TRAC Programm zur Berechnung und Dokumentation von PLT-Schutzeinsichtungen gemäß IEC 61508/61511

1. TRACProgramm zur Berechnung und Dokumentation von PLT-Schutzeinsichtungen gemäß IEC 61508/61511 Produkt Demo

2. Hauptmerkmale • Verwaltung von über 50.000 PLT-Schutzeinrichtungen incl. vollständiger Dokumentation • Client/Server Installation für Anlagenweites Safety -Management • Risikobetrachtung und Auslegung der Schutzeinrichtungen nach IEC 61508/61511 oder der NAMUR Empfehlung NE93, incl. Plausibilitätskontrolle aller Funktionen und Richtlinien • Wirtschaftlichkeitsbetrachtungen aus Testzyklen, Hardware Redundanz sowie notwendiger Rückstellungen • Die Auslegung der Sicherheitskreise mit der Software TRAC erfolgt in Absprache mit der Infraserv Wiesbaden und berücksichtigt die Neuerungen der VDI 2180

3. Einleitung Die folgende Präsentation zeigt die wesentlichen Merkmale des SIL-Auslegungsprogramms TRAC • Organisation der Anlagenstruktur • Organisation: Welche Sicherheitskreise gibt es? • Organisation: Welchen Anlagenteilen werden die Sicherheitskreise zugeordnet? • Auslegung der einzelnen Sicherheitskreise in vier Schritten: • Basis Information: Was schützt dieser Sicherheitskreis? • SIL-Assessment (Risikoanalyse): Was passiert im Schadensfall? • Konfiguration: Auslegung des Sicherheitskreises • Achieved SIL: Berechnung der Testzyklen sowie Ausfallrate des gesamten Sicherheitskreises • Hinweis: Die Dialogsprache der gezeigten Screenshots ist in Englisch.

4. Organisation der Anlagenstruktur • Mittels dieser Funktion können Sie die individuelle Struktur Ihrer Anlage sowie Anlagenteile bestimmen. Die einzelnen Werke sowie Anlagenteile werden eingegeben. • Bei der späteren Eingabe der Sicherheitsfunktionen werden diese dann den entsprechenden Anlagenteilen zugeordnet. • Die Auslegung der einzelnen Schutzeinrichtungen erfolgt in vier Schritten, die nachfolgend erläutert werden.

5. Schritt 1: Basis Information • Hier wird die Funktion des Sicherheitskreises detailliert beschrieben, d.h, welche Aufgabe er übernimmt . Es erfolgen an dieser Stelle noch keine Angaben ob z.B. einzelne Geräte redundant ausgelegt werden. • Es kann mit ‘Browse‘ auf entspreche, format-unabhängige und schon vorhandene Dokumentation verlinkt werden. • Unter ‘Comments‘ können weitere Eingaben vorgenommen und auf entsprechende Doku-mentation verlinkt werden.

6. Schritt 2: Risikoanalyse mittels Risikographen • Mit dem SIL Assessment wird die Risikoanalyse des Sicherheitskreises durchgeführt. • Die Risikoanalyse kann entweder mittels Risikographen oder der LOPA-Analyse ausgeführt werden. • Mit der Taste ‚Risk Graph‘ gelangen Sie zur Eingabe der Risikoanalyse gemäß IEC 61508. Es erscheinen die Risikografen für Mensch, Umwelt sowie Produktionsausfall, die jeweils separat betrachtet werden können. Hierbei ist die Risikoanalyse des Produktionsausfalls von der IEC 61508 selbstverständlich nicht gefordert und auf freiwilliger Basis!

7. Schritt 2: Risikoanalyse mittels Risikographen • Hier wird der Risikograph gemäß der Vorgaben der IEC 61508 entsprechend ausgefüllt. Wichtig ist hierbei, dass jede Entscheidung einzeln ausführlich begründet wird! • Es gibt hierbei auf Wunsch für die Bereiche Gefahr für Mensch, Umwelt sowie Produktionsausfall einen eigenen Risikographen! • Das Ergebnis der Risikoanalyse ist die SIL-Einstufung, nach der der Sicherheitskreis ausgelegt werden muss. • In diesem Beispiel wurde der in der aktuellen Fassung der VDI 2180 spezifizierten Risikograph konfiguriert.

8. Schritt 2: Risikoanalyse mittels Risikographen • Die Risikoanalyse erfordert in jedem Fall die Bestätigung eines Teams, dass bestimmt wird und in jedem Fall einen verantwortlichen Leiter enthalten muss. Ansonsten kann die Risikoanalyse nicht abgeschlossen und die Konfiguration des Sicherheitskreises ausgeführt werden. • Die Unterschriften der verantwortlichen Personen werden eingescannt und als PDF-Dokument im Schritt 2 verlinkt. • Da bei vielen Sicherheits-kreisen immer wieder die gleichen Teams entscheiden, können entspreche Teams gespeichert werden.

9. Schritt 3: Konfiguration des Sicherheitskreises • Mit diesem Teil des Programms wird nach erfolgter Risikoanalyse der Sicherheitskreis mittels Bibliotheksfunktionen (s. nächste Seite) konfiguriert. • Wichtig ist, dass ein Sicherheitskreis immer aus der Sensorik (Input), dem Leitsystem (Logic Solver) sowie der Aktorik (Output) besteht. • Die Sensorik sowie die Aktorik besteht wiederum aus verschiedenen Komponenten (z.B Messumformer, Trennversärker, etc.) • Die einzelnen Messstellen können weiterhin separat redundant ausgelegt werden. • TRAC berechnet anschließend die Ausfallraten des gesamten Messkreises in Abhängigkeit der Testzyklen des Sicherheitskreises.

10. Schritt 3: Konfiguration des Sicherheitskreises • Damit ein Sicherheitskreis nicht jedesmal aus einzelnen Geräten zusammengestellt werden muss, werden im Programm ‘TRAC‘ je für die Sensorik und Aktorik Bibliotheksfunktionen verwendet, die oft auch als Typicals bezeichnet werden • Diesen Bibliotheksfunktionen werden alle enthaltenen Geräte zugeordnet. Eine Sensorik besteht i.d.R. aus dem Messumformer, einem Speisetrenner sowie der Eingangskarte der SSPS. • Die Ausfallraten der Funktionen werden automatisch berechnet. • Es lässt sich jederzeit nachvollziehen, in welchen Sicherheitskreisen die entsprechende Bibliotheksfunktion verwendet wurde.

11. Schritt 3: Konfiguration des Sicherheitskreises • Häufig kommt es vor, dass die Geräte Umgebungsbedingungen ausgesetzt sind, die lt. Hersteller nicht zulässig sind.In diesem Fall sind die vom Hersteller errechneten Ausfallraten nicht gültig. • Mit den ‘Duty-Factors‘ kann obigem Rechnung getragen werden: Die Ausfallraten in der entsprechenden Sicherheitsfunktion werden mit einem Sicherheitsfaktor beaufschlagt. • Wenn die Sicherheitsfunktion durch zusätzliche Diagnose verbessert wird, kann dies im Programm auch berücksichtigt werden.

12. Schritt 3: Konfiguration des Sicherheitskreises • Basis für jeden Sicherheitskreis sind die verwendeten Geräte und deren Ausfallraten • Jedes Gerät wird herstellerunabhängig in das Programm TRAC eingegeben, die Ausfallraten sowie die Herkunft des Nachweises, z.B. die Herstellerbescheinigung oder das entsprechende Zertifikat • Über die Funktion ‚Browse‘ wird das entsprechende Dokument fest in dem Programm verlinkt

13. Schritt 4: Berechnung der Testzyklen • Die Gesamt-Ausfallrate (PFD AV) des Sicherheitskreises richtet sich nach dem Testintervall, d.h. in welchen Abständen (z.B. 1 Jahr) der Sicherheitskreis auf seine Funktion hin überprüft wird. • Um ein optimales Ergebnis zu erzielen, dass sowohl die Gasamt-Ausfallrate, die Kosten der nötigen Tests sowie ggf. nötige Rückstellungen für den Schadensfall berücksichtigt, werden alle möglichen Ausfallraten tabellarisch angezeigt. (s. nächste Seite) • Es wird weiterhin stets angezeigt, welche SIL-Einstufung aufgrund der Risikoanalyse erreicht werden muss und welche SIL Einstufung mit dem gewählten Testintervall erreicht wird.   • TRAC prüft nicht nur die SIL-Einstufung über die errechnete Ausfallrate, sondern berücksichtigt auch alle in der IEC61508 definierten Randbedingungen und deren Einhaltung. • Wenn Sie das gewünschte Ergebnis mit der vorher definierten Konfiguration des Sicherheitskreises nicht überzeugt oder eine SIL-Einstufung nicht möglich ist, gehen Sie einfach zurück zur Konfiguration, nehmen entsprechende Änderungen vor und prüfen das Ergebnis erneut. • Nach Abschluss der Berechnungen wird das Ergebnis ‘Eingelogged‘ und ein entsprechender Bericht erstellt.

14. Schritt 4: Berechnung der Testzyklen • Gesamt-Ausfallraten des Sicherheitskreises in Abhängigkeit des Testintervalls: Alle grün hinterlegten Werte sind für die SIL-Anforderung ausreichend! • Wahl des Testintervalls für die Sensorik (Input) • Wahl des Testintervalls für die Aktorik (Output) • Angabe über geforderten und erreichten SIL-Level • Angabe über jährliche Gesamtkosten des Kreises

15. Schritt 4: Berechnung der Testzyklen • Wenn alle Randbedingungen gemäß der IEC 61508/61511erfüllt und die Testintervalle bestimmt sind, wird die Sicherheitsfunktion fest eingelogged. • Zeitpunkt, errechnete Werte sowie der Name des Bearbeiters werden gespeichert und sind jederzeit nachvollziehbar

16. Abschlussbericht • Nach Abschluss der Auslegung wird pro Sicherheitskreis per Knopfdruck ein Abschlussbericht erstellt. • Der Abschlussbericht enthält alle Daten des Sicherheitskreises: • Zuordnung • Basisdaten • Risikoanalyse • Alle Entscheidungen • Namen des Teams • Verwendete Geräte • Berechnungen • Auflistungen aller verlinkten Dokumente • Testintervalle • Unterschriften

17. Installation: Standalone • In der einfachsten Version wird TRAC auf einem einzelnen PC installiert. • Es sind mehrere Datenbanken definierbar, auf denen insgesamt mehr als 50.000 Sicherheitskreise mit allen Funktionen verwaltet werden können. • Auf dem PC können verschiedene User definiert werden, denen unterschiedliche Rechte zugeordnet werden können. • Ein Zugriff auf die Daten über ein Netzwerk ist nicht möglich. • Zielgruppen sind Anlagenbauer, die als Dienstleistung Sicherheitskreise auslegen und ggf. realisieren bzw. Anlagenbetreiber mit wenigen Sicherheitskreisen.

18. Installation: Client-Server • In der Client-Server Installation gibt es einen Master-PC auf dem die Datenbanken mit den gesamten Gerätedaten, Bibliotheksfunktionen, Sicherheitskreisen, etc. gespeichert sind. • Die Client-Installationen können direkt über das Netzwerk auf die Daten zugreifen. • Die Zugriffrechte können vom Systemadministrator über die Vergabe von Usern direkt bestimmt werden. • Jeder User kann auf jedem PC mit seinen definierten Rechten arbeiten. • Zielgruppen sind Anlagenbetreiber mit vielen Sicherheitskreisen, auf die mehrere Personen lesenden oder schreibenden Zugriff erhalten sollen. Netzwerk

19. TRAC Hilfe • TRAC verfügt über eine Kontext Sensitive Hilfe, d.h., egal in welchem Fenster Sie sind, über ‘Help’ erhalten Sie immer die entsprechenden Hilfe-Texte. • Mittels ‘F1’ erhalten Sie ebenfalls die der angewählten Funktionen entsprechenden Hilfe-Texte.