Hersteller, Betreiber, Zertifizierer und Überwacher arbeiten derzeit gemeinsam an einer europäischen Norm für die funktionale Sicherheit automatisierter Industriearmaturen. Dabei gilt es, die grundlegende Theorie der funktionalen Sicherheit und die Anforderungen der gelebten Praxis zu vereinbaren. Marco Knödler vom Industriedienstleister und Chemieparkbetreiber InfraServ Knapsack wirkt an dieser Norm mit. Er sagt: „Diese Norm wird ein Spagat, doch wir brauchen sie, wenn wir einen verbindlichen Konsens und damit reale Sicherheit für den Endanwender schaffen wollen.“
Herr Knödler, warum benötigen wir eine Norm für die funktionale Sicherheit automatisierter Industriearmaturen? Viele Hersteller bestätigen doch mit Zertifikaten die Qualität und Eignung ihrer Komponenten.
Tatsächlich bieten Hersteller Zertifikate für ihre Komponenten an, allerdings ist nicht verbindlich geregelt, nach welcher Methodik sie selbst oder Zertifizierungs-Organisationen dabei vorgehen müssen und welche Informationen und Vorgaben der Endanwender braucht, um auch in Betrieb und Instandhaltung die ausgewiesene Zuverlässigkeit erwarten zu können.
Die IEC 61508 ist aber doch für alle, die in der funktionalen Sicherheit unterwegs sind, die Mutter aller Normen. Reicht das nicht?
Die IEC 61508 als Grundnorm der funktionalen Sicherheit stellt grundsätzlich die Methodik der funktionalen Sicherheit dar, die dann typischerweise über weitere Normen für den Anwendungsfall konkretisiert wird, also bei uns in der Prozessindustrie zum Beispiel die IEC 61511. Für die eingesetzten Komponenten bedeutet das, dass die IEC61508 von elektronischen und elektronisch-programmierbaren (EE/PE) Systemen ausgeht und bei diesen Systemen zwischen für systematischen und zufälligen Fehlern unterscheidet. Erstere werden durch Arbeits- und Managementprozesse vermieden, während Letztere durch rechnerische Zuverlässigkeitsnachweise und abgeleitete Maßnahmen – wie Prüfstrategien und Redundanzen – beherrscht, aber nicht auf null reduziert werden können.
In der Prozessindustrie sind mechanische Komponenten aber integraler Bestandteil vieler automatisierter Sicherheitssysteme.
Deshalb ist es notwendig, ihren Einfluss auf die Zuverlässigkeit der sicherheitstechnischen Funktionen genauso zu beurteilen wie denjenigen von elektronischen Komponenten. Dazu gehört üblicherweise auch der rechnerische Nachweis der Zuverlässigkeit, der den gesamten Loop einschließlich Sensor, Verarbeitungslogik und Armatur einschließt. Und hier sehe ich die Lücke, die wir methodisch korrekt und gleichzeitig praxisnah umsetzbar schließen müssen.
Die von Ihnen für die IEC 61508 dargestellte Vorgehensweise scheint auf alles Mögliche anwendbar zu sein. Wo liegt das Problem bei automatisierten Industriearmaturen?
Die IEC 61508 nimmt Kenntnis davon, dass üblicherweise diverse Technologien wie Mechanik und Fluidtechnik (Pneumatik, Hydraulik) neben der Elektronik in Einrichtungen der funktionalen Sicherheit eine Rolle spielen. Es wird auch gesagt, dass die für EE/PE Systeme geschilderte Vorgehensweise als Grundlage für andere Technologien genutzt werden kann, aber es ist an uns, das aufzugreifen und eine genügend spezifische Richtung vorzugeben, die Verbindlichkeit schafft.
Wo sehen Sie dabei die Knackpunkte?
Grundlegend ist dabei schon die Frage, was zu tun ist, um systematische Fehler zu vermeiden, und welcher Anteil an zufälligen Fehlern bei Industriearmaturen mit großem mechanischem Anteil überhaupt bleibt. Die Unterscheidung systematischer und zufälliger Fehler stellt eine Herausforderung dar, Endanwender brauchen jedoch eine Verlässlichkeit im Vorgehen. Große Organisationen kompensieren dies häufig mit der gewissenhaften Arbeit eigener Fachstellen, aber viele Anwender haben dazu keine Möglichkeit. Auch für diese Kollegen arbeiten wir im Normungsgremium.
Was ist der Lösungsansatz, den die Norm hier verfolgt?
Aktuell ist teils nur schwer zu unterscheiden, auf welcher Grundlage und mit welchen Annahmen Industriearmaturen bezüglich ihrer Zuverlässigkeit und damit ihrer Eignung für den Einsatz im Kontext funktionaler Sicherheit beurteilt werden. Dies schließt auch die Zertifizierer mit ein. Dabei möchte ich niemandem einen bösen Willen unterstellen, es gibt einfach noch keinen Konsens. So gehen beispielsweise einige Kollegen davon aus, dass der Zufall bei mechanischen Komponenten keine Rolle spielt, sondern auftretende Fehler ausschließlich systematischer Natur sind. Dies würde bedeuten: Der angesprochene rechnerische Nachweis schließt diese Komponenten aus, da mit Ausschluss aller systematischen Fehler der Beitrag zufälliger Fehler gleich null ist. Die grundlegend eher konservative Herangehensweise an den Nachweis und die angesprochene Ungewissheit bezüglich der Unterscheidung zwischen den Fehlerarten lässt mich und die im Normungsgremium vertretenen Kollegen dafür sprechen, dass wir uns hiermit im Rahmen der Normung intensiv beschäftigen. Im Zweifel sollten wir meiner Ansicht nach einen Ansatz verfolgen, der die Vermeidung systematischer Fehler vorsieht und des Weiteren ein Mindestmaß an in der Praxis auftretenden Fehlern in die Rechnung einbezieht, auch um geeignete Prüfstrategien abzustimmen.
Was bringt die Norm, wenn der Spagat geschafft ist?
Mit Hilfe der erarbeiteten Methodik und den einheitlichen Informationen seitens der Hersteller versetzen wir Endanwender und Systemintegratoren mit der Norm in die Lage, die von ihnen genutzten mechanischen Komponenten in ein sicherheitsbezogenes System zu integrieren. Sie können dadurch den Safety Integrity Level für die Sicherheitsfunktion bestimmen und über den Anlagenlebenszyklus aufrechterhalten. Die Norm legt also die Regeln und Mindeststandards fest, nach denen alle Beteiligten sicher miteinander arbeiten können. Dazu gehört vor allem auch, dass Maßnahmen und Informationen sauber dokumentiert werden und dadurch Betreiber ihrer Betreiberverantwortung nachkommen können.
Wer ist beteiligt?
Unser Arbeitskreis besteht aus Fachexperten von Betreibern, Geräteherstellern und Dienstleistern, aber auch aus Überwachungs- und Zertifizierungsorganisationen. Wir sprechen also mit allen Beteiligten an einem Tisch. Die unterschiedlichen Herangehensweisen und Anforderungen sorgen natürlich für Diskussionen, ermöglichen uns aber auch, eine Lösung im Sinne der Sicherheit zu finden, die sich später auch praktisch und mit vertretbarem Aufwand umsetzen lässt.
Welche Aufgabe hat InfraServ Knapsack inne?
Wir bilden eine Schnittstelle zwischen den Parteien und sehen uns als Mediatoren. Denn aus meiner früheren Tätigkeit in der Armaturenindustrie weiß ich, wie die Unternehmen dort arbeiten. Gleichzeitig kann ich in meiner derzeitigen Funktion als Teamleiter der MSR-Technik von InfraServ Knapsack die Anforderungen von Betreibern und Dienstleistern bei der praktischen Umsetzung in der Anlage einbringen. Ich bin überzeugt, dass eine solche Position wichtig ist, wenn wir eine tragfähige Lösung für alle anstreben.
Wie sehen Sie die Chancen für die Umsetzung?
In diesem Jahr hat das Thema deutlich an Fahrt aufgenommen. Wir verfügen nun über einen formalen Rahmen für eine am Ende verbindliche Lösung. In einem nächsten Schritt wird sich der deutsche DIN-Arbeitskreis im Oktober in Köln wieder mit dem Thema beschäftigen. Parallel dazu wurde das Normungsprojekt Anfang Juni in London beim Meeting des CEN/TC 69/WG, also des Europäischen Komitees für Normung, vorgestellt. Alle anwesenden Länder haben ihre Unterstützung zugesagt. Derzeit prüfen die Beteiligten, ob sie auf Basis unserer Vorarbeiten einen europäischen Normungskreis bilden. Doch allein das Interesse zeigt, dass das Thema auch in anderen Ländern in Diskussion ist. Und diese Diskussion ist gut und wichtig.
www.infraserv-knapsack.de
Autor: Marco Knödler, InfraServ GmbH & Co. Knapsack KG
Bildquelle: ©InfraServ GmbH & Co. Knapsack KG, Fotolia
