Bohrinsel bei Ventura California

Aus Schaden klug zu werden, kann in der chemischen Industrie oder bei Feuerungstechnik und Verbrennungsanlagen teuer werden. Mit einem Functional Safety Management System lassen sich systematische Fehler vorab vermeiden. - (Bild: Lehnerer - fotolia.com)

Am falschen Ende zu sparen kann für Unternehmen nicht nur teuer werden, sondern auch zu juristischen Konsequenzen führen. Die rechtlichen Vorgaben für den Einsatz von Maßnahmen für die funktionale Sicherheit sind nämlich klar: So verpflichtet etwa die Betriebssicherheitsverordnung Betreiber von überwachungspflichtigen Anlagen, Sicherheit und Schutz der Gesundheit von Arbeitnehmern zu gewährleisten. Sie macht Vorgaben zur Gefährdungsbeurteilung sowie zu Schutzmaßnahmen und benennt explizit Tatbestände von Ordnungswidrigkeiten und Straftaten.

Dennoch werden immer noch viele Sicherheitsmaßnahmen vor allem aus Kostengründen nicht oder nur halbherzig umgesetzt. Ein weiterer Hemmschuh sind fehlendes Wissen rund ums Thema funktionale Sicherheit oder die Unsicherheit, wie man sich im komplexen „Dschungel“ der Normen und Richtlinien zurechtfinden soll.
Aus rechtlicher Sicht ist offensichtlich: Der Einsatz eines Functional Safety Management Systems (FSM) ist ein Muss, wenn man Schutzeinrichtungen der Funktionalen Sicherheit betreibt. Ein FSM hilft aber nicht nur, große Sicherheitsrisiken zu vermeiden, sondern kann „im Kleinen“ auch Anlagenstillstände reduzieren. Somit rechnet es sich doppelt.

Funktionale Sicherheit in der Praxis umsetzen

Grafik Fehlerursachen

Nur 15 Prozent aller Fehler haben eine stochastische Ursache. IBN = Inbetriebnahme. – Bild: Rösberg

Was genau ist eigentlich ein FSM? Es ist ein systematisches Vorgehen, das bereits bei der Verfahrensentwicklung und in der Anlagenplanung dazu beitragen kann, Fehler zu vermeiden. Generell lassen sich die in einer Anlage auftretenden Fehler in zwei Gruppen aufteilen: stochastische und systematische Fehler. Stochastische Fehler treten zufällig auf und lassen sich vorab nicht vermeiden. Ein Beispiel ist der unvorhersehbare Ausfall einer Elektronikkomponente.
Hier gilt es, für den Fall der Fälle unter dem Stichwort Fehlerbeherrschung den Fehler mit Diagnosemechanismen zu erkennen und die Anlage in einen sicheren Zustand zu überführen.

Planung des Sicherheitssystems

Alle Phasen von der Gefährdungs- und Risikobeurteilung über die Planung bis hin zur Inbetriebnahme und der Außerbetriebsetzung. Die Änderung z.B. Migration von Steuerungssystemen wird auch bedacht. Gleich zu Beginn werden in einem Sicherheitsplan Verantwortliche für jede dieser insgesamt acht Phasen definiert. In jeder dieser Phasen nutzt das FSM im Wesentlichen zwei Instrumente: Die Prozessdefinition (Balken links: Management und Beurteilung der Funktionalen Sicherheit) und die Kontrolle, ob diese Prozessdefinitionen auch eingehalten werden (Balken rechts: Verifikation). Ein FSM orientiert sich am Sicherheitslebenszyklus, wie er in der DIN EN 61511 definiert ist. – Bild: Rösberg

Mit Redundanzkonzepten lässt sich ein Abfahren und Stillstand der Anlage verhindern. Während stochastische Fehler zufällig auftreten und nicht präventiv vermeidbar sind, sind systematische Fehler vorher erkennbar und ihre Konsequenzen absehbar. Ein Fehler in der Prüfanweisung eines Schutzsystems beispielsweise zieht dann eine falsch ausgeführte Prüfung nach sich. Die bestimmungsgemäße Funktion des Schutzsystems ist somit nicht sichergestellt und kann zu einem Anlagenschaden, einem Umweltschaden und schlimmstenfalls zu einem Personenschaden führen.

Es gilt also, solche systematische Fehler im Vorfeld zu vermeiden. Dass sich das lohnt, zeigt eine Studie der Health and Safety Executive (HSE). Die HSE regelt in Großbritannien wesentliche Bereiche des Arbeitsschutzes. Die Studie untersuchte 34 Unfälle, die zu größeren Schäden führten und kam zu der Erkenntnis, dass über 60 Prozent dieser Fehler bereits vor der Inbetriebnahme in eine Anlage eingebaut waren. Etwa 25 Prozent der Fehler entstehen bei der Installation bzw. durch Änderungen nach Inbetriebnahme. Nur 15 Prozent der auftretenden Fehler hatten eine stochastische Ursache.

Wie kann ein Functional Safety Management System helfen?

Hauptverursacher systematischer Fehler ist in der Regel der Mensch. Ihn gilt es also, während der Planungs- und Implementierungsphase so zu unterstützen, dass diese meist vom Management verursachten Fehler bestmöglich vermieden werden. Dort setzen FSM-Systeme an. Sie beruhen auf rechtlichen Verordnungen, Vorgaben und Normen. Ein FSM orientiert sich am Sicherheitslebenszyklus, wie er in der DIN EN 61511 definiert ist.

Das Rundum-Sicher-Paket

Getreu dem Motto “Funktionale Sicherheit rund um den Sicherheitslebenszyklus – alles aus einer Hand” bietet Rösberg an:

  • Beratung und Moderation: Normatives Umfeld der Anwendung, HAZOP-Analyse, Risikobeurteilung nach Anwenderregelwerk
  • Dokumentation: Rechtssichere Dokumentation, Explosionsschutzdokument, Management der Funktionalen Sicherheit, Nachweis der Sicherheitsintegrität (“SIL-Berechnung”), Ex(i)-Nachweis
  • Engineering: Spezifikation, Auslegung und Zuordnung von Sicherheitsfunktionen, Qualifizierung des Schutzsystems
  • Testing:  Erstprüfung und wiederkehrende Prüfung (Ex-Schutz und Funktionale Sicherheit)
  • Training: Einführung Funktionale Sicherheit, HAZOP-Analyse, Auslegung von Sicherheitsfunktionen, Nachweis der Sicherheitsintegrität (“SIL-Berechnung”), Ex(i)-Nachweis
  • FuSi-Frühstück: Impulsvorträge zu Themen aus der “Funktionalen Sicherheit” und dem Explosionsschutz mit Fragerunde, verbunden mit einem Frühstück – auch in Ihrem Hause.

Weitere Informationen von Andre Günther, Mail: Andre.Guenther@roesberg.com, Tel.: 0621 66934190

Prozessdefinition und Kontrolle

Prozessdefinitionen werden für jede einzelne Phase des Sicherheitslebenszyklus vorgenommen. In der Phase der Gefährdungs- und Risikobeurteilung werden Safety Integrity Level (SIL) festgelegt. Das wiederum hat Einfluss darauf, wer die Verifikation im Vier-Augen-Prinzip vornehmen darf. Bei geringem SIL können dies interne Mitarbeiter sein, je höher der SIL, desto unabhängiger muss die Verifikation stattfinden bis hin zur Verifizierung durch unabhängige Organisationen bei sehr gefährlichen Prozessen. Wer welche Prozesse verifizieren darf, hängt nicht nur von seiner Unabhängigkeit, sondern auch von seiner Kompetenz ab. Dabei spielt sowohl die fachliche Qualifikation als auch die berufliche Erfahrung im speziellen Bereich eine wesentliche Rolle.
Formatvorlagen, wie sie aus dem Qualitätsmanagement bekannt sind, werden für die Kontrolle eingesetzt. Mit diesen speziell vorgefertigten Checklisten lassen sich potenzielle Fehlerursachen systematisch abfragen. Zum Aufbau dieser Checklisten für eine bestimmte Anlage kann man zum Großteil die standardisierten Vorgaben aus verschiedenen Normen übernehmen. Nur in wenigen Fällen sind individuelle Anpassungen nötig. Ziel des Fragenkatalogs dieser Formatvorlagen ist es, keinen Interpretationsspielraum dabei zu lassen, ob und wie Aufgaben erledigt wurden. nh

Pressematerial der Rösberg Engineerung GmbH

Sie möchten gerne weiterlesen?