Endbenutzer, die (kritische) rotierende Maschinen bedienen, sind gesetzlich verpflichtet, ein geeignetes und überprüfbares sicherheitsinstrumentiertes System (SIS) zu implementieren. Mit dem Sicherheitsintegritätsgrad (SIL, IEC 61508), einer der bekanntesten Methoden zur Risikominderung, können die Verantwortlichen nachweisen, dass alles getan wurde, um die Risiken auf ein Minimum zu reduzieren. SIL wird auch von der API 670-5th Edition als Ansatz für Maschinenschutzsysteme als Go-to-Methode zur Einhaltung von Sicherheitsstandards aufgenommen. Da sich SIL als wertvolle Methode zur Erfüllung der gesetzlichen Sicherheitsanforderungen erwiesen hat, ist der Markt für Turbinen Überdrehzahlschutzsysteme weitgehend SIL-angetrieben.
Immer mehr Endbenutzer fordern SIL-zertifizierte Sicherheitssysteme, weshalb OEMs SIL in ihr Systemdesign einbeziehen. Bei der SIL-Zertifizierung muss jedoch eine wichtige Unterscheidung getroffen werden. einerseits zertifiziert durch bewährte Verwendung und andererseits durch Design zertifiziert.
Zertifiziert durch nachgewiesene Verwendung (proven in use)
Die nachgewiesene Verwendung der SIL-Zertifizierung bedeutet, dass das SIS nicht gemäß den in der IEC 61508 festgelegten SIL-Anforderungen ausgelegt ist, sondern auf der mittleren Zeit zwischen Ausfällen (MTBF), der mittleren Zeit bis zum Ausfall (MTTF) und den Ausfallmodi (erkannt versus) basiert unentdeckt). Die nachgewiesene Verwendung wird eher auf der Grundlage von Statistiken als auf der Grundlage der Sicherheitsintegrität akzeptiert, die durch entsprechende Richtlinien definiert ist. Die Anforderungen für eine nachgewiesene Zertifizierung sind sehr anspruchsvoll und erfordern von einem Benutzer*:
- Ein formales System zum Sammeln von Zuverlässigkeitsdaten, das zwischen sicheren und gefährlichen Fehlern unterscheidet.
- Eine Möglichkeit zur Bewertung der aufgezeichneten Daten, um die Sicherheitsintegrität des SIS und seine Eignung für die Anwendung zu bestimmen.
- Nachweis, dass die Anwendung eindeutig vergleichbar ist.
- Aufgezeichnete historische Nachweise der Betriebsstunden.
- Nachweis der Management-, Qualitäts- und Konfigurationsfertigungssysteme des Herstellers.
- Revisionsaufzeichnungen der Gerätefirmware.
- Nachweis, dass Zuverlässigkeitsdatensätze regelmäßig aktualisiert und überprüft werden.
*Quelle: IEC 61508 und IEC 61511
Dies gilt häufig für bereits verwendete Systeme, die die SIL-Zertifizierung (IEC 61508) nicht bestehen. Aufgrund ihrer jahrzehntelangen zuverlässigen Verwendung mit wenigen Ausfällen sind diese Systeme SIL-zertifiziert und nachweislich im Einsatz. Es ist wichtig zu beachten, dass die nachgewiesene Verwendung nur für die spezifische Anwendung gilt, für die das System betriebsbereit war, und daher nicht einfach auf vergleichbare Anwendungen übertragen werden kann.
Hinweis: Die nachgewiesene Verwendung ist für einen Endbenutzer ein gültigerer Ansatz als für einen OEM. Da der Endbenutzer alle Vor- und Nachteile des Instruments, der Anwendung und der Umgebungsbedingungen kennt.
Vom Design zertifiziert (by design)
Die SIL-Zertifizierung bedeutet, dass das System gemäß den Anforderungen der IEC 61508 für einen bestimmten Anwendungsbereich ausgelegt ist. Das Proof-Test-Intervall für Systeme, die durch Design zertifiziert wurden, ist viel länger als diejenigen, die durch bewährte Anwendungen zertifiziert wurden. Je komplexer das System ist, desto regelmäßiger muss es getestet werden. Dies liegt daran, dass mehr Funktionen zu mehr potenziellen Schwachstellen im System führen.
Die Zertifizierung durch Design für OEMs wird aufgrund ihrer breiteren Anwendbarkeit und längeren Testintervalle immer der bewährten Verwendung vorgezogen. Viele Produkte werden jedoch aufgrund ihres Designs niemals eine solche Zertifizierung erhalten können. In Bezug auf SIL besteht die einzige Möglichkeit darin, entweder ein nicht zertifiziertes Produkt zu verwenden oder eine nachgewiesene Zertifizierung für die Verwendung anzustreben.
SpeedSys; Überdrehzahlschutz vom Design zertifiziert
Istec hat den SpeedSys entwickelt: ein vom Design zertifiziertes Überdrehzahlschutzsystem. Wir haben alle zusätzlichen Funktionen entfernt und sind zum Kern des Überdrehzahlschutzes zurückgekehrt, wie er im API 670-Standard definiert ist. Das SpeedSys bietet ein minimales Testintervall von 10 Jahren, Skalierbarkeit für eine höhere SIL-Bewertung durch Abstimmungsstrukturen und eine senderbasierte Architektur im Gegensatz zu komplexen Rack-basierten Architekturen. Der SpeedSys bietet das gleiche Schutzniveau wie jedes Rack-basierte System, ist jedoch sowohl für kleinere als auch für größere rotierende Geräte finanziell wesentlich zugänglicher.
