Der Weg zu normenkonform und durchgängig sicher automa-tisierten Thermoprozessanlagen - Digital Asset Management
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sonderdruck
Brennertechnologie | FACHBERICHT
05/2020
ISSN 2567-3742
Der Weg zu normenkonform
und durchgängig sicher automa-
tisierten Thermoprozessanlagen
von Ulf Weißhuhn, Hermann Wübbels
Nach EN 298 zertifizierte Feuerungsautomaten gelten in sich als fehlersicher und sind Voraussetzung, um die Anforder-
ungen der EN 746-2 an industrielle Thermoprozessanlagen zu erfüllen. Was aber ist, wenn mehrere Feuerungsautomaten
von einer zentralen Steuerung zu koordinieren sind? Wenn dazu separate Sensorik und damit durchgängig sichere
Kommunikation erforderlich ist und die Gesamtanlage einer Sicherheitsbetrachtung nach der EG Maschinenrichtlinie
genügen muss? Ist sicher dann wirklich immer sicher?
The path to standard compliant and consistently safe
automated thermoprocessing equipment
Automatic burner control systems which are certified according EN 298 are the precondition to fulfil the requirements
of the EN 746-2 for industrial thermoprocessing equipment. But what if several automatic burner control systems need
to be coordinated by a central controller? If additional sensors, consistent fail-safe communication is required and the
complete system needs to fulfil the safety requirements under the EU Machinery Directive. Is safe then really always safe?
S
icherheitsanforderungen an Produkte werden in der Wie ist nun vorzugehen, wenn sich A-, B- und C-Normen in
Europäischen Gemeinschaft durch EU-Richtlinien bestimmten Punkten widersprechen oder gar gegensätz-
geregelt, die Umsetzung dieser EU-Richtlinien sind in liche Anforderungen an die Produkte stellen? So fordern
spezifischen Normen beschrieben. Diese Normen gliedern beispielsweise die EN 62061 und die EN ISO 13849-1, dass
sich dabei in (Typ) A-, B- und C-Normen, wobei es sich bei die Sicherheit von Sicherheitsfunktionen (beispielsweise
Typ A um Sicherheits-Grundnormen, bei Typ B um Sicher- eines Flammenwächters) lückenlos vom Sensor über den
heitsfachgrund- oder Sicherheits-Gruppennormen (z. B. Controller bis zum Aktor nachzuweisen ist. Und je nach
EN 62061 oder ISO 13849-1) und bei Typ C um Maschinen- Gefährdungspotenzial einen Safety Integrity Level SIL1
sicherheits-Normen (z. B. EN 746-2 oder ISO 13577) handelt. bis SIL3 bzw. einen Performance Level PLa bis PLe erfüllt.
Für steuerungsbasierte Sicherheitslösungen sind in der EU Die EN 746-2 besagt dagegen, dass die Sicherheit einer
die EN 62061 und die EN ISO 13849-1 unter der EG Maschinen- Brennersteuerung nach EN 62061 (oder EN ISO 13849-1)
richtlinie 2006/42/EG harmonisiert. Dies bedeutet, dass wenn nur für diejenigen Teile nachzuweisen ist, die nicht einer
die Sicherheitsfunktionen nach den o. g. B-Normen konzipiert Produktzertifizierung nach Normen für industrielle Ther-
sind, die (CE)-Konformität zu den EU-Richtlinien dadurch nach- moprozessanlagen (z. B. nach EN 298) unterliegen. Ein Bei-
gewiesen werden kann. Für industrielle Thermoprozessanlagen spiel für eine solche Komponente wäre eine fehlersichere
ist in der EU die C-Norm EN 746 unter der Maschinenrichtlinie Steuerung (F-CPU).
harmonisiert. Was wiederum bedeutet, dass die Konformität In der Praxis führt das zu einem Konflikt: Ist die Anlagen-
zu den EU-Richtlinien dadurch nachgewiesen werden sollte, sicherheit nun nach EN 62061 bzw. EN ISO 13849-1 oder
dass die Brennerlösung dieser C-Norm entspricht. nach EN 746-2 nachzuweisen?
www.prozesswaerme.net 1
FACHBERICHT | Brennertechnologie
Bild 1: Normenpyramide (Quelle: Siemens AG)
Die Norm, EN 13611, welche die Basis weiterer Nor- eine „SIL-Anspruchsgrenze“ (oder einer „Kategorie“). Ein
men für industrielle Thermoprozessanlagen ist, wie z. B. durchgängiger Nachweis lässt sich damit nur sehr schwer
die Produktnorm EN 298 stellt eine Verfahrensweise zur führen. Dies führt zu der absurden Situation, dass nach
Überführung der Bewertung der Hardware in SIL/PL zur branchenspezifischen Normen entwickelte Produkte mit
Verfügung. Jedoch ist dieser ermittelte SIL/PL trotz dersel- einem SIL/PL-Level ausgeliefert werden, der aber für den
ben normativen Grundlage, wegen der unterschiedlichen Nachweis der Anlagensicherheit nicht genutzt werden soll.
Zielsetzungen, nicht gleich. Es stellt sich aufgrund dieser besonderen Situation also
Der Grund hierfür ist, dass die EN 13611 die Anforderun- die Frage, wie überhaupt zu verfahren ist?
gen an die Hardwareauslegung über eine „Klasse“ definiert, Eine Antwort darauf gibt die Norm EN ISO 12100, in
und nicht wie die EN 62061 (oder EN ISO 13849-1), über der die hierarchische Gliederung der Normen geregelt ist
Bild 2: Sicherheitsbetrachtung (Quelle: Siemens AG)
2 PROZESSWÄRME 05 | 2020
Brennertechnologie | FACHBERICHT
Bild 3: Schematischer Aufbau einer Thermoprozessanlage als Teil einer Maschine (Quelle: Siemens AG)
(Bild 1). Danach sind die Anforderungen an Maschinen und ausgeführt werden muss? Wo endet die Anforderung
Anlagen umso höher einzustufen, je applikationsbezogener der EN 746-2 – direkt am Feuerungsautomat oder erst
eine Norm ist. Das bedeutet in diesem Fall, dass die Anforde- an der Eingabebaugruppe der Steuerung?
rungen der EN 746-2 am höchsten einzustufen sind. Im Detail ■ Wie weiß die Steuerung mit ausreichender Robustheit,
heißt das, dass bei der Berechnung von PFH und MTTF der ob ein angesteuerter Feuerungsautomat tatsächlich
Sicherheitsfunktionen nach Produktnormen für industrielle arbeitet, und ist der Feuerungsautomat mit SIL3/PLe
Thermoprozessanlagen zertifizierte Produkte entsprechend anzusteuern und der Betriebszustand mit SIL3/PLe
den Anforderungen der EN 746-2 nicht betrachtet werden. auszulesen? Wie lässt sich nachweisen, dass mehrere
Das kommt einem Fehlerausschluss gleich – und die Produk- Feuerungsautomaten mit SIL3/PLe zuverlässig koordi-
te fließen nicht in die Berechnung der Ausfallwahrschein- niert werden, wenn diese keine ausreichenden Rück-
lichkeit der gesamten Sicherheitsfunktion mit ein (Bild 2). meldungen geben?
■ Wie verhält es sich bei einer via Zentralsteuerung aus-
Das ist normenkonform und zulässig – geführten Gasdichtheitskontrolle, wenn die dafür not-
aber sind Thermoprozessanlagen dann in wendigen Ventile von einem lokalen Feuerungsauto-
jedem Fall durchgängig sicher? maten gesteuert werden? Muss der Feuerungsautomat
Die Ausklammerung bestimmter Teilsysteme aus der in diesem Fall SIL3/PLe entsprechend abgeschaltet und
Sicherheitsbetrachtung hat zur Folge, dass dafür keine erst nach erfolgreicher Dichtheitskontrolle wieder ein-
Parameter wie Mehrkanaligkeit oder Diagnosefähigkeit geschaltet werden?
berücksichtigt werden. ■ Wie initiiert man eine SIL3/PLe-Störabschaltung einer
Und gerade hier liegt das Risikopotenzial der Anforde- Ofensteuerung (mit mehreren Einzelbrennern), wenn die
rungen der EN 746-2: Klammert man Teilsysteme der Sicher- überlagerte Steuerung die Temperatur zentral erfasst,
heitskette aus der Gesamtbetrachtung aus, vernachlässigt die Kontrolle der Sicherheitsabsperrventile jedes einzel-
man Schnittstellen mit all den daraus folgenden Konse- nen Brenners aber einem Feuerungsautomaten obliegt?
quenzen. Unabhängig von der Frage, welche normativen ■ Oder generell: Gilt die Zertifizierung eines Flammen-
Anforderungen höher einzustufen sind, ist also viel relevan- wächters nach einschlägigen Produktnormen noch,
ter, wie die Sicherheit durchgängig bewertet werden kann. wenn Teile der sicherheitsgerichteten Funktionalität des
■ Was ist beispielsweise zu tun, wenn ein EN 298-kon- Feuerungsautomaten in eine Zentralsteuerung verlagert
former Feuerungsautomat zwar für sich genommen werden und der Automat nur als deren „verlängerter
als sicher zertifiziert ist, die Signalerfassung aufgrund Arm“ fungiert? Wie kann dies im konkreten Fall auch
der Anforderung der EN 746-2 an das Steuerungssys- nachgewiesen werden? Gilt überhaupt die Zertifizie-
tem aber „ausreichend robust“ entsprechend SIL3/PLe rung des Feuerungsautomaten selbst noch?
www.prozesswaerme.net 3FACHBERICHT | Brennertechnologie
Wenn auch nur eine dieser Fragen nicht eindeutig posi- weisführung aufgrund der homogenen Normenanforde-
tiv beantwortet werden kann, ist wohl ein Teilaspekt des rungen um vieles einfacher. Insbesondere dann, wenn
Sicherheitskonzeptes fragwürdig und durchgängige Sicher- sämtliche Sicherheitsfunktionen
heit möglicherweise nicht gewährleistet. 1. standardisiert sind,
Darüber hinaus ergeben sich weitere spezifische und 2. in dem SPS Softwareprogramm abgebildet und
allgemeine Fragen zur technischen, wirtschaftlichen und/ 3. flexibel steuerungsintern umgesetzt werden können.
oder normenkonformen Machbarkeit bestimmter Dinge.
Wie dies im Detail funktioniert, wird in Teil 2 des Beitrags
Durchgängige Sicherheit ist möglich präsentiert.
Sicher bedeutet also NICHT wirklich immer sicher.
Um die genannten Diskrepanzen und Unsicherheiten AUTOREN
ausschließen zu können, müssen alle relevanten System-
komponenten in die Sicherheitsbetrachtung einbezogen Ulf Weißhuhn
werden. Das setzt jedoch durchweg EN 61508-konforme Siemens AG
Komponenten mit standardisierten Schnittstellen (z. B. Digital Industries
Profisafe) voraus. Eine Alternative wäre die zusätzliche Nürnberg
Anbindung per Festverdrahtung, die aber an komplexe- ulf.weisshuhn@siemens.com
ren Anlagen sehr aufwändig ist, dazu sehr unflexibel und
somit nicht zukunftsgerichtet.
Einfacher, effizienter, komfortabler – ergo kostengünsti- Hermann Wübbels
ger – lässt sich durchgängige Sicherheit durch die Integra- Siemens AG
tion der brennerspezifischen Sicherheitsfunktionen in die Digital Industries
ohnehin vorhandene fehlersichere Maschinensteuerung Köln
realisieren (Bild 3). Zusätzlich ist der Aufwand für die Nach- hermann.wuebbels@siemens.com
4 PROZESSWÄRME 05 | 2020Sonderdruck 07/2020
ISSN 2567-3742
FACHBERICHT | Brennertechnologie
Integrierte Sicherheit für
Thermoprozessanlagen
von Ulf Weißhuhn, Hermann Wübbels
Wie in Teil 1 unserer zweiteiligen Artikelserie vorgestellt („Der Weg zu normenkonform und durchgängig sicher automa-
tisierten Thermoprozessanlagen“, PW 5/2020), kann es bei der Betrachtung der Sicherheit von Thermoprozessanlagen
und ihren Teilsystemen zu undefinierten Bereichen in der sicherheitstechnischen Bewertung kommen. Ein Weg zu
normenkonform und durchgängig sicher automatisierten Thermoprozessanlagen, der diese Herausforderung löst, ist
die Integration der brennerspezifischen Sicherheitsfunktionen in die fehlersichere Maschinensteuerung. Diese Lösung
erfüllt nicht nur die Anforderungen gemäß EN 746 und ISO 13577, sondern bietet für Anlagenbauer und -betreiber noch
weitere Vorteile.
Integrated safety for thermoprocessing equipment
As presented in part 1 of our two-part article series (“The path to standard compliant and consistently safe automated
thermoprocessing equipment“, PW 5/2020), the safety assessment of the complete system including the subsystems
could result in some undefined areas in regards to the safety evaluation. A way to standard compliant and consistently
safe automated thermoprocessing equipment, which solves this challenge, is the integration of burner-specific safety
functions into the fail-safe machine control system. This solution not only fulfils the requirements of EN 746 and ISO 13577,
but offers even more advantages for plant manufacturers and operators.
K
onventionell werden Schutzsysteme von Brenneran- Anlagenbetreibern zunehmend zu schaffen: Zum einen ist
lagen mit einer Reihe von Komponenten gesteuert zu erwarten, dass die Schwankungen in der Zusammen-
und überwacht, die alle eigenen Produktnormen setzung beim Energieträger Erdgas weiter zunehmen. Dies
entsprechen (Bild 1): So kann zum Beispiel ein Feuerungs- kann gerade für industrielle Brennersysteme im produzie-
automat den Anforderungen der EN 298 genügen und renden Gewerbe und in der Industrie problematisch sein,
ein Sicherheitsabsperrventil kann entsprechend der Norm da sich Schwankungen der Gasbeschaffenheit negativ auf
EN 161 ausgelegt sein. Das Gesamtsystem wiederum muss Schadstoffemissionen, Produktqualität, Energieeffizienz
die Anforderungen der für industrielle Thermoprozessan- und die Lebensdauer von Anlagen oder Komponenten
lagen relevanten Norm EN 746-2 erfüllen. Diese beschreibt auswirken können. Das allein erhöht bereits den Bedarf
einen solchen Aufbau als „Festverdrahtetes System“, bei nach besser regelbaren Brennersystemen. Zum anderen
dem alle Komponenten ohne zwischengeschaltete SPS fest kommen gesteigerte Anforderungen an die Prozessfüh-
miteinander verbunden sind. Die betriebliche Praxis zeigt rung hinzu, wenn z. B. die Anlagen mit unterschiedlichen
durchaus, dass solche Konfigurationen sicher sind. Aller- Temperaturen gefahren werden sollen und der generelle
dings betrachtet diese Variante nicht die Verwendung einer Bedarf der Anlagenbauer steigt, die Bediener- und War-
übergeordneten Steuerung und deren Verdrahtung zu dem tungsfreundlichkeit ihrer Anlagen zu verbessern.
Feuerungsautomaten bezüglich der Diagnose im Fehlerfall.
Ein weiterer Punkt ist, dass diese Variante nur wenig flexi- SPS-basierte, integrierte Sicherheitslösung
bel im Hinblick auf Änderungen oder die Umsetzung von gemäß EN 746 und EN 62061
neuen oder spezifischen Aufgaben ist. Gerade die man- Als Alternative zu den klassischen Sicherheitssystemen
gelnde Flexibilität macht sowohl Anlagenbauern als auch bietet es sich an, die Safety-/Sicherheitsfunktionen in die
1 PROZESSWÄRME 07 | 2020Brennertechnologie | FACHBERICHT
Bild 1: Sicherheitsbetrachtung bei konventionellen Schutzsystemen für Brenneranlagen (Quelle: Siemens AG)
fehlersichere Automatisierung/Steuerung der Anlage zu zweikanalig an fehlersichere Digitaleingänge (F-DI). Die
integrieren. In den allermeisten Fällen sind die Prozessan- fehlersichere Steuerung/SPS (F-CPU) wertet das Signal aus
lagen bereits mit einer entsprechenden übergeordneten und steuert über das fehlersichere digitale Ausgabemodul
Steuerung ausgerüstet, welche Aktoren und Sensoren, (F-DO) das Sicherheitsabsperrventil, welches im Falle eines
wie z. B. Ventile, Druckschalter, Lüfter, sowie die Sicher- Flammenabrisses die Brennstoffzuführung unterbricht.
heitseinrichtungen, wie z. B. einen Not-Halt-Schalter, Gemäß der Gliederung einer Sicherheitsfunktion nach
adressiert. Eine solche SPS-basierte Lösung ist auch nach EN 62061 in die drei Teilsysteme Erfassen, Auswerten und
EN 746-2 zulässig, insofern das System durchgängig SIL3 Reagieren stellt sich das System so dar: Die Erfassung des
erfüllt. Flammenzustandes geschieht durch die Kombination aus
Wie eine solche Lösung aussehen kann, zeigt Bild 2 Flammenwächter und F-DI, die Auswertung übernimmt die
anhand eines Schutzsystems bei einer Flammenüberwa- F-CPU, die Reaktion findet im Zusammenspiel von F-DO
chung. In dieser Konfiguration überwacht der Flammen- und Ventil statt. Um die Sicherheit nach der EN 62061 oder
wächter per Sonde die Flamme und meldet den Zustand der EN ISO 13849-1 bewerten zu können, muss dement-
Bild 2: Bewertung einer SPS-basierten Brennerlösung gemäß EN 746 (Quelle: Siemens AG)
www.prozesswaerme.net 2FACHBERICHT | Brennertechnologie
Bild 3: Bewertung einer Sicherheitsfunktion im TIA-Selection-Tool (Quelle: Siemens AG)
sprechend das gesamte System betrachtet werden. Dazu SPS-basierte Lösung die EN 62061 erfüllt und damit auch die
kann man nach Kapitel 5.7.2 Teil d) der EN 746-2 die Vor- Anforderungen aus EN 746.
gaben der EN 62061 bzw. der EN ISO 13849-1 heranziehen.
Siemens unterstützt die darin geforderte Bewertung der Industriegerechte Komponenten
Sicherheitsfunktionen des Gesamtsystems mit der Safety erleichtern den praktischen Einsatz
Evaluierungs-Funktion im TIA Selection Tool (TST) (www. Bleibt jedoch die Frage, inwieweit sich solche SPS-basierten
siemens.de/safety-evaluation) für die Normen IEC 62061 Lösungen in vorhandene Brennerkonzepte integrieren
und ISO 13849-1. Dieses Werkzeug liefert als Ergebnis einen lassen. Gerade bei Durchlauföfen muss eine Vielzahl von
normenkonformen Bericht, der als Sicherheitsnachweis in die Brennersteuerungen auf sehr beengtem Platz unterge-
Maschinendokumentation integriert werden kann (Bild 3). bracht werden, sodass die Komponenten der SPS-basierten
Dadurch können Anlagenbauer einfach nachweisen, dass die Lösung entsprechend kompakt sein müssen.
Bild 4: Sicherheitsgerechte Automatisierung einer Brennersteuerung auf SPS-Basis (Quelle: Siemens AG)
3 PROZESSWÄRME 07 | 2020Brennertechnologie | FACHBERICHT Durch die Auswahl geeigneter Komponenten lassen tierungsumgebung für das Siemens-Automatisierungssystem sich diese Herausforderungen jedoch meistern, wie Bild 4 erstellt werden, wodurch der Engineeringaufwand reduziert zeigt. Anstatt der üblichen Feuerungsautomaten, die und der Umstieg auf eine durchgängige SPS-basierte Sicher- jeweils nur einen Brennerkopf steuern und überwachen, heitslösung erleichtert wird. wird in diesem Beispiel eine dezentrale Simatic ET 200SP- Ein weiterer Vorteil für den Anlagenbauer ist, dass wei- Station zusammen mit entsprechend zertifizierten Flam- tere Funktionen zu einem späteren Zeitpunkt nachgerüs- menwächtern und Zündtransformatoren eingesetzt. Die tet werden können und kundenspezifische Funktionen dezentralen SIMATIC ET 200SP Stationen sind in vielen umgesetzt werden können. Auch bei der Regelqualität Varianten verfügbar und benötigen nicht mehr Platz als ein bringt die SPS-basierte Lösung deutliche Vorteile bei der konventioneller Feuerungsautomat, bieten dabei jedoch Realisierung folgender Brennerfunktionen: mehr Funktionalität, da noch weitere Komponenten ein- ■ Realisierung eines elektronischen Verbundes selbst, fach in die Automatisierung eingebunden werden können. z. B. über ein fest definiertes Luft/Brennstoff-Verhältnis Beispiele sind Sensoren für die Druck- und Temperaturüber- ■ Temperaturregelung wachung. So können mehrere Feuerungszonen und Brenner ■ Sauerstoffregelung anhand des Restsauerstoffes in den über eine ET 200SP Station angesteuert werden, was den Abgasen. Hardwareaufwand reduziert. Weitere Vorteile bringt ein HMI-Bedienpanel. Der Anla- Insgesamt können dadurch die Brenner besser mit genfahrer kann die Anlage damit lokal überwachen. Auf- schwankenden Gasbeschaffenheiten umgehen, sodass grund der durchgängigen Sicherheitslösung ist eine kom- der Anlagenbetreiber nicht nur zusätzliche Emissionen plette, detaillierte Systemdiagnose angefangen von der und Qualitätseinbußen durch Prozessschwankungen ver- Verdrahtung bis hin zu Programmabläufen möglich. Dies meidet, sondern auch die Energieeffizienz seiner Anlagen unterstützt eine effiziente Wartung und Fehlerbehebung. optimieren kann. Die Bedienerfreundlichkeit und die Flexibilität steigen nicht Eine SPS-basierte Sicherheitslösung bietet in vielen Fäl- nur durch grafische Oberflächen, sondern auch durch die len Vorteile, da sie oft ohnehin vorhandene Systeme nutzt, Möglichkeit Prozessparameter komfortabel und fehlersicher wie z. B. eine übergeordnete Steuerung. Durch den Einsatz (bis SIL 3) an die fehlersichere SIMATIC-Steuerung über das einer geeigneten Systemkonfiguration können all diese HMI zu übermitteln, um zum Beispiel eine gewünschte Vorteile genutzt und die lückenlose Anlagensicherheit Prozessvariante einzustellen. gewährleistet werden – auch entsprechend der weltweit Das gesamte System wird durch eine fehlersichere Steu- gültigen Norm ISO 13577. erung gesteuert. Flexibel durch Software AUTOREN Um die von der EN 746-2 geforderten Sicherheitsfunktionen in diesem System zu implementieren, stellt Siemens dem Ulf Weißhuhn Anwender eine Bausteinbibliothek für die Projektierung im Siemens AG Engineering Tool (STEP 7 Professional TIA Portal) zur Verfü- Digital Industries gung. Diese kostenlose Bausteinbibliothek für Brenner enthält Nürnberg mehrere Bausteine für Funktionen wie Steuerung und Über- ulf.weisshuhn@siemens.com wachung eines Gas- oder Ölbrenners, die Durchführung von Gasdichtetests und weitere Brenner-Funktionen (support. Hermann Wübbels industry.siemens.com, Beitrags-ID 109477036). Die einzel- Siemens AG nen Funktionen sind modular aufgebaut und können nach Digital Industries Bedarf verschaltet werden. Auf diese Weise können die Sicher- Köln heitsfunktionen für Brenner einfach in der gewohnten Projek- hermann.wuebbels@siemens.com www.prozesswaerme.net 4
Sie können auch lesen
