Vorlesung Prozessleittechnik 2 - TU Dresden · Sicherheitslebenszyklus - Analyse Folie 17 von 46...
Transcript of Vorlesung Prozessleittechnik 2 - TU Dresden · Sicherheitslebenszyklus - Analyse Folie 17 von 46...
Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik
Dresden, 17.04.2013
Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen - Sicherheitslebenszyklus
Teil 1: Analyse
A. Krause, L. Urbas
Sicherheitslebenszyklus - Analyse Folie 2 von 46
Sicherheitslebenszyklus nach DIN EN 61511 [1]
Teil 1: Analyse
• Gefährungs- und
Risikobeurteilung
• Zuordnung der
Sicherheitsfunktionen
zu Schutzebenen
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 3 von 46
GEFÄHRUNGS- UND RISIKOBEURTEILUNG
10.04.2013
Sicherheitslebenszyklus - Analyse Folie 4 von 46
Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (1/2)
Phase: Gefährdungs- und Risikobeurteilung
Ziele:
• Ermittlung von Gefährdungen und gefährlichen
Ereignissen durch den Prozess,
• Bestimmung von Ereignisketten, die zu gefährlichen
Ereignissen führen können,
• Bestimmung des Prozessrisikos,
• Bestimmung der Anforderungen zur Risikoreduzierung
und der sicherheitstechnischen Funktionen
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 5 von 46
Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (2/2)
Phase: Gefährdungs- und Risikobeurteilung
Anforderungen: DIN EN 61511-1 Abschnitt 8
Eingaben: Verfahrenstechnischer Entwurf,
Auslegung, personelle Maßnahmen,
Sicherheitsziele
Ergebnisse: Beschreibung der Gefährdungen, der
benötigten Sicherheitsfunktionen und der
jeweiligen Risikoreduzierung
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 6 von 46
Begriffe nach DIN EN 61511 [1]
Gefährdung (en. hazard) - potentielle Schadensquelle
Schaden (en. harm) – physische Verletzung oder Schädigung der
Gesundheit von Menschen, entweder direkt oder indirekt als ein
Ergebnis von Schäden am Eigentum oder an der Umwelt
Risiko (en. risk) – Kombination der Wahrscheinlichkeit des
Auftretens eines Schadens und des Schweregrads dieses
Schadens
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 7 von 46
Anforderungen nach DIN EN 61511 [1]
• nur Anforderungen an das Ergebnis
• jede Arbeitstechnik kann verwendet werden, wenn sie für
geeignet erachtet wird
• Betrachtung aller vorhersehbarer Umstände
• in der Prozessindustrie: frühzeitige vorläufige Gefährdungs-
und Risikoanalysen und Anwendung des Prinzips der
Eigensicherheit (liegt außerhalb der DIN EN 61511)
• strukturierte Vorgehensweise bei komplexen Entwürfen
oder neuen Prozessen (DIN EN 31010 „ Risikomanagement –
Verfahren zur Risikobeurteilung“ [2])
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 8 von 46
DIN EN 31010 [2] - Risikomanagement
Schritte des Risikobeurteilungsprozesses
• Risikoermittlung
• Risikoanalyse
Folgen analysieren
qualitative, semi-quantitative und quantitative Schätzung der
Wahrscheinlichkeit
Beurteilung der Wirksamkeit eventuell vorhandener
Schutzmaßnahmen
Schätzung des Risikoniveaus
• Risikobewertung
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 9 von 46
Gefährdungsanalyse – qualitative Methoden [1]
• Sicherheits-Durchsprachen
• Checklisten
• Was-wäre-wenn-Analysen
• HAZOP (national PAAG genannt)
• FMEA
• Ursache-Wirkungsanalyse
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 10 von 46
Eignung der Verfahren nach [2]
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 11 von 46
Einflussfaktoren für die Verfahrensauswahl [2]
• Komplexität des Problems und des Verfahren
• Art und Grad der Ungewissheit der Risikobeurteilung
verfügbare Informationen Zielsetzung
• Art und Menge der erforderlichen Ressourcen
Zeit Grad des erforderlichen Fachwissens Datenerfordernisse Kostenaufwand
• Art des Ergebnisses
quantitativ qualitativ
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 12 von 46
Einschätzung der Einflussfaktoren nach [2]
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 13 von 46
Weitere Betrachtung der folgenden Verfahren
Induktive Verfahren (bottom-up)
• HAZard and OPerability study (HAZOP)
• Failure Mode and Effects Analysis (FMEA)
• Event Tree Analysis (ETA)
Deduktive Verfahren (top-down)
• Fault Tree Analysis (FTA)
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 14 von 46
INDUKTIVE VERFAHREN
Gefährungs- und Risikobeurteilung
10.04.2013
Sicherheitslebenszyklus - Analyse Folie 15 von 46
HAZOP [3] nach IEC 61882 HAZard and OPerability Study
17.04.2013
Systematische Untersuchung
des Prozesses durch Leitworte
Sicherheitslebenszyklus - Analyse Folie 16 von 46
HAZOP: Beispiel [1] - Systembeschreibung
• Druckbehälter mit flüchtigem brennbarem Gas
• BPCS misst Stand und stellt Ventil
• unabhängiger Druckmesser mit Hochalarm
–> Eingriff durch Bediener
• Nicht-PLT-Schutzebene z.B. Berstscheibe oder Sicherheitsventil
17.04.2013
L001
P001PA+
LC
V001VC
BPCS
Schutzebene Fackel
Sicherheitslebenszyklus - Analyse Folie 17 von 46
HAZOP: Beispielanalyse [1]
Gegen-stand
Abweichung Ursachen Auswirkung Schutzeinrichtung Maß-nahmen
Behälter Hoher Durchfluss
Versagen der Durchflussregelung
Druckanstieg
Druck hoch 1) Versagen der Durchflussregelung
2) Brand in der Umgebung
Zerstörung des Behälters und Freisetzung in die Umgebung
1) Hoch-Alarm für den Druck
2) Flutungs-system
3) Druck-entlastungs-ventil
Bewertung der Entwurfs-bedingungen für die Freisetzung des Druckent-lastungs-ventils in die Umgebung
Niedriger oder kein Durchfluss
Versagen der Durchflussregelung
Keine maßgeb-lichen Folgen
Rückströmung Keine maßgeb-lichen Folgen
17.04.2013
L001
P001PA+
LC
V001VC
BPCS
Schutzebene Fackel
Sicherheitslebenszyklus - Analyse Folie 18 von 46
FMEA nach DIN EN 60812 [4] Failure Mode and Effects Analysis
• in erster Linie auf die Untersuchung von Material- und
Geräteausfällen abgestimmt
• anwendbar auf Systeme mit unterschiedliche Technologien
(elektrisch, mechanisch, usw.)
• auf alle Ebenen des Systementwurfs anwendbar (System,
Teilsystem, Komponente, Einheit), aber besonders für die
untere Ebene (mit vielen Einheiten) geeignet
• liefert wesentliche Informationen für Diagnose- und
Instandhaltungsverfahren
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 19 von 46
FMEA: Beispiel [3]
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 20 von 46
ETA nach DIN EN 62502 (VDE 0050-3) [6] Event Tree Analysis
• Visualisierung von Ereignisketten
• Identifizierung von Fehlerausbreitungspfaden
• Modellierung der Reihenfolge und Wechselwirkung
verschiedener schadensmindernder Faktoren
• Bestimmung der Wahrscheinlichkeiten kann durch
andere Verfahren ergänzt werden
17.04.2013
Schritt 1:Definition des Systems, das betrachtet werden
soll
Schritt 2:Ermittlung der zu
betrachtenden Startereignisse
Schritt 3:Ermittlung der schadens-
mindernden Faktoren und physikalischen Phänomene
Schritt 4:Definition einer Reihenfolge und deren Ergebnisse sowie
deren Quantifizierung
Schritt 5:Analyse der Ergebnisse
Sicherheitslebenszyklus - Analyse Folie 21 von 46
ETA: Beispielanalyse [1]
17.04.2013
Druck-Hoch-Alarm
Reaktion des Bedieners
Schutzebene
Überdruck10-1/Jahr
Erfolgreich?
Erfolgreich?Erfolg
Erfolgreich?Nein
Erfolgreich?Ausfall/Versagen
Ja
Ja
Nein
Ja
Nein
0,9
0,1
Wahrschein-lichkeit
Auswirkungen
1. Keine Freisetzung von Stoffen
2. Entspannung über eine Fackel durch Schutzebene
4. Entspannung über eine Fackel durch Schutzebene
3. Freisetzung in die Umgebung
5. Freisetzung in die Umgebung
8 x 10-2/Jahr
8 x 10-3/Jahr
9 x 10-4/Jahr
9 x 10-3/Jahr
1 x 10-3/Jahr
Aktuelles Risiko: 1 x 10-3/Jahr + 9 x 10-4/Jahr = 1,9 x 10-3/Jahr
Sicherheitslebenszyklus - Analyse Folie 22 von 46
DEDUKTIVE VERFAHREN
Gefährungs- und Risikobeurteilung
10.04.2013
Sicherheitslebenszyklus - Analyse Folie 23 von 46
FTA nach DIN EN 61025 [5] Fault Tree Analysis
• geordnete graphische Darstellung
• zeigt die Ursachen und die Kombinationen von
Ursachen, die zum Hauptereignis führen
• kann qualitativ oder quantitativ sein
• kann komplexe Systeme mit abhängigen
Subsystemen untersuchen
• kann Wechselbeziehungen zwischen mechanischen,
elektrischen und softwaretechnischen Teilsystemen
darstellen
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 24 von 46
FTA: Beispielanalyse [1]
Ursachen für unerwünschtes
Ereignis (Hauptereignis):
Überdruck im Behälter Legende:
17.04.2013
Überdruck0,1/Jahr
Äußere Ereignisse
(Feuer)
BPCS-Funktion versagt
BPCS-Funktion versagt Sensor
versagtVentil
verklemmt
Hauptereignis oderZwischenereignis
ODER-Gatter
An anderer Stelle untersucht
Grundereignis
Sicherheitslebenszyklus - Analyse Folie 25 von 46
Kombination von induktiven und deduktiven Verfahren am Beispiel FTA [5]
• FTA + FMEA
• FTA + ETA (Ursachen- und Folgeanalyse)
• FTA + Markov-Modell
• FTA + binäres Entscheidungsdiagramm
• FTA + Zuverlässigkeitsblockdiagramm
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 26 von 46
ZUORDNUNG DER SICHERHEITSFUNKTIONEN ZU SCHUTZEBENEN
10.04.2013
Sicherheitslebenszyklus - Analyse Folie 27 von 46
Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (1/2)
Phase: Zuordnung der Sicherheitsfunktionen
zu Schutzebenen
Ziele: Zuordnung der Sicherheitsfunktionen zu
den entsprechenden Schutzebenen und für
jede sicherheitstechnische Funktion das
zugehörige Sicherheits-Integritätslevel (SIL)
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 28 von 46
Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] (2/2)
Anforderungen: DIN EN 61511-1 Abschnitt 9
Vorgaben: Eine Beschreibung der benötigten
sicherheitstechnischen Funktionen einschließlich
der Anforderungen an die Sicherheitsintegrität
Ergebnisse: Eine Beschreibung der Zuordnung
von Sicherheitsanforderungen
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 29 von 46
Zuordnung jeder Sicherheitsfunktion
Nicht-SIS-Schutzebene
SIF Andere Schutzebenen
SIL
Zuordnung zu den Schutzfunktionen
10.04.2013
Sicherheitslebenszyklus - Analyse Folie 30 von 46
Begriff nach DIN EN 61511 [1]
Sicherheitsfunktion
Funktion, die von einem SIS, von einem
sicherheitsbezogenen System anderer
Technologie oder von externen Einrichtungen
zur Risikominderung ausgeführt wird, mit dem
Ziel, [..] einen sicheren Zustand für den Prozess zu
erreichen oder aufrecht zu erhalten
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 31 von 46
Begriff nach DIN EN 61511 [1]
Sicherheitstechnisches System (en. Safety
instumented system; kurz: SIS)
Sicherheitstechnisches System zur Ausführung
einer oder mehrerer sicherheitstechnischer
Funktionen. Ein SIS besteht aus Sensor(en),
Logiksystem und Aktor(en).
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 32 von 46
Begriff nach DIN EN 61511 [1]
Sicherheitstechnische Funktion (en. safety
instrumented function; kurz: SIF) – Funktion
mit vorgegebenem SIL, die zum Erreichen der
funktionalen Sicherheit notwendig ist. Eine
sicherheitstechnische Funktion kann entweder
eine sicherheitstechnische Schutzfunktion
oder sicherheitstechnische Regelfunktion sein.
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 33 von 46
Schutzebene [1]
Schutzebene -
jede unabhängige Maßnahme,
die das Risiko durch Regelung
oder Steuerung, Schutz- oder
Schadensbegrenzungsmaßnahmen
vermindert
Dazu gehören auch: verfahrenstechnische und
organisatorische Maßnahmen
Beispiel für Schutzebenen
17.04.2013
Öffentliche Maßnahmen in NotfällenRundfunkinformation im Notfall
Anlagenbezogene Maßnahmen in NotfällenEvakuierungsmaßnahmen
SchadensbegrenzungMechanische Systeme
Sicherheitstechnische RegeleinrichtungenSicherheitstechnische Schadensbegrenzungseinrichtungen
Betriebliche Überwachung
SchutzMechanische Systeme
Prozessalarme mit BedienereingriffSicherheitstechnische RegeleinrichtungenSicherheitstechnische Schutzeinrichtungen
Regelung und ÜberwachungBetriebs- und
ÜberwachungseinrichtungenProzessalarme
Prozess
Sicherheitslebenszyklus - Analyse Folie 34 von 46
Begriffe [1]
Sicherheitsintegrität – mittlere Wahrscheinlichkeit, dass ein
sicherheitstechnisches System die geforderten sicherheitstechnischen
Funktionen unter allen festgelegten Bedingungen innerhalb eines
festgelegten Zeitraumes anforderungsgemäß ausführt
Sicherheits-Integritätslevel (SIL) – eine von vier diskreten Stufen zur
Spezifikation der Anforderungen für die Sicherheitsintegrität der
sicherheitstechnischen Funktionen, die dem sicherheitstechnischen System
zugeordnet werden, wobei SIL 4 den höchsten Grad, SIL 1 den niedrigsten
darstellt
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 35 von 46
Was heißt SIL 1 bis SIL 4 in quantitativen
Werten? [1]
Anforderungsbetriebsart
SIL PFDavg Erforderliche Risikominderung
4 10-5 bis < 10-4 > 104 bis 105
3 10-4 bis < 10-3 > 103 bis 104
2 10-3 bis < 10-2 > 102 bis 103
1 10-2 bis < 10-1 > 10 bis 100
Betriebsart mit kontinuierlicher Anforderung
SIL PFH (Ausfälle pro Stunde)
4 10-9 bis < 10-8
3 10-8 bis < 10-7
2 10-7 bis < 10-6
1 10-6 bis < 10-5
10.04.2013
Sicherheitslebenszyklus - Analyse Folie 36 von 46
Ziel: Risikominderung durch SIS [1]
10.04.2013
Sicherheitslebenszyklus - Analyse Folie 37 von 46
ETA: Beispielanalyse [1]
Tolerierbares Risiko: 1 x 10-4/Jahr
Aktuelles Risiko: 1,9 x 10-3/Jahr
17.04.2013
Druck-Hoch-Alarm
Reaktion des Bedieners
Schutzebene
Überdruck0,1/Jahr
Erfolgreich?
Erfolgreich?Erfolg
Erfolgreich?Nein
Erfolgreich?Ausfall/Versagen
Ja
Ja
Nein
Ja
Nein
0,9
0,1
Wahrschein-lichkeit
Auswirkungen
1. Keine Freisetzung von Stoffen
2. Entspannung über eine Fackel durch Schutzebene
4. Entspannung über eine Fackel durch Schutzebene
3. Freisetzung in die Umgebung
5. Freisetzung in die Umgebung
8 x 10-2/Jahr
8 x 10-3/Jahr
9 x 10-4/Jahr
9 x 10-3/Jahr
1 x 10-3/Jahr
Sicherheitslebenszyklus - Analyse Folie 38 von 46
Mögliche Risikominderung durch weitere Schutzebene [1]
10.04.2013
Druck-Hoch-Alarm
Reaktion des Bedieners
Schutzebene 1
Überdruck10-1/Jahr
Erfolgreich?
Erfolgreich?Erfolg
Erfolgreich?Nein
Erfolgreich?Ausfall/Versagen
Ja
Ja
Nein
Ja
Nein
0,9
0,1
Wahrschein-lichkeit
Auswirkungen
1. Keine Freisetzung von Stoffen
2. Entspannung über eine Fackel
5. Entspannung über eine Fackel
4. Freisetzung in die Umgebung
7. Freisetzung in die Umgebung
8 x 10-2/Jahr
8 x 10-3/Jahr
9 x 10-5/Jahr
9 x 10-3/Jahr
1 x 10-4/Jahr
Schutzebene 2
Erfolgreich?
Erfolgreich?
Ja 3. Entspannung über eine Fackel 8 x 10-4/Jahr
Nein
Ja
Nein
6. Entspannung über eine Fackel 9 x 10-4/Jahr
Realisierbares Risiko: 1,9 x 10-4/Jahr > 10-4/Jahr
Sicherheitslebenszyklus - Analyse Folie 39 von 46
Mögliche Risikominderung durch SIS [1]
10.04.2013
Realisierbares Risiko: 1,9 x 10-5/Jahr < 10-4/Jahr
Druck-Hoch-Alarm
Reaktion des Bedieners
SIS
Überdruck10-1/Jahr
Erfolgreich?
Erfolgreich?Erfolg
Erfolgreich?Nein
Erfolgreich?Ausfall/Versagen
Ja
Ja
Nein
Ja
Nein
0,9
0,1
Wahrschein-lichkeit
Auswirkungen
1. Keine Freisetzung von Stoffen
2. Keine Freisetzung von Stoffen
5. Keine Freisetzung von Stoffen
4. Freisetzung in die Umgebung
7. Freisetzung in die Umgebung
8 x 10-2/Jahr
9 x 10-3/Jahr
9 x 10-6/Jahr
1 x 10-2/Jahr
1 x 10-5/Jahr
Schutzebene
Erfolgreich?
Erfolgreich?
Ja 3. Entspannung über eine Fackel 8 x 10-5/Jahr
Nein
Ja
Nein
6. Entspannung über eine Fackel 9 x 10-5/Jahr
0,99
0,01
0,99
0,01
Sicherheitslebenszyklus - Analyse Folie 40 von 46
Bestimmung des Sicherheits-Integritätslevel: Qualitative und quantitative Methoden [1]
• Risikograph (qualitativ oder teilqualitativ)
• ALARP-Methode
• Risikomatrix
• LOPA-Methode (quantitativ)
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 41 von 46
Risikograph – qualitativ [1]
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 42 von 46
Analyse der Schutzebenen - LOPA [1]
17.04.2013
Sicherheitslebenszyklus - Analyse Folie 43 von 46
Typische Ausfallwahrscheinlichkeiten von Schutzebenen [1]
17.04.2013
Schutzebene Ausfallwahrscheinlichkeit (PFDavg)
Regelung 10-1
Menschliche Leistung (ausgebildet, kein Stress)
10-2 bis 10-4
Menschliche Leistung (Stress) 0,5 bis 1
Bedieneingriffe des Betriebspersonals aufgrund von Alarmen
10-1
Auslegung von Behältern für einen Druck oberhalb innerer und äußerer Druckerzeuger
10-4 oder besser, wenn die Unversehrtheit des Behälters sichergestellt ist
Sicherheitslebenszyklus - Analyse Folie 44 von 46
NÄCHSTE VORLESUNG
10.04.2013
Sicherheitslebenszyklus - Analyse Folie 45 von 46
Sicherheitslebenszyklus
Teil 1: Analyse
Gefahren erkennen & Risiken bewerten
Teil 2: Spezifikation & Entwurf Risiken reduzieren
Teil 3: Inbetriebnahme & Betrieb
Sicherheit aufrecht erhalten
10.04.2013
[1]
Sicherheitslebenszyklus - Analyse Folie 46 von 46
Quellen
[1] DIN EN 61511: Funktionale Sicherheit - Sicherheitstechnische Systeme für die
Prozessindustrie.
[2] DIN EN 31010 (VDE 0050-1): Risikomanagement – Verfahren zur
Risikobeurteilung.
[3] DIN EN 60300-3-1: Zuverlässigkeitsmanagement – Teil 3-1: Anwendungsleitfaden
– Verfahren zur Analyse der Zuverlässigkeit – Leitfaden zur Methodik.
[4] DIN EN 60812: Analysetechniken für die Funktionsfähigkeit von Systemen –
Verfahren für die Fehlzustandsart- und -auswirkungsanalyse (FMEA).
[5] DIN EN 61025: Fehlzustandsbaumanalyse.
[6] DIN EN 62502: Verfahren zur Analyse der Zuverlässigkeit – Ereignisbaumanalyse
(ETA).
17.04.2013