer Tech Ser vice GmbHFax No. +49 201 8128-329

In fo Ex pert

Na me, First Na me

Street

Pos tal Co de Ci ty Count ry

Pho ne/Fax

Da te 1st Sig na tu re

Can cel la ti on: This or der may be can cel led wi thin 14 days. A no ti ce must be sent to to VGB Po wer Tech Ser vice GmbH wi thin this pe ri od. The deadline will be observed by due mailing. I ag ree to the terms with my 2nd sig na tu re.

Da te 2nd Sig na tu re

VGB Po wer Tech – www.vgb.orgThe generation of electricity and the disposal of heat is in all parts of the world a central topic of technology, economy, politics and daily live. Experts are responsible for the construction and operation of power plants, their development and monitoring as well as for various tasks in connection with service and management.

The technical journal VGB PowerTech is a competent and internationally accepted publication for power plant engineering. It appears with 11 bilingual issues (German/English) annually. VGB PowerTech informs with technical/scientific papers and up-to-date news on all important questions of electricity and heat generation.

VGB PowerTech appears with VGB PowerTech Service GmbH, publishing house of technical-scientific publications.

VGB PowerTech e.V., the German and European technical association, is the publisher.

VGB PowerTech DVD 1990 to 2010: Digitalised technical papers of VGB Kraftwerkstechnik and VGB PowerTech.

You find the competent technical know-how from 21 years on more than 12,000 pages

VGB Kraftwerkstechnik (German issues until 2000) and the international technical journal VGB PowerTech (as of 2001) with:

– More than 2300 technical papers, – All documents in PDF-format (up to the year 2000 for technical reasons as b/w scan), – Convenient search function in all papers as full-text search and/or deliberate search

for authors and documents titles,– Navigate quickly to the desired papers with a few mouse clicks.

The VGB PowerTech-DVD is available as single license or multi-user license for companies, research institutions and authorities.

The single license can be ordered by form and by post/fax or use our online shop under www.vgb.org.

A quotation for a multi-user license is made on demand. You can bring up to date your DVD annually with the VGB PowerTech update. The update has to be ordered annually.

Your contact at VGB PowerTech Service GmbH, Jürgen Zimander, Phone: +49 201 8128-200, E-Mail: mark@vgb.org

VGB Po wer Tech Ser vice GmbH P.O. Box 10 39 32 45039 Es sen AL LE MAG NE

In fo Ex pert