Der Unterschied zwischen der SIL-Zertifizierung durch Auslegung und der Bewährung in der Praxis

Endnutzer, die (kritische) rotierende Maschinen betreiben, sind gesetzlich verpflichtet, ein geeignetes und überprüfbares Sicherheitssystem (SIS) zu implementieren. Safety Integrity Level (SIL, IEC 61508), eine der bekanntesten Methoden zur Risikominderung, ermöglicht es den Verantwortlichen nachzuweisen, dass alles getan wurde, um die Risiken auf ein Minimum zu reduzieren. SIL wird auch von der API 670-5th Edition als Go-to-Methode für die Einhaltung von Sicherheitsnormen für Maschinenschutzsysteme übernommen. Da sich SIL als wertvolle Methode zur Erfüllung der gesetzlichen Sicherheitsanforderungen erwiesen hat, ist der Markt für Turbinen-Überdrehzahlschutzsysteme inzwischen weitgehend SIL-gesteuert.

Immer mehr Endnutzer verlangen SIL-zertifizierte Sicherheitssysteme, weshalb OEMs SIL in ihre Systementwicklung einbeziehen. Bei der SIL-Zertifizierung ist jedoch eine wichtige Unterscheidung zu treffen: Zertifizierung durch nachweisliche Nutzung einerseits und Zertifizierung durch Konstruktion andererseits.

Zertifiziert durch bewährten Einsatz

Die SIL-Zertifizierung nach "Proven in Use" bedeutet, dass das SIS nicht nach den SIL-Anforderungen der IEC 61508 ausgelegt ist, sondern auf der Grundlage der mittleren Zeit zwischen zwei Ausfällen (MTBF), der mittleren Zeit bis zum Ausfall (MTTF) und der Ausfallarten (entdeckt oder nicht entdeckt). Der Nachweis der Gebrauchstauglichkeit wird auf der Grundlage von Statistiken und nicht auf der Grundlage der in den entsprechenden Richtlinien definierten Sicherheitsintegrität anerkannt. Die Anforderungen für die Zertifizierung der Gebrauchstauglichkeit sind sehr anspruchsvoll und setzen voraus, dass der Benutzer über*:

  • Ein formales System zur Erfassung von Zuverlässigkeitsdaten, das zwischen sicheren und gefährlichen Ausfällen unterscheidet.
  • Ein Verfahren zur Bewertung der aufgezeichneten Daten, um die Sicherheitsintegrität des SIS und seine Eignung für die Anwendung zu bestimmen.
  • Nachweis, dass der Antrag eindeutig vergleichbar ist.
  • Aufgezeichneter historischer Nachweis der Betriebsstunden.
  • Nachweis über die Management-, Qualitäts- und Konfigurationsfertigungssysteme des Herstellers.
  • Datensätze der Gerätefirmware-Revision.
  • Nachweis, dass die Datensätze zur Zuverlässigkeit regelmäßig aktualisiert und überprüft werden.

*Quelle: IEC 61508 & IEC 61511

Dies wird häufig auf bereits in Betrieb befindliche Systeme angewandt, die die SIL-Zertifizierung (IEC 61508) nicht bestehen. Aufgrund ihres jahrzehntelangen zuverlässigen Einsatzes mit nur wenigen Ausfällen sind diese Systeme durch die Betriebsbewährung SIL-zertifiziert. Es ist wichtig zu beachten, dass die Betriebsbewährung nur für die spezifische Anwendung gilt, in der das System eingesetzt wurde, und daher nicht einfach auf vergleichbare Anwendungen übertragen werden kann.

Hinweis: Der Ansatz "Bewährt im Einsatz" ist für einen Endnutzer besser geeignet als für einen OEM. Denn der Endnutzer kennt das Gerät, die Anwendung und die Umgebungsbedingungen in- und auswendig.

Zertifiziert durch Design

Die SIL-Zertifizierung nach Konstruktion bedeutet, dass das System gemäß den Anforderungen der IEC 61508 für einen bestimmten Anwendungsbereich ausgelegt ist. Die Prüfintervalle für Systeme mit Bauartzertifizierung sind viel länger als die für Systeme, die sich in der Anwendung bewährt haben. Je komplexer das System jedoch ist, desto regelmäßiger muss es geprüft werden. Dies liegt daran, dass mehr Funktionalitäten zu mehr potenziellen Schwachstellen im System führen.

Die Bauartzertifizierung ist für Erstausrüster wegen ihrer breiteren Anwendbarkeit und längeren Prüfintervalle immer besser als die Gebrauchsprüfung. Viele Produkte werden jedoch aufgrund ihrer Konstruktion niemals eine solche Zertifizierung erhalten können. In Bezug auf SIL besteht dann die einzige Möglichkeit darin, entweder ein nicht zertifiziertes Produkt zu verwenden oder sich um eine "proven in use"-Zertifizierung zu bemühen.

SpeedSys; bauartbedingter Überdrehzahlschutz

Istec hat das SpeedSys entwickelt: ein bauartgeprüftes Überdrehzahlschutzsystem. Wir haben alle zusätzlichen Funktionen entfernt und sind zum Kern des Überdrehzahlschutzes zurückgekehrt, wie er in der Norm API 670 definiert ist. Das SpeedSys zeichnet sich durch ein minimales Testintervall von 10 Jahren, Skalierbarkeit für höhere SIL-Einstufungen durch Abstimmungsstrukturen und eine senderseitige Architektur im Gegensatz zu komplexen rackbasierten Architekturen aus. Das SpeedSys bietet das gleiche Schutzniveau wie jedes rack-basierte System, ist aber sowohl für kleinere als auch für größere rotierende Ausrüstungen wesentlich kostengünstiger.

Lesen Sie mehr über das SpeedSys »