safety integrity level der richtige weg zur funktionalen ...€¦ · “sil” – the right way to...
TRANSCRIPT
Safety Integrity Level
VGB PowerTech 8/2011 87
Safety Integrity Level Der richtige Weg zur funktionalen Sicherheit?Hans Christian Schröder, André Günther, Karsten Klingler und Thomas Leidel
Autoren
Hans Christian SchröderLeiter Kraftwerks- und Anlagenservice
André Günther Karsten Klingler Thomas LeidelProjektingenieure EMSR-Technik Kraftwerks- und Anlagenservice TÜV SÜD Industrie Service GmbH Mannheim/Deutschland
Abstract
“SIL” – the right way to achieve functional safety?
Central process control systems complying with the relevant safety requirements must be implemented to operate power plants in a safe, reliable and cost-effective way. In this context, it should be the ultimate goal to establish ef-fective system architecture.
Against this background, high safety integrity levels – as increasingly certified – are to be analysed critically. Effective and practical im-plementation of “SIL (Safety Integrity Level) requirements” for safety-related components must take into consideration the operation of the respective plant and its context.
This involves both need-oriented interpretation of standards and meaningful incorporation into the overall risk management strategy. The de-termination of failure probabilities must take into account process interfaces. Operators are also recommended to analyse the contents of SIL certificates and look at the basis of SIL de-termination.
Einleitung
Die Kluft zwischen Theorie und Praxis ist in kaum einem kraftwerkstechnischen Segment so ausgeprägt wie bei der Umsetzung der sogenannten SILAnforderungen für Prozessleitsysteme. Auf der einen Seite stehen die schriftlich fixierten Anforderungen der Normen EN 61508 (Anforderungen für Hersteller) und der EN 61511 (Anforderungen für Betreiber). Dem gegenüber steht der Anspruch, diese sinnvoll auf die individuelle Anlage zu übertragen, sodass deren Betrieb auch von mehr Sicherheit, einer höheren Verfügbarkeit und wirtschaftlicheren Prozessen profitiert. Diese für viele bekannten Schlagworte nicht nur auf dem Papier umzusetzen, sondern mit messbarem Erfolg im Kraftwerk nachzuweisen, scheitert nicht selten an systemimmanenten Zielkonflikten und fraglichen Trends. Die relevanten Akteure dabei sind neben den Anlagenbetreibern die Hersteller der verwendeten leittechnischen Komponenten sowie die unabhängigen Zertifizierer. Besonders deutlich wird dies an dem Punkt der von den Normen geforderten SILZertifikate für sicherheitsbezogene Systeme.
Mit dem SILZertifikat werden die Anforderungen an die Zuverlässigkeit der Systeme und Komponenten bestätigt. Das SILVerfahren dient dazu, die potenziellen Risiken bei Personen, Systemen, Geräten und Prozessen im Fall einer Fehlfunktion zu managen. Dazu gehört aber auch ein definierter Fehler, der in Form eines sogenannten Fehlerstatus noch akzeptabel ist. Sicherheitstechnische Systeme werden auf Basis der Normen spezifiziert, entworfen und betrieben. Insbesondere sicherheitsrelevante Komponenten müssen mehrere Sicherheitsstufen erfüllen, die mit SIL 1 für geringes Risiko bis zu SIL 4 für sehr hohes Risiko unterschieden werden. Mit dem Risiko steigen die Anforderungen an die Zuverlässigkeit der Systeme und Komponenten für einen sicheren Anlagenbetrieb. Der SILWert verhält sich umgekehrt proportional zur Ausfallwahrscheinlichkeit innerhalb des Produktlebenszyklus: Ein hoher SILWert bedeutet eine geringe Ausfallquote.
Obwohl Zertifikate wichtige Hilfsmittel sind, die Orientierung geben und dafür sorgen, dass Serienprodukte nicht immer wieder aufs Neue komplett sicherheitstechnisch einzuordnen
sind, werden ihre Bedeutung und der im Zertifikat enthaltene SILWert immer öfter überschätzt oder fehlerhaft interpretiert. Möglichst hohe SILWerte gelten nicht selten vermeintlich als „der Lösungsansatz“. Gründe dafür sind einerseits, dass sich ein hoher SILWert bei einigen Herstellern positiv auf die Vermarktung des Bauteils auswirken kann (Stichwort „Kommerzialisierung“ von Zertifikaten). Andererseits haben die Betreiber fallweise den Eindruck, sich durch die Verwendung hoch zertifizierter Komponenten in ihrer Verantwortlichkeit absichern zu können. Und viele Zertifizierer konzentrieren sich auf die regelkonformen Berechnungen, während das große Ganze aus dem Blick gerät: eine sichere und verfügbare Steuerung der Anlagenprozesse.
SIL-Level: So niedrig wie möglich, so hoch wie nötig
Ein Beispiel aus der Praxis zeigt die Probleme, die aus einem unzweckmäßigen Umgang mit Zertifikaten folgen: Der Betreiber eines AmmoniakLagers (NH3) hat für das verwendete Gaswarnsystem im Rahmen einer Gefahrenanalyse die Sicherheitsanforderung SIL2 ermittelt. Diese wurde zunächst so erfüllt, dass pro NH3Behälter ein selbstüberwachender SIL2Gassensor zum Einsatz kam. Erst im Nachhinein hat sich für den Betreiber herausgestellt, dass im SIL2Zertifikat der Komponente die Gebrauchsdauer auf zwei Jahre beschränkt war. Der höhere SILWert wurde über die Einschränkung der Gebrauchsdauer erreicht, die die Ausfallwahrscheinlichkeit zwangsläufig reduziert. Das bedeutet jedoch auch, dass der Betreiber die Anlage alle zwei Jahre außer Betrieb setzen muss, um sämtliche Gassensoren auszutauschen. Auf die Wirtschaftlichkeit der Anlage drücken in diesem Fall nicht nur vergleichsweise kostenintensive SIL2Sensoren, die zudem im ZweiJahresTurnus erneuert werden müssen, sondern auch die Kosten der erforderlichen Betriebsunterbrechung einschließlich Wiederinbetriebnahme.
Im Auftrag des Anlagenbetreibers haben Fachleute von TÜV SÜD eine alternative EngineeringLösung erarbeitet: Die SIL2Sensoren wurden durch drei nicht zertifizierte (betriebsbewährte) und kostengünstige Sensoren ersetzt, die redundant arbeiten (two out of three). Diese Architektur mit zwei aus drei Kanälen
VGB
Pow
erTe
ch -
Aut
oren
exem
plar
- ©
201
1
>>> VGB DIGITAL <<<VGB PowerTech - Autorenexemplar - © 2011
Safety Integrity Level
88 VGB PowerTech 8/2011
bedeutet, dass nur zwei Kanäle in Einklang die Sicherheitsfunktion ausführen können. Durch diese Lösung konnte nicht nur das Wartungsintervall von zwei auf zehn Jahre verlängert werden. Darüber hinaus wurden die Anschaffungskosten reduziert, weil pro NH3Behälter drei unzertifizierte, und damit kostengünstigere Sensoren fünf SIL2Sensoren gegenüberstehen. Ein weiterer Vorteil ist beispielsweise der mögliche Austausch und Test der Sensoren während des laufenden Betriebs.
Hintergrund zur SIL-Bewertung
Dass ein pragmatischer Ansatz bei der Umsetzung von SILAnforderungen auch regelwerkskonform möglich ist, liegt in der Historie begründet. Schon in den 1980erJahren wurden die Grundsteine für das heutige Verfahren der SILBewertung gelegt. In ihrer Publikation postulierten Hölscher und Rader (Handbuch „Mikrocomputer in der Sicherheitstechnik“ 1984) unterschiedliche Sicherheitsklassen, die Anforderungen an Hardware und Software von ITSystemen definierten. Ein Nachteil im Umgang mit diesem Regelwerk war die anwendungsbezogene Sichtweise, die sich nur mit Aufwand auf neue Technologien transferieren ließ.
In Anlehnung an diese Publikationen entstanden die Normen DIN V VDE 19250, DIN V VDE 0801 sowie VDIN VDE 0116. Definiert wurde eine Vorgehensweise für die Gefahrenanalyse, die in eine Einstufung der Anwendung in Anforderungsklassen (AK 1 bis 8) mündete. Wesentliche Neuerung war eine anwendungsunabhängige Sichtweise, durch die sich das Regelwerk flexibler an neue Technologien anpassen ließ. Nach diesen Vornormen wurden bis August 2002 alle sicherheitsrelevanten Geräte und Anlagen betrachtet und An
forderungen an Rechnersysteme (und zwar Hard und Software) mit sicherheitsrelevanten Aufgaben abgeleitet. In der Praxis gab es auch hier einen Nachteil: Die Sicherheits und Fehlerbetrachtung endete am Prozessanschluss. Wechselwirkungen mit vor und nachgelagerten Prozessen wurden von der Betrachtung ausgeschlossen. Das hat schon damals gezeigt: Das Wissen zu Teilsystemen reicht bezogen auf eine komplexe Anlage nicht aus.
Daraufhin war die Anforderung an die Betrachtungsweise für nachfolgende Regelwerke spezifiziert als eine anwendungsunabhängige, ganzheitliche Betrachtung. Mit dieser Vorgabe entstanden die aktuellen Regelwerke IEC 61508/EN 61508, die im November 2002 als verbindliche deutsche Norm VDE 0803 übernommen wurden. Als Ergebnis der Gefahrenanalyse wurde der SicherheitsIntegritätsLevel (SIL 1 bis 4) definiert, der eine anwendungsunabhängige und ganzheitliche Betrachtung verkörpert. Ein großer Vorteil gegenüber den bis dahin bestehenden Regelwerken folgt aus der Sicherheits und Fehlerbetrachtung für alle Prozesskomponenten einschließlich aller vorkommenden Systeme anderer Technologien (Pneumatik, Hydraulik etc.). Die ganzheitliche Betrachtung, Bewertung und Dokumentation von Anlagen und deren Steuerung bzw. Überwachung sichert eine qualitätsgerechte Risikominderung im Sinne von SHE (Safety, Health and Environment).
Quantitative versus qualitative Verfahren
Die SILBewertung steht also im Kontext von sich wandelnden Regelwerken und im Kontext des Risikomanagements von Anlagenprozessen. Risiken aus Prozesszuständen werden analysiert, und aufbauend darauf werden Schutzmaßnahmen im Sinn von Anforderun
gen an die funktionale Sicherheit eines Sicherheitssystems abgeleitet. Maßgabe ist, das Restrisiko auf das höchste vertretbare Maß zu beschränken (B i l d 1 ). Zu beachten ist dabei insbesondere, dass das Prozessrisiko auch durch außergewöhnliche und äußere Ereignisse verursacht werden kann. Die Analyse muss daher alle Schutzebenen ganzheitlich betrachten. Voraussetzung für eine stichhaltige SILBewertung ist eine gute Verfahrensbeschreibung, die alle möglichen Zusammenhänge integriert.
Aktuell kommen bei der Ermittlung von SILKlassen zunehmend isolierte mathematische Modelle zum Einsatz, die auf Annahmen beruhen, die für die Modellierung von Einzelprozessen getroffen werden und einer ganzheitlichen Betrachtungsweise entgegen stehen. Schon bei der Planung von Prozessleitsystem treten dann häufiger unentdeckte Systemfehler auf, die Nachbesserungen und damit teils erhebliche Folgekosten verursachen.
Die Konzentration auf den SILAnsatz bei einzelnen Komponenten orientiert sich vorwiegend an einer quantitativen Bewertung. Dafür sind Ausgangsdaten zu Ausfallraten nötig. Doch wie zuverlässig sind diese Zahlen? In der Praxis liegen lediglich für die Steuereinheiten genügend gesicherte Daten vor. Bei Signalgebern (Sensoren) und Stellgliedern (Aktoren) hingegen nicht – obwohl deren Fehlerquoten in der Praxis die von Steuereinheiten weit übertreffen (B i l d 2 ).
Auf der Basis von Schätzungen werden für Signalgeber und Stellglieder daher Werte definiert und weiter verwendet. Nicht bewertet werden zum Beispiel die Anbindung an die Prozessschnittstellen und mögliche Fehleranteile der Einzelgeräte innerhalb des Schutzsystems. Es empfiehlt sich, den Sachverhalt zusätzlich qualifiziert zu betrachten. Sicherheitsrelevante Komponenten werden dabei in ihrer gesamten Wirkungskette (Loop) betrachtet, einschließlich der Prozessanbindungen. Auch verlangen die Schutzanforderungen nach redundanten Strukturen innerhalb eines Loops.
Quantitative Verfahren haben ihre Berechtigung, wenn ausreichende Daten zu Betriebs
SicherheitRisiko ist nicht
höher als höchstesvertretbares Risiko
Höchstesvertretbares
Risiko
GefahrRisiko ist höher
als höchstesvertretbares Risiko
Risiko ohneSchutzmaß-
nahmenRestrisiko
MindestnotwendigeRisikominderung
Tatsächliche Risikominderung
Risiko hochniedrig
Bild 1. Zusammenhang Restrisiko und höchstes vertretbares Risiko (Quelle: TÜV SÜD Industrie Service GmbH).
Bild 2. Statistische Ausfallrate von Aktorik, Sensorik und Steuerung (Endress + Hauser, „Funktionale Sicherheit in der Prozessinstru-mentierung zur Risikominderung“, 2004).
VGB
Pow
erTe
ch -
Aut
oren
exem
plar
- ©
201
1
>>> VGB DIGITAL <<<VGB PowerTech - Autorenexemplar - © 2011
Safety Integrity Level
VGB PowerTech 8/2011 89
bewährung, Ausfallverhalten und Schadensausmaß vorliegen. Dies setzt realistische Beobachtungen der Produkte unter angemessenen Zeiträumen voraus (rund fünf bis zehn Jahre). Aufgetretene Ausfälle und Gefährdungen müssen unter praxisnahen Einsatzbedingungen ermittelt worden sein. Eine rein quantitative Grenzwertdiskussion, die nicht auf realwirkursächlichen Risiken basiert, sollte nicht allein als Basis für ein Sicherheitskonzept dienen.
Regelwerke müssen interpretiert werden – Beispiel Risikomatrix
Allein die Wirksamkeit ist das entscheidende Kriterium für die zu treffenden Schutzmaßnahmen. Das real vorhandene und wirkursächliche Risiko in einem gesamtheitlichen (systemischen) Zusammenhang erlaubt es, die notwendigen sicherheitstechnischen Grenzwerte so festzulegen, dass diese sachlichen und reproduzierbaren Nachprüfungen standhalten. Das sollte auch für die Auswahl des SILLevels gelten, die sich an einer Risikomatrix (B i l d 3 ) orientiert.
Als Beispiel soll die Frage „Welche SILAnforderung ergibt sich bei der Bewertung einer Brennersteuerung?“ erörtert werden. Wenn angenommen wird, dass eine Anlage über eine Fernwarte gefahren wird und Personal nicht ständig vor Ort ist, dann folgt mit den Kategorien (S2), (A1), (G1) und (W3) ein SILLevel 2. Würde unterstellt, dass die Eintrittswahrscheinlichkeit eines unerwünschten Ereignisses ohne MSRSchutzeinrichtung die Kategorisierung in (W2) ermöglicht, dann würde sich lediglich ein SILLevel 1 ergeben. In der Praxis verursacht dies häufig Diskussionen, in denen der SILLevel 3 gefordert wird, weil dies laut DIN EN 50156 so sei. Doch sollte hier konkret gefragt werden: Lässt
sich diese Anforderung aus der 50156 tatsächlich ableiten bzw. sind Kompromisslösungen möglich?
Ein genauer Blick auf den Sachverhalt zeigt, dass hier eine alternative Interpretation möglich ist. Der erwähnte SILLevel 3 wird lediglich „beispielhaft“ beschrieben. Umsetzbar wäre durchaus auch ein SILLevel 2, wenn durch die Anlage kein erhöhtes Risiko im Hinblick auf SHE (Safety, Health and Environment) verursacht wird. Dieses Beispiel verdeutlicht die Diskrepanz in der praktischen Umsetzung bei den Interpretationen unterschiedlicher Normenanwendungen. Dabei sollte nicht der Absicherungsgedanke im Fokus stehen, sondern eine technisch umsetzbare und wirtschaftliche Realisierung.
Prozessanbindungen berücksichtigen und Spielräume nutzen
Wer Risiken zuverlässig reduzieren will, muss dabei auch die Prozessan und einbindung einer Komponente mit betrachten. Wird beispielsweise ein redundantes System mit nur einer Prozessanbindung betrieben, kann ein einzelner Fehler in der Prozessanbindung zum Verlust des gesamten Systems führen. Die EN 61511 gibt mögliche Spielräume eindeutig vor. Die Hardware Fault Tolerance (HFT), die für die einzelnen Komponenten einer Prozessbzw. Signalkette (den Loop) gilt, muss auch
bei der Prozessein und anbindung beibehalten werden, sonst wird eine SILBetrachtung schon im Ansatz fehlerhaft. Spielräume eröffnen sich nur durch Fehlerausschlüsse, beispielsweise wenn bei Rohrleitungen nur Medien eingesetzt werden, die nicht zu Ablagerungen neigen und sich die Leitung demzufolge nicht zusetzen kann.
Ein anderes Beispiel für diesen Ansatz gibt ein Schutzsystem innerhalb einer Prozessanbindung (B i l d 4 ). Im vorliegenden Fall werden in der Regel nur die implementierten Schutzsysteme von Signalgeber, Schutzeinrichtung und Stellglied betrachtet – und zwar auf Grundlage einer quantitativen Bewertung. Das B i l d 5 zeigt ein aus hochzertifizierten Komponenten aufgebautes Schutzsystem, das SIL3 erreicht. Dabei lässt sich eine SIL3Anforderung auch mit einem redundanten Aufbau über SIL1zertifizierte Geräte erreichen (B i l d 6 ). Allerdings sollten die SIL1Geräte von unterschiedlichen Herstellern stammen, um produktionsbedingte Fehlerwahrscheinlichkeiten im Vorfeld zu minimieren (diversitäre Struktur). Eine solche Konfiguration erhöht meist auch die Verfügbarkeit der Anlagenprozesse. Zudem werden hochzertifizierte und damit vergleichsweise kostenintensive Komponenten eingespart. Insgesamt ist eine ganzheitliche Analyse aller Teilsysteme also nicht nur zwingend, um kritische Wechselwirkungen zu vermeiden, sondern dient vielmehr der Sicherheit, Umweltverträglichkeit, Verfügbarkeit und Effizienz von Kraftwerken.
Weil es immer wieder auch auf SILzertifizierte Komponenten ankommt, sollte sich der SILZertifizierungsprozess am Anspruch messen lassen, bestmöglich zu einer höheren Verfügbarkeit und Sicherheit beizutragen. Dabei sollten die Inhalte des Zertifikats und die darin enthalten Berechnungsgrundlagen für die SILLevel analysiert werden.
Was SIL-Zertifikate enthalten
Kerninhalte des SILZertifikats sind die Safe Failure Fraction (SFF) und die Hardware Fault Tolerance (HFT). Erstere setzt sich aus sicheren und als gefährlich erkannten Fehlern zusammen. Während sich sichere Fehler nicht sicherheitskritisch auswirken – die Anlage wird kontrolliert heruntergefahren bzw. kann in Einzellfällen sicher und kontrolliert weiter
Sch
aden
sfal
l
W3 W2 W1
a
1
2
3
4
b
---
a
1
2
3
4
---
---
a
1
2
3
G1
G2
G1
G2
A1
A2
A1
A2
S1
S2
S3
S4
Schadensausmaß
Aufenthaltsdauer
S1 / C1: leichte Verletzte kleinere schädliche UmwelteinflüsseS2 / C2: schwere Verletzungen oder Tod einer Person vorrübergehende UmweltschädenS3 / C3: Tod mehrerer Personen anhaltende UmweltschädenS4 / C4: Katastrophe, viele Tote
A1 / F1: selten bis öfterA2 / F2: häufig bis dauernd
Gefahrenabwendung
G1 / P1: möglich unter bestimmten BedingungenG2 / P2: kaum möglich
Eintrittswahrscheinlichkeit des unerwünschtenEreignisses ohne MSR-Schutzeinrichtung
W1: sehr geringW2: geringW3: relativ hoch
a = keine besonderen Sicherheitsanforderungen --- = keine Sicherheitsanforderungenb = ein einzelnes SIS reicht nicht aus 1, 2, 3, 4 = Sicherheits-Integritätslevel
Bild 3. Ablaufmatrix in Abhängigkeit einzelner Risikoparameter (Risikograph nach EN 61508/61511 bzw. EN 50156, 2004).
Bild 4. Aufbau eines Schutzsystems innerhalb eines Loops (Quelle: TÜV SÜD Industrie Service GmbH).
VGB
Pow
erTe
ch -
Aut
oren
exem
plar
- ©
201
1
>>> VGB DIGITAL <<<VGB PowerTech - Autorenexemplar - © 2011
Safety Integrity Level
90 VGB PowerTech 8/2011
betrieben werden – können als gefährlich erkannte Fehler sicherheitsrelevante Fehlfunktionen bedeuten. Zusammen errechnet sich daraus die Ausfallrate des Systems.
Das Unterscheiden von sicheren und gefährlichen Fehlern betrifft auch Fehlerarten wie passive, aktive sowie systematische und zufällige Fehler. Aktive Fehler lösen eine Schutzfunktion aus und sind daher ungefährlich. Passivfehler sind solche, bei denen die Schutzfunktion nicht ausgelöst wird. Jede Diagnose eines Systems zielt darauf ab, diese Fehler aufzudecken. Daher muss für jedes System eine anlagenspezifische Diagnose entwickelt werden, die auch mögliche Passivfehler aufdecken kann.
Die Hardware Fault Tolerance bezieht sich auf die Verfügbarkeit bzw. die Fehlertoleranz eines Systems. Mit der Höhe des Werts (0,1 und 2) steigt die Verfügbarkeit bzw. die Zeit, wie lange ein System ohne Ausfall weiterarbeiten kann. Ausfallsichere und fehlertolerante Systeme haben dementsprechend den höchsten der drei HFTWerte (2). Nach der HFTDefinition der EN 61511 bedeutet eine Hardwarefehlertoleranz von 1, dass zwei Geräte für eine Funktion vorhanden sind und deshalb ein gefährlicher Ausfall eines Geräts die Auslösung einer Schutzfunktion nicht verhindert.
Ausfallraten im Zertifikat berechnen
Ein SILZertifikat für EMSRKomponenten enthält vom Hersteller notwendige sicherheitstechnische Kenn und Basisdaten zur SFF und HFT. Sie betreffen:
sicherheitsgerichtete unentdeckte Ausfälle –
sicherheitsgerichtete entdeckte Ausfälle –
gefährliche entdeckte Ausfälle –
gefährliche unentdeckte Ausfälle –
Daraus kann der Anteil der SFF abgeleitet werden. Enthalten sind zudem:
Wahrscheinlichkeit für das Versagen bei –Anforderung pro Stunde (PFH)
zulässige Betriebsart (Low Demand/High –Demand des PFD)
Hardwarefehlertoleranz (HFT) –
Art des Gerätetyps (A = einfaches Teilsys –tem, B = komplexes Teilsystem)
zugrunde liegendes Prüfintervall für die an –gegebene SILStufe (T1)
nutzbare Lebensdauer (in der Regel acht bis –zwölf Jahre)
Diagnoseaufdeckungsgrad (DC) –
Zentral für die Erreichung eines erforderlichen SILLevels sind insbesondere Angaben zum Redundanzgrad (HFT). Dahingehend
sollte die SILAngabe für eine Komponente schließlich eindeutig sein. Formulierungen wie „geeignet bis SIL3“ ermöglichen unnötige Fehlinterpretationen.
In der Praxis wird immer wieder die Berechnung der SFF und der PFD diskutiert und damit die Zuverlässigkeit des SILWerts. Der Betreiber oder Prüfer der Anlage hat aber als Prüfungsgrundlage die HFTAnforderungen der Norm EN 61511 zu berücksichtigen. Bei möglichen Abweichungen von den vorgenannten Daten ist zu prüfen, ob sich daraus gewisse Fahrlässigkeiten im Hinblick auf SHE auswirken und somit zu rechtlichen Konsequenzen führen können.
Sicherheitsbezogene Teile einer Steuerung (SRP/CS), die auf Basis vorgenommener Risikobewertungen erhöhte Anforderungen stellen, sollten daher nicht von der Zuverlässigkeit der verwendeten Komponenten allein abhängen. Gerade in einem gesamtfunktionalen System sollte nicht die quantitative Bauteilzertifizierung allein im Vordergrund stehen, sondern die qualitative Analyse und der Aufbau einer sinnvollen Systemarchitektur. Funktionale Schutzsysteme, die definierte Schutzanforderungen erfüllen sollen, können nicht nur über zertifizierte Einzelgeräte aufgebaut werden, sondern auch über redundant eingesetzte, nicht zertifizierte, aber betriebsbewährte, diversitäre Geräte. Welches die sinnvollere EngineeringLösung ist oder ob sich vorhandene Lösungen sinnvoll kombinieren lassen, ist für jede Anlage immer wieder neu zu klären – mit Blick auf die Betriebsbedingungen und ihren Kontext.
Fazit
Auf dem Weg zur funktionalen Sicherheit von Prozessleitsystemen ist die SILZertifizierung von Komponenten zwar ein wichtiges Hilfsmittel. Doch die alleinige Konzentration auf SILLevel und den Wortlaut von Regelwerken, ohne diese in den praktischen Kontext ihrer Anwendung zu setzen, führt in eine Sackgasse. Im Zentrum der Bewertung sollten zunächst die verfahrenstechnischen und funktionalen Gesichtspunkte liegen, bevor über eine falsch verstandene Regelwerkstreue vermeintliche Anforderungen generiert werden, die nicht tatsächlich zweckmäßig sind. Denn das eigentliche Ziel ist ein in sich schlüssiges EngineeringKonzept mit hoher Verfahrens und Prozesssicherheit, das zuverlässige Schutzmaßnahmen garantiert für Personen, Sachwerte und die Umwelt. □
Bild 5. Aufbau eines Schutzsystems mit zertifizierten Geräten für eine SIL 3-Anforderung (Quelle: TÜV SÜD Industrie Service GmbH).
Bild 6. Aufbau eines Schutzsystems mit einfachen diversitären Geräten für eine SIL 3- Anforderung. Den Begriff „betriebsbewährt“ beschreibt die VDI-/VDE-Richtlinie 2180 (Quelle: TÜV SÜD Industrie Service GmbH).
90 VGB Po wer Tech 9/2005
On li ne-Shop www.vgb.org/shop
VGB
Pow
erTe
ch -
Aut
oren
exem
plar
- ©
201
1
>>> VGB DIGITAL <<<VGB PowerTech - Autorenexemplar - © 2011
VGB PowerTechInternational Journal for Electricity and Heat Generation
Please copy >>> fill in and return by mail or fax
Yes, I would like order a subscription of VGB PowerTech.
The current price is Euro 275.– plus postage and VAT.
Unless terminated with a notice period of one month to the end of the year, this subscription will be extended for a further year in each case.
Return by fax or mail or in business envelope with window to
VGB PowerTech Service GmbHFax No. +49 201 8128-302
Name, First Name
Street
Postal Code City Country
Phone/Fax
Date 1st Signature
Cancellation: This order may be cancelled within 14 days. A notice must be sent to to VGB PowerTech Service GmbH within this period. The deadline will be observed by due mailing. I agree to the terms with my 2nd signature.
Date 2nd Signature
Volume 83/2003 · ISSN 1435-3199
K 43600
International Edition
Topic:Hydro-power
Neue Wege in derProzessleit- undInformationstechnikDevelopment of theOxidation Layer on aSteam Turbine VaneLive-cycle Monitoring/
Condition EvaluationHg-Rückhaltung imSCR-Katalysatorbett
International Journalfor Electricity and Heat Generation
Publication ofVGB PowerTech e.V.www.vgb.org
Volume 85/2005 · ISSN 1435-3199
K 43600
International Edition
Schwerpunktthema:
Kernenergie
2004: Operating Results
of Nuclear Power Plants
European Power Plant
Technology forthe Global Market
Water Treatmentin Power PlantApplications
Distributed Generation
and System Operation
International Journal
for Electricity and Heat Generation
Publication of
VGB PowerTech e.V.
www.vgb.org
Volume 85/2005 · ISSN 1435-3199
K 43600
International Edition
Schwerpunktthema:Instandhaltungin KraftwerkenFurther Developments inCoal-Fired Power PlantTechnology
Hydro Power in aCompetitive MarketThermal Utilisation ofWaste in a Power Plant
Material Developments for High Capacity Power Plants
International Journalfor Electricity and Heat GenerationPublication ofVGB PowerTech e.V.www.vgb.org
Wir bieten eine umfassende Produktpalette für
alle Probleme rund ums Wasser und liefern maß-
geschneiderte Lösungen, die perfekt auf Ihre
speziellen Prozesse abgestimmt sind:
Aufbereitung von Zusatzwasser, Kühl- und Pro-
zesswasser, Kesselwasser, Wasser für Heizungs-
anlagen, Swimming-Pools oder Membranfiltra-
tionsanlagen, Trinkwasser und Abwasser.
Unser vielfältiges Angebot an Produkten und
Ausrüstungen, ergänzt durch fundiertes tech-
nisches Know-how und einen umfassenden
Kundenservice, deckt unterschiedliche
Anwendungsgebiete ab, zum Beispiel in den
Branchen Kraftwerke, Stahlindustrie, Raffinerien
und petrochemische Industrie, chemische
Industrie, Lebensmittel- und Getränkeindustrie,
Anlagenmanagement.
Henkel KGaA, TI Water Treatment • Henkelstraße 67 • 40191 Düsseldorf, Germany
Phone +49 211 7979190 • Fax +49 211 798 2262 • Email: [email protected]
www.henkel-water.com
Innovative Technologien
für die Wasserbehandlung
Für jede Anwendung die passende Lösung
P3-ferrofos®, P3-ferrolix®, P3-cetamine, P3-ferrocid®, P3-ferrolin®, P3-ferrofloc®, P3-ferrocryl®,
P3-osmotech®, P3-ferrosolf®, P3-ferrocor®, P3-ferroflame®
Mit neuer Technologie:
filmbildende Amine für die
Kesselwasserbehandlung
Volume 87/2007 · ISSN 1435-3199
K 43600
International Edition
Focus: Furnaces,
Steam Generators and
Steam Turbines
Optimisation of
Operating Cost
through CDM and JI
Performance of a
900 MW Supercritical
Steam Turbine
Developments of
Fluidised BedGasification
Explosion Protection in
the Case of Hard-coal
International Journal
for Electricity and Heat Generation
Publication of
VGB PowerTech e.V.
www.vgb.org
U 1+4_PT7-07.qxd 18.07.20
07 10:07 Uhr Seite 1
IN ING
WELTWE IT
, Fax +49·89·7 80 49-167, [email protected]
rt zum Einsatz, wo es auf Zuverlässigkeit
So liefern BAUER Hochdruckkompres-
nergie, um die Schaufeln und Stellräder
ungsverhältnissen anzupassen. Dadurch
en gleichmäßig laufen und die Genera-
eiderte Problemlösung im Bereich der
g suchen und sich dabei keine Kompro-
uns kennenlernen.
www.baue
r-kompres
soren.de
IGEN!*
rkraft
rkraft
Volume 85/2005 · ISSN 1435-3199
K 43600
International Edition
Schwerpunktthema:
Erneuerbare Energien
Hydrogen Pathways
and Scenarios
Kopswerk II –
Prevailing Conditions
and Design
Arklow Bank
Offshore Wind Park
The EU-Water
Framework Directive
International Journal
for Electricity and Heat Generation
Publication of
VGB PowerTech e.V.
www.vgb.org
www.thyssenkruppxervon.de
ThyssenKrupp Xervon
Powering Plant Performance
ThyssenKrupp
Jede Zusammenarbeit
hat mal klein angefangen.
In der Instandhaltung von Kraftwerken hat ThyssenKrupp Xervon
über 30 Jahre Erfahrung. Ob Basisdienstleistungen wie Gerüst-
bau, Isolierung und technische Reinigung, komplexe Aufgaben
wie Engineering, Modernisierung und Feuerungstechnik oder
komplette, speziell für Ihren Bedarf zusammengestellte
Dienstleistungspakete. Wir beweisen Ihnen gern unsere
Leistungsfähigkeit – im Kleinen wie im Großen.
Kontaktieren Sie uns: [email protected]
ThyssenKrupp Xervon GmbH
An der Landwehr 2
45883 Gelsenkirchen
Telefon 0209 9454-0
Telefax 0209 9454-390
Volume 87/2007 · ISSN 1435-3199
K 43600
International Edition
Focus: Safety at Work
Clean Coal Tech-
nologies – Inter-
national Activities
Biomass-fired Power
Plant with Circulating
Fluidised Bed
Operation
Experiences from
Offshore Wind Farms
Damage Analysis of
Evaporator Tubes
International Journal
for Electricity and Heat Generation
Publication of
VGB PowerTech e.V.
www.vgb.org
Flue Gas Heat Recovery at Torrevaldaliga Nord
VGB PowerTechThe generation of electricity and the disposal of heat is in all parts of the world a central
topic of technology, economy, politics and daily live. Experts are responsible for the
construction and operation of power plants, their development and monitoring as well
as for various tasks in connection with service and management.
The technical journal VGB PowerTech is a competent and internationally accepted
publication for power plant engineering. It appears annually with 11 bilingual issues
(German/English). VGB PowerTech informs with technical/scientific papers and
up-to-date news on all important questions of electricity- and heat generation.
Topics: development, planning, construction and operation of power plants under
special consideration of
– Operation and plant safety,
– Economic efficiency,
– Environmental compatibility,
– Research and development and application of new technologies,
– Competitiveness of different technologies and
– Legal aspects.
VGB PowerTech appears with VGB PowerTech Service GmbH, publishing house of
technical-scientific publications.
VGB PowerTech e.V., the European technical association, is the publisher.
Your contact at VGB PowerTech Service GmbH,
Gregor Scharpey, Phone: +49 201 8128-271, E-Mail: [email protected]
VGB PowerTech Service GmbH P.O. Box 10 39 32 45039 Essen ALLEMAGNE
PT
VGB Po wer Tech-DVDMo re than 12,000 digitalised pa ges with data and expertise
(incl. se arch func ti on for all do cu ments)
Ple ase fill in and re turn by mail or fax
I would li ke to or der the VGB Po wer Tech-DVD 1990 to 2010 (sin gle user li cen se).
Eu ro 950.–* (Subs cri ber of VGB Po wer Tech Jour nal 1)
Eu ro 1950.–* (Non-subs cri ber of VGB Po wer Tech Jour nal 2) Plus postage, Germany Euro 7.50 and VAT
Net work li cen se (cor po ra te li cen se), VGB mem bers’ edi ti on (In fo Ex pert) and edu ca ti on li cen se on re quest
(pho ne: +49 201 8128-200).
* Plus VAT.Annual update 1) Euro 150.–; 2) Euro 350.– The update has to be ordered annually.
Re turn by fax or in business envelope with window to
VGB Po wer Tech Ser vice GmbHFax No. +49 201 8128-329
In fo Ex pert
Na me, First Na me
Street
Pos tal Co de Ci ty Count ry
Pho ne/Fax
Da te 1st Sig na tu re
Can cel la ti on: This or der may be can cel led wi thin 14 days. A no ti ce must be sent to to VGB Po wer Tech Ser vice GmbH wi thin this pe ri od. The deadline will be observed by due mailing. I ag ree to the terms with my 2nd sig na tu re.
Da te 2nd Sig na tu re
VGB Po wer Tech – www.vgb.orgThe generation of electricity and the disposal of heat is in all parts of the world a central topic of technology, economy, politics and daily live. Experts are responsible for the construction and operation of power plants, their development and monitoring as well as for various tasks in connection with service and management.
The technical journal VGB PowerTech is a competent and internationally accepted publication for power plant engineering. It appears with 11 bilingual issues (German/English) annually. VGB PowerTech informs with technical/scientific papers and up-to-date news on all important questions of electricity and heat generation.
VGB PowerTech appears with VGB PowerTech Service GmbH, publishing house of technical-scientific publications.
VGB PowerTech e.V., the German and European technical association, is the publisher.
VGB PowerTech DVD 1990 to 2010: Digitalised technical papers of VGB Kraftwerkstechnik and VGB PowerTech.
You find the competent technical know-how from 21 years on more than 12,000 pages
VGB Kraftwerkstechnik (German issues until 2000) and the international technical journal VGB PowerTech (as of 2001) with:
– More than 2300 technical papers, – All documents in PDF-format (up to the year 2000 for technical reasons as b/w scan), – Convenient search function in all papers as full-text search and/or deliberate search
for authors and documents titles,– Navigate quickly to the desired papers with a few mouse clicks.
The VGB PowerTech-DVD is available as single license or multi-user license for companies, research institutions and authorities.
The single license can be ordered by form and by post/fax or use our online shop under www.vgb.org.
A quotation for a multi-user license is made on demand. You can bring up to date your DVD annually with the VGB PowerTech update. The update has to be ordered annually.
Your contact at VGB PowerTech Service GmbH, Jürgen Zimander, Phone: +49 201 8128-200, E-Mail: [email protected]
VGB Po wer Tech Ser vice GmbH P.O. Box 10 39 32 45039 Es sen AL LE MAG NE
In fo Ex pert