Eine Sicherheitsfunktion setzt sich grundsätzlich aus drei Elementen zusammen: Sensoren zur Erfassung der relevanten Prozessgrößen, einer Logikeinheit zur Verarbeitung und Bewertung der Signale sowie Aktoren (z. B. Armaturen), die bei Bedarf eine sicherheitsgerichtete Maßnahme ausführen und den Prozess in einen sicheren Zustand überführen bzw. diesen aufrechterhalten.
Zur Aufrechterhaltung der geforderten Funktionsfähigkeit und Integrität fordert die Norm eine regelmäßige und systematische Überprüfung der sicherheitsrelevanten Komponenten und Funktionen während der Betriebsphase. Mithilfe dieser Prüfungen sollen mögliche Fehler rechtzeitig – also vor der Anforderung der Sicherheitsfunktion – erkannt und der geforderte Sicherheitsintegritätslevel (SIL) dauerhaft sichergestellt werden.
Ein zentrales Element dieser Überprüfung sind die Funktionsprüfungen und Inspektionen (Proof test). Dabei handelt es sich um eine wiederkehrende Prüfung der einzelnen Komponenten bzw. Sicherheitsfunktionen, mit der bisher unentdeckte oder verborgene Fehler aufgedeckt werden sollen.
Solche Fehler können beispielsweise durch
- Alterung von Bauteilen,
- mechanischen Verschleiß,
- Einflüssen aus der Einsatzumgebung (z.B. Ablagerungen) oder
- Änderungen in der Anlagenumgebung
entstehen.
Da diese Fehler im normalen Anlagenbetrieb zum Glück meist nicht sichtbar werden (Stichwort: niedrige Anforderungsrate), ist eine gezielte Prüfung in festgelegten Intervallen erforderlich.
Bereits während der Planung der Sicherheitsfunktionen werden die Prüfintervalle sowie der erforderliche Prüfumfang festgelegt. Dabei werden der geforderte Sicherheitsintegritätslevel (SIL) und die eingesetzten Geräte berücksichtigt. Je nach Sicherheitsanforderung bzw. Gerät können die Prüfungen beispielsweise jährlich, alle zwei Jahre oder in anderen festgelegten Intervallen stattfinden. Der erforderliche Prüfumfang richtet sich dabei nach dem erforderlichen Prüftiefe (Proof Test Coverage) sowie den Vorgaben der Gerätehersteller und kann von einfachen Sichtprüfungen bis zu komplexen Prüfverfahren reichen.
Ein Hinweis aus der Praxis: Als Prozessanlagenbetreiber sollten Sie das Intervall der Funktionsprüfungen und Inspektionen bereits beim Einkauf festlegen und Wiederholungsprüfungen schon in der Planung berücksichtigen, um eine effiziente Durchführung zu ermöglichen. Häufig lassen sich diese Intervalle aber auch im Nachhinein rechnerisch verlängern!
Typische Beispiele für Prüfungen sind:
- Funktionsprüfung eines Drucktransmitters: Der Sensor wird mit einem Prüfdruck beaufschlagt. Dabei wird kontrolliert, ob der richtige Messwert an das Sicherheitssystem übertragen wird und ob bei Überschreitung des Grenzwertes eine Abschaltung ausgelöst wird.
- Prüfung eines automatischen Absperrventils: Ein Absperrventil wird gezielt angesteuert. Dabei wird überprüft, ob das Ventil innerhalb der geforderten Zeit vollständig schließt oder öffnet.
- Visuelle Prüfung der Komponenten: Auch der Zustand der Komponenten sowie deren zugehörigen Bauteilen sind wiederkehren auf deren Zustand zu prüfen. Z.B. verfügt eine Druckmessung oftmals über Messleitungen, welche auf Dichtheit, Korrosion und Schäden zu überprüfen sind.
Neben der technischen Prüfung ist auch die Dokumentation ein wichtiger Bestandteil. Alle Tests, Ergebnisse und mögliche Abweichungen werden darin festgehalten. Werden während der Prüfung Fehler festgestellt, müssen diese behoben werden. Darüber hinaus sollte auch die Ursache des Fehlers analysiert werden, da es sich um einen Fehler handeln könnte, der mehrere Teile der Sicherheitsfunktion betrifft. Anschließend wird die Sicherheitsfunktion erneut geprüft.
In der Praxis orientieren sich viele Betreiber zusätzlich an den Empfehlungen der NAMUR, insbesondere am Arbeitsblatt NA 106 Flexible Prüfung von Feldgeräten in PLT-Sicherheitseinrichtungen. Diese Empfehlungen helfen dabei, Prüfungen einheitlich zu planen und nachvollziehbar zu dokumentieren.
In den Empfehlungen sind u.a. folgende Prüfungsspezifikationen und -inhalte genannt:
- Prüfmodul
Beschreibt die unterschiedlichen Prüfschritte für Sensoren und Aktoren. Je nach gewähltem Prüfmodul variiert die daraus resultierende Prüftiefe.
Z.B. beinhaltet die Kalibrierung vor Ort die Prüfschritte visuelle Inspektion, die Kalibrierung selbst und die Plausibilisierung des aktuellen Messwertes und erreicht eine Prüftiefe von etwa 90%.
- Prüfplan
Der Prüfplan beschreibt in welchem Intervall welches Prüfmodul für jeden einzelnen Sensor oder Aktor angewandt werden soll und sollte bereits in der Planung und SIL-Berechnung berücksichtigt bzw. erstellt werden.
Z.B.: Jährlich findet eine Signalprüfung des Drucktransmitters statt (PTC=50%), alle 3 Jahre wird eine Kalibrierung vor Ort durchgeführt (PTC=90%) und nach 15 Jahren wird der Transmitter ausgetauscht (PTC=100%).
- Prüfanweisung
Beschreibt die praktische Durchführung der Prüfung mit allen Arbeitsschritten sowie Hinweisen zu Vorbereitung, Sicherheit, Prüfmitteln, örtlichen Bedingungen und erforderlichen Freigaben.
In der EN 61511 werden keine konkreten Anforderungen an die Unabhängigkeit des Personals formuliert, d.h. es ist nicht zwingend notwendig eine notifizierte Stelle einzuschalten. Entscheidend ist vielmehr, dass die eingesetzten Personen über die notwendige Qualifikation, Erfahrung und Fachkompetenz verfügen, um ihre Aufgaben im Bereich der funktionalen Sicherheit ordnungsgemäß zu erfüllen.
Nach Änderungen an einer PLT-Sicherheitseinrichtung fordert die EN 61511 allerdings, dass diese erneut überprüft werden. Modifikationen sind vor ihrer Umsetzung sorgfältig zu planen, fachlich zu prüfen, zu genehmigen und vollständig zu dokumentieren. Zudem ist sicherzustellen, dass der geforderte Sicherheits-Integritätslevel (SIL) der Einrichtung auch nach der Änderung erhalten bleibt.
Zusammenfassend kann festgehalten werden, dass die regelmäßige Durchführung von Funktionsprüfungen und Inspektionen ein notwendiger und verpflichtender Bestandteil der Betriebsphase der Sicherheitsfunktionen gemäß EN 61511 ist. Sie dienen der Sicherstellung der Funktionsfähigkeit der implementierten Sicherheitsfunktionen und der Aufdeckung gefährlicher, unentdeckter Fehler. Durch die Einhaltung definierter Prüfintervalle, eine fachgerechte Durchführung und eine nachvollziehbare Dokumentation wird sichergestellt, dass die funktionale Sicherheit der Prozessanlage über die gesamte Betriebsdauer nachweisbar erhalten bleibt.