Sicherheitsvorrichtungen
für elektrische Betriebsmittel beim Einsatz in explosionsgefährdeten Bereichen
von Dr. Gerold Klotz-Engmann
Die ATEX Richtlinie 94/9/EG [1] spezifiziert in Artikel 1.2: Sicherheits-, Kontroll- und Regelvorrichtungen, die für die Explosionssicherheit von explosionsgeschützten Geräten eingesetzt werden. Beispiele sind Temperatursicherungen, Überlastschutz für Ex e-Motoren und Kontroll- oder Regelgeräte für die Überdruckkapselung. Die technischen Anforderungen für die Zuverlässigkeit solcher Sicherheitsvorrichtungen werden im Anhang II der Richtlinie definiert. Auch der ATEX Leitfaden [2] gibt unter Artikel 3.10 Hinweise zur Zuverlässigkeit und dem Einsatz von Sicherheitsvorrichtungen. Die grundlegenden Anforderungen an die Konstruktion, den Aufbau und den Einsatz von elektrischen Betriebsmitteln in explosionsgefährdeten Bereichen sind in den Explosionsschutznormen der Reihe EN 60079 [3] beschrieben. Mit fortschreitender Technologie werden immer komplexere Schutzkomponenten entwickelt, deren Bewertung der Zuverlässigkeit mit konventionellen Methoden schnell an Grenzen stößt. Insbesondere bei programmierbaren Sicherheitsvorrichtungen sind Aufbau und Funktion außerhalb obiger Normen nicht festgelegt und daher die Bewertung der Zuverlässigkeit mit den konventionellen Explosionsschutznormen oft nicht angemessen möglich. Daher hatte das Technische Komitee 31 von CENELEC Ende der 90er Jahre ein entsprechendes Normungsprojekt gestartet und die Working Group 9 (WG09) damit beauftragt. Gleichzeitig wurde von der EU-Kommission unter dem SMT-Programm ein Forschungsprojekt ›SAFEC‹ [4] gestartet, mit dem Ziel, die Zuverlässigkeitsanforderungen an Sicherheitsvorrichtungen zu untersuchen. In der WG09 wurden die Ergebnisse des SAFEC Projektes zugrunde gelegt und die Safety Integrity Level (SIL) der EN 61508 [5]/61511 [6] herangezogen, um die Zuverlässigkeit von Sicherheitsvorrichtungen für explosionsgeschützte Geräte in der EN 50495 [7] zu spezifizieren. Dabei wurde einerseits die von der ATEX-Richtlinie 94/9/EG geforderte Fehlertoleranz, andererseits die Wahrscheinlichkeitsbetrachtung, die der Zoneneinteilung zugrunde liegt, berücksichtigt. Die erste Ausgabe dieser Norm wurde dann 2006 von den nationalen Komitees der Mitgliedsstaaten zwar angenommen, aber mit über 200 Kommentaren versehen. Daher hatte die WG09 entschieden, die erste Ausgabe nicht zu veröffentlichen, sondern dieses Papier mit den Kommentaren zu überarbeiten und als 2. Ausgabe erneut in die Umfrage zu geben. Diese Ausgabe wurde Anfang 2009 ebenfalls von den Mitgliedsstaaten angenommen und ist Ende 2009 veröffentlicht worden. Dieser Artikel erläutert das Konzept der EN 50495 [7] zur Überwachung potenzieller Zündquellen von elektrischen explosions-geschützten Betriebsmitteln und die Anforderungen an das Sicherheitsniveau entsprechender Sicherheitsvorrichtungen.
| |
Bild 1: Einsatz einer Temperatursicherung und eines Motorschutzschalters zur Überwachung von potenziellen Zündquellen eines Ex ›e‹-Motors (Quelle: PTB) |
Anwendungsbereich
Die EN 50495 [7] ergänzt die Anforderungen für Sicherheitseinrichtungen der Normen der Reihe EN 60079 [3]. Komplexe Sicherheitseinrichtungen, deren Schutzfunktion über Software gesteuert wird, werden durch Maßnahmen der EN 61508 [5] erweitert und bewertet. Über die sog. Safety Integrity Levels (SIL) definiert die EN 50495 das erforderliche Sicherheitsniveau zur Überwachung potenzieller Zündquellen. Aber auch für nichtkomplexe Sicherheitseinrichtungen bietet die Norm ein vereinfachtes Bewertungsverfahren der Hardwarezuverlässigkeit an. Sicherheitsvorrichtungen können auf zwei Arten eingesetzt werden:
- Entweder werden sie als Komponente in das zu überwachende Betriebsmittel integriert und die Einheit wird als Betriebsmittel im Sinne der ATEX-Richtlinie 94/9/EG gekennzeichnet. Ein Beispiel sind Thermosicherungen, die bei Überhitzung das Betriebsmittel abschalten, von außen als Sicherheitseinrichtung nicht erkennbar sind und deshalb nicht explizit gekennzeichnet werden,
- oder sie werden außerhalb des Betriebsmittels im explosionsgefährdeten oder sicheren Bereich installiert und überwachen z.B. über einen ins Betriebsmittel integrierten Sensor die potenzielle Zündquelle im Betriebsmittel. Die Sicherheitseinrichtung wird als ›Zugehöriges Betriebsmittel‹ für das zu überwachende explosionsgeschützte Gerät zugelassen und gekennzeichnet. Typisches Beispiel ist ein externer Überlastschutz für einen Ex e-Motor (Bild 1). Auch ein Füllstandsensor kann als Trockenlaufschutz für Tauchpumpen im explosionsgefährdeten Bereich zugelassen werden, sofern damit das Entstehen einer potenziellen Zündquelle verhindert wird (Bild 2).
Nicht anzuwenden ist die EN 50495 auf einfache Sicherheitseinrichtungen, die in den heutigen Normen für den Explosionsschutz ausreichend beschrieben sind. Dies sind zum Beispiel elektromechanische Thermosicherungen, ein elektromechanischer Überlastschutz oder zugehörige eigensichere Spannungsversorgungen. Ausgenommen von der Norm sind auch Gassensoren, deren Zuverlässigkeit über weitere EN-Normen ausreichend bewertet werden kann. Ebenfalls nicht in den Anwendungsbereich der EN 50495 fallen Sicherheitseinrichtungen für nichtelektrische Betriebsmittel, die in der EN 13463-6 [8] in der Zündschutzart Ex b erfasst sind.
Definition des erforderlichen Sicherheitsniveaus
Fehlerbetrachtung
Im explosionsgefährdeten Bereich werden Betriebsmittel je nach Schutzniveau in Kategorien eingeteilt: In Bereichen, die durch brennbare Gase oder Stäube explosionsgefährdet sind, entsprechen Kategorie 1-Geräte einem sehr hohen Schutzniveau, die auch beim Auftreten von zwei internen unabhängigen Fehlern noch keine Zündquelle erzeugen. Geräte mit einem hohen Schutzniveau und einer Fehlertoleranz von 1 entsprechen der Kategorie 2. Geräte, die betriebsmäßig keine Zündquellen erzeugen, entsprechen der Kategorie 3. Soll nun ein Betriebsmittel, das keine Fehlertoleranz aufweist, als Kategorie 2-Betriebsmittel zugelassen werden, so müssen durch zusätzliche Maßnahmen Zündquellen auch im Fehlerfall verhindert werden. Dies kann über eine Sicherheitsvorrichtung erfolgen, die potenzielle Zündquellen überwacht und beim Auftreten eines Fehlers das Betriebsmittel rechtzeitig abschaltet (Bild 3). Ein Beispiel ist der Überlastschutz für einen Ex-Motor. Im Fehlerfall kann durch Überlast die Motortemperatur unzulässig ansteigen. Bevor jedoch eine Zündquelle entsteht, wird durch den Überlastschutz die Spannungsversorgung unterbrochen. Eine Zündgefahr durch Überlast könnte also erst dann entstehen, wenn die Sicherheitseinrichtung versagt. Dadurch steigt die Fehlertoleranz des Systems auf 1 und erfüllt damit die Fehlertoleranz für Kategorie 2. Damit der mit dem Überlastschutz ausgestattete Motor als Kategorie 2-Gerät zugelassen werden kann, müssen natürlich auch alle anderen Anforderungen der EN 60079 für Kategorie 2 erfüllt werden. Ist die Sicherheitseinrichtung redundant ausgelegt, d.h. hat die Sicherheitseinrichtung selbst eine Fehlertoleranz von 1, dann würde das Betriebsmittel im Fehlerfall auch bei einem Fehler in der Sicherheitseinrichtung noch abgeschaltet. Die Fehlertoleranz beträgt dann insgesamt 2 und entspräche der Kategorie 1.
|
Bild 2: Füllstandsensor als Trockenlaufschutz für eine Tauchpumpe im Ex-Bereich |
Wahrscheinlichkeitsbetrachtung für explosionsgefährdete Bereiche
Explosionsgefährdete Bereiche werden je nach Häufigkeit und Dauer des Auftretens von explosionsfähiger Atmosphäre in Zonen eingeteilt. In Zone 0 kann explosionsfähige Atmosphäre und häufig dann langzeitig auftreten, d.h. bis zu 8.700h/Jahr. Für Zone 1 gibt eine Studie der British Petroleum Industrie [9] maximal 1.000 Stunden pro Jahr an, also nur knapp 1/10 der für die Zone 0 angenommenen Zeitdauer. Für Zone 2 wird nur noch von 10h/Jahr gesprochen. Damit das Risiko einer Explosion mit zunehmender Häufigkeit der Anwesenheit von explosionsfähiger Atmosphäre nicht ansteigt, muss die Wahrscheinlichkeit für das Auftreten von Zündquellen entsprechend reduziert werden. Setzt man z.B. ein Betriebsmittel in Zone 0 ein, das aufgrund seiner Zündwahrscheinlichkeit nur für Zone 1 geeignet wäre, müsste diese um 1/10 reduziert werden. Dies kann durch eine SIL 1 Sicherheitseinrichtung erreicht werden, deren Versagenswahrscheinlichkeit genau 1/10 pro Anforderung entspricht. Eine SIL 2 Sicherheitseinrichtung reduziert das Risiko sogar um den Faktor 1/100. Berücksichtigt man nun beide Betrachtungsweisen, ergeben sich für das erforderliche Sicherheitsniveau und die Fehlertoleranz von Sicherheitsvorrichtungen zur Überwachung potenzieller Zündquellen die in Tabelle 1 zusammengefassten Werte.
Anforderungen an Sicherheitseinrichtungen
Sicherheitseinrichtungen müssen im Hinblick auf das zu überwachende explosionsgeschützte Gerät, dessen Zündschutzart und potenzieller Zündquellen deren konzipiert werden. Dabei muss die gesamte Sicherheitskette einschließlich aller notwendigen Komponenten berücksichtigt werden. Außerdem müssen Zeitverhalten, Schaltschwellen, Umgebungsbedingungen und eventuelle Sicherheitsfaktoren beachtet werden und bei Spannungsausfall muss das System in den sicheren Zustand gehen. Ein Beispiel für Betriebsmittel in der Zündschutzart ›Überdruckkapselung‹:
|
Tabelle 1: Sicherheitsniveau und Fehlertoleranz von Sicherheitseinrichtungen |
Die Sicherheitseinrichtung besteht hier aus einer Steuerung zur Spülung des Betriebsmittels mit Frischluft oder einem Schutzgas und zur Drucküberwachung mit entsprechender Sensorik. Sie darf einerseits das Einschalten des Betriebsmittels erst nach ausreichender Spülung ermöglichen, andererseits muss das Betriebsmittel bei Abfall des Überdruckes rechtzeitig abgeschaltet werden, so dass vor dem möglichen Eindringen von explosionsfähiger Atmosphäre keine heißen und damit evtl. zündfähigen Oberflächen mehr vorhanden sind. Das Sicherheitsniveau einfacher Sicherheitseinrichtungen, die keine Softwaresteuerung enthalten, kann über eine vereinfachte Hardware-Fehlermode-Analyse bewertet werden. Bei komplexen Sicherheitseinrichtungen kann das erforderliche Sicherheitsniveau (SIL) auf zwei Wegen erreicht werden:
- Die Sicherheitsvorrichtung wird nach IEC 61508 oder vergleichbaren Normen entwickelt (z.B. EN 62061, EN 13849). Zur Vermeidung systematischer Fehler wird der gesamte Entwicklungsprozess einem Sicherheitsmanagement unterzogen und ausführlich dokumentiert. In der Konzeptphase wird die Sicherheitsfunktion detailliert beschrieben und sämtliche Anforderungen werden systematisch erfasst. Die Software wird nach den Regeln der IEC 61508 entwickelt. Statistische Hardwareausfälle werden z.B. einer Fehlermode-Analyse unterzogen und erforderliche Maßnahmen zur Fehlererkennung definiert. Die erforderlichen Sicherheitskennzahlen werden ermittelt und die wiederkehrende Prüfung und das Prüfintervall festgelegt.
- Bei Seriengeräten, deren Entwicklungsprozess bereits abgeschlossen ist, kann das Sicherheitsniveau einerseits durch Ausschluss systematischer Fehler über die Auswertung von Fehlerstatistiken bei entsprechenden Stückzahlen und der Betriebsdauer nachgewiesen werden. Die statistischen Fehler können entweder durch eine Fehlermode-Analyse oder ebenfalls über die Fehlerstatistik abgeschätzt und daraus die sicherheitstechnischen Kennzahlen ermittelt werden. Wiederkehrende Prüfung und Prüfintervall werden entsprechend festgelegt. Sämtliche Analysen sind ausführlich zu dokumentieren.
Separate Sicherheitseinrichtungen sind als ›Zugehörige Betriebsmittel‹ zu kennzeichnen und mit einer entsprechenden Betriebsanleitung auszuliefern.
Informative Anhänge von IEC 61508
Im Anhang A der Norm wird ein vereinfachtes Bewertungsverfahren für einfache Sicherheitseinrichtungen vorgestellt, deren Schutzfunktion nicht auf Software basiert. Im Anhang B wird die grundlegende Vorgehensweise bei einer Analyse der Hardware-Sicherheitsintegrität anhand einer Fehlermode-Effektanalyse aufgezeigt. Im Anhang C wird ein konkretes Beispiel einer Hardware-Fehlermode-Analyse ausführlich durchgerechnet und die sicherheitstechnischen Kennwerte bis zum Sicherheitsniveau SIL ermittelt. Im Anhang D werden Beispiele für Sicherheitseinrichtungen gezeigt, so eine überwachte Heizeinrichtung, die Temperaturüberwachung eines Ex d-Motors, der Überlastschutz für einen Ex e- Motor, ein Füllstandsensor als Trockenlaufschutz einer Tauchpumpe und eine temperaturkontrollierte Rohrbegleitheizung. Im Anhang E wird das zugrunde liegende Sicherheitskonzept beim Einsatz von Sicherheitseinrichtungen im explosionsgefährdeten Bereich erläutert.
|
Bild 3: Erhöhung der Fehlertoleranz eines Betriebsmittels durch Überwachung mit einer Sicherheitseinrichtung |
Literaturhinweise | |
[1] | Richtlinie 94/9/EG des Europäischen Parlamentes und des Rates vom 23. März 1994 zur Angleichung der Rechtsvorschriften der Mitgliedsstaaten für Geräte und Schutzsysteme zur Verwendung in explosionsgefährdeten Bereichen |
[2] | Guidelines on the Application of Directive 94/9/EC, European Commission, Enterprise and Industry, 3rd edition, June 2009 |
[3] | EN 60079 Teil 0-32: Explosionsfähige Atmosphäre, CENELEC |
[4] | Final Report – V1.1 (10.07.2000) SAFEC project, the Standardization, Measurement and Testing (SMT) Programme of the EU-commission, contract SMT4-CT98-2255 |
[5] | IEC 61508, Part 1–7: Functional safety of electrical/electronic/programmable electronic safety-related systems |
[6] | IEC 61511, Part 1–3: Safety instrumented systems for the process industry sector |
[7] | EN 50495: Safety Devices required for the safe functioning of equipment with respect of explosion risks, CENELEC, 2009 |
[8] | DIN EN 13463-6-2005: Nicht-elektrische Geräte für den Einsatz in explosionsgefährdeten Bereichen – Teil 6: Schutz durch Zündquellenüberwachung |
[9] | Area Classification Code for Petroleum Installations (Part 15 of the Institute of Petroleum Model Code of Safety Practice in the Petroleum Industry), Institute of Petroleum, John Wiley, 1990 |