Einsatzraum (Mission Time) und Nutzungsdauer

Mit zunehmendem Alter von SIS-Anlagen gewinnen zwei Konzepte an Bedeutung: Der Einsatzzeitraum (engl.: Mission Time, MT) und die Nutzungsdauer. Eine fehlerhafte Anwendung dieser Parameter kann zu nicht konformen SIL-Einstufungen und unvorhersehbaren Wartungskosten führen. Dieser Beitrag erläutert den Zusammenhang zwischen den beiden, veranschaulicht die Auswirkungen anhand eines praktischen Beispiels und gibt Hinweise zum Management der Lebenszyklen von SIF-Komponenten.

Definitionen von Einsatzzeitraum und Nutzungsdauer finden Sie auch in unseren FAQs.

1. Hintergrund: Einsatzzeitraum und Prüftiefe

Unser Beitrag „SIL-Degradation“ hat bereits die Bedeutung des Einsatzzeitraums bei der Verifikation von Sicherheitsfunktionen hervorgehoben (im Folgenden wird „Einsatzzeitraum“ gemäß der englischen Abkürzung MT genannt). MT ist weder in DIN EN IEC 61511 noch in DIN EN IEC 61508 ausdrücklich definiert, wird jedoch in den SIL-Berechnungen als geplanter Betriebsdauer einer SIF verwendet. In der VDI/VDE 2180-3 ist sie als Parameter T2 formal festgelegt — der Zeitraum, nach dem alle SIF-Komponenten einer Prüfung mit 100%iger Prüftiefe (CPT) unterzogen werden müssen. In der Praxis ist es nicht realistisch, alle gefährlichen Ausfälle bei der wiederkehrenden Prüfung zu erkennen, sodass CPT fast immer unter 100% liegt. Folglich führt eine längere MT zu einem höheren PFDavg und einem entsprechend niedrigeren SIL, gemäß der folgenden vereinfachten Formel:

PFDavg = CPT λD TI/2 + (1-CPT) λD MT/2

wobei PFDavg = mittlere Ausfallwahrscheinlichkeit bei Anforderung, CPT = Prüftiefe, λD = gefährliche Ausfallrate, TI = Prüfintervall und MT = Mission Time

Dieser Effekt ist im folgenden Diagramm anhand der typischen Sägezahnkurve der wiederkehrenden Prüfung dargestellt. Bei einem CPT von 85% steigt die PFD mit der Zeit an, bis sie nach 15 Jahren den Schwellenwert zwischen SIL 2 und SIL 1 überschreitet — die SIL „degradiert“ also von einer geplanten SIL-2- zu einer nicht konformen SIL-1-Funktion.

Abbildung 1: PFD über Zeit – Einfluss der Prüftiefe (CPT) über eine Mission Time von 15 Jahren

Für Betreiber besteht natürlich ein Anreiz, die MT so weit wie möglich auszudehnen, um Wartungs- oder Ersatzkosten hinauszuzögern. Eine weitere Einschränkung stellt jedoch die Nutzungsdauer einzelner SIF-Komponenten dar — also der Zeitraum, innerhalb dessen die Annahme einer konstanten Ausfallrate, die allen PFDavg-Berechnungen zugrunde liegt, noch gültig ist. Gemäß DIN EN IEC 61508-2 (§7.4.9.5, Anmerkung 3) werden die Ergebnisse probabilistischer Berechnungsmethoden für ungültig erklärt, sobald die Nutzungsdauer überschritten ist. Hersteller veröffentlichen die Nutzungsdauer in den Sicherheitshandbüchern oder SIL-Zertifikaten der Komponenten, abgeleitet aus der zugrunde liegenden „Badewannenkurve“. Alternativ können Betreiber eine Verlängerung der Nutzungsdauer durch eine formale Bewertung der „Betriebsbewährtheit“ (en: „Prior Use“) gemäß DIN EN IEC 61511-1 (§11.5.3) begründen.

Wie lassen sich diese unterschiedlichen Zeitparameter in der Praxis optimieren?

2. Rechenbeispiel – Eine typische SIF

Als typische Sicherheitsfunktion betrachten wir einen Drucktransmitter, der ein Absperrventil über eine Trennbarriere und ein Logiksystem (SSPS) schließt, wie unten dargestellt.

Abbildung 2: Beispiel-SIF – Drucktransmitter → Trennbarriere → Logiksystem → Magnetventil → Antrieb/Armatur

2.1 Szenario A: MT = 15 Jahre

Die Modellierung dieser SIF in ExSILentia mit einer MT von 15 Jahren, einem Prüfintervall (PTI) von 12 Monaten und einer CPT für alle Komponenten gemäß Herstellerempfehlung ergibt SIL-2 mit einem Risikominderungsfaktor (RRF) = 212.

Abbildung 3: ExSILentia-Ergebnis – MT = 15 Jahre, PTI = 12 Monate. SIL-2 bestätigt (RRF = 212)

2.2 Szenario B: MT auf 30 Jahre verlängert (kein Komponentenaustausch)

In diesem Szenario verlängern wir die MT bei gleichem PTI und CPT und nehmen an, dass die Nutzungsdauer aller Geräte ebenfalls 30 Jahre beträgt. Hier unterschreitet der PFDavg den SIL-2-Schwellenwert, mit RRF = 75, d.h. nicht akzeptabel für eine SIF mit gefordertem SIL-2. Ein CPT unter 100% führt dazu, dass die Sägezahnkurve mit der Zeit ansteigt und schließlich den gewünschten SIL-Grenzwert überschreitet.

Abbildung 4: ExSILentia-Ergebnis – MT = 30 Jahre, angenommene Nutzungsdauer der Komponenten 30 Jahre. SIL-2 NICHT erfüllt (RRF = 75)

2.3 Szenario C: MT = 30 Jahre mit Komponentenaustausch am Ende ihrer Nutzungsdauer

Nun betrachten wir den Austausch oder die Überholung von Komponenten entsprechend der vom Hersteller definierten Nutzungsdauer. Typische Werte für die Beispiel-SIF sind unten aufgeführt.

Komponente	Nutzungsdauer
Drucktransmitter	50 Jahre (kein Austausch erforderlich)
Trennbarriere	10 Jahre
Logiksystem	15 Jahre
Magnetventil	8–12 Jahre (10 Jahre angenommen)
Aktuator/Ventileinheit	10 Jahre

Tabelle 1: Typische Nutzungsdauer je Komponente (Quelle: Sicherheitshandbücher / SIL-Zertifikate der Hersteller / Exida SAEL)

ExSILentia ermöglicht die Definition unterschiedlicher MTs für Sensor, Logiksystem und Aktorik. Im folgenden Beispiel wird die MT jeder Komponente gleich ihrer Nutzungsdauer gesetzt, was SIL-2 mit RRF = 116 für eine Gesamt-MT von 30 Jahren ergibt. Die Abwärtssprünge in der Sägezahnkurve alle 10 Jahre spiegeln die „Rücksetzung“ des PFD-Beitrags der Armatur-/Antriebeinheit wider. Es ist erwähnenswert, dass der Aktor (en: „final element“) oft den größten Einzelbeitrag zur gesamten SIF-Zuverlässigkeit leistet, und der Fokus auf diese Komponente in der Regel zur größten PFD-Verbesserung führt.

Abbildung 5: ExSILentia-Ergebnis – MT = 30 Jahre mit Komponentenaustausch am Ende der Nutzungsdauer. SIL-2 bestätigt (RRF = 116)

Obwohl die SIL-Verifikation nun ein akzeptables mathematisches Ergebnis liefert, stellt sich die Frage: Wie wird die Nutzungsdauer in der Praxis gehandhabt?

3. Verlängerung der Nutzungsdauer

Eine Möglichkeit zur Verlängerung der Nutzungsdauer besteht darin, dass der Betreiber die „Betriebsbewährtheit“ gemäß DIN EN IEC 61511-1, §11.5.3 nachweist. Dies erfordert, dass der Endnutzer (nicht der Hersteller) die Eignung der Komponenten durch Betriebsnachweise dokumentiert, einschließlich:

• Eindeutige Identifikation: Nachweis, dass das spezifische Modell sowie die Hardware-, Firmware- und Softwareversionen eingesetzt wurden.
• Einsatzbedingungen: Dokumentation, dass die Anwendung unter ähnlichen Prozessbedingungen (z.B. Temperatur, Druck, Vibration oder Medieneigenschaften) betrieben wurde wie vergleichbare Komponenten, die als Datengrundlage dienen.
• Herstellerqualitätssystem: Nachweis, dass der Hersteller ein Qualitätsmanagementsystem zur Minimierung systematischer Fehler eingeführt hat.
• Ausreichende Betriebserfahrung: Nachweis einer statistisch signifikanten Anzahl von Betriebsstunden. Obwohl die Norm keine konkrete Zahl vorgibt, wird in der Praxis häufig eine ausreichende Stundenzahl gefordert, um eine Ausfallrate mit einem Konfidenzintervall von 70% berechnen zu können.
• Fehlermanagementsystem: Ein formales „Management of Change“ (MoC)- und Störmeldesystem. Der Betreiber muss nachweisen, dass alle Ausfälle erfasst und kategorisiert wurden (sicher vs. gefährlich, erkannt vs. nicht erkannt). Namur NE93 gibt weitere Hinweise.
• SIL-Eignung: Eine Bewertung, die zeigt, dass die nachgewiesenen Ausfallraten die in der SIL-Verifizierung verwendeten Werte (Lambda) stützen.

Größere Organisationen setzen die Dokumentation der Betriebsbewährtheit häufig durch ihr funktionales Sicherheitsmanagementsystem um. Kleinere Betreiber finden den Dokumentationsaufwand jedoch oft zu aufwändig und die erforderlichen Betriebsstunden schwer erreichbar. Abschnitt 2.2 dieses Beitrags hat zudem gezeigt, dass SIL-Degradation trotz Verlängerung der Nutzungsdauer auftreten kann, abhängig von den zugrunde liegenden Ausfallraten.

Eine Alternative besteht darin, SIF-Komponenten vor dem Ende ihrer Nutzungsdauer auszutauschen oder eine umfassende Wartung durchzuführen, wodurch das einzelne PFD „zurückgesetzt“ wird – was einer wiederkehrenden Prüfung mit CPT = 100 % entspricht. Elektronische Bauteile wie Trennbarrieren und Relais können in der Regel kostengünstig durch gleichwertige Ersatzteile ersetzt werden. Neuere Geräte weisen oft niedrigere Ausfallraten auf, was bei der Aktualisierung der SIL-Verifikation positiv genutzt werden kann.

Der Austausch eines Logiksystems (die sogenannte fehlersichere SPS oder SSPS) stellt eine größere Investition dar, und es lohnt sich, beim Hersteller eine mögliche Verlängerung der veröffentlichten Nutzungsdauer anzufragen. Typischerweise hat die SSPS einen geringen Anteil am Gesamt-PFDavg, sodass die ursprünglich definierte Ausfallrate gemäß SIL-Zertifikat ohne nennenswerte SIL-Degradation verwendet werden kann. Über den vollständigen Austausch hinaus sind folgende Ansätze erwägenswert:

• Austausch modularer Baugruppen: Anstatt das gesamte System auszutauschen, können möglicherweise nur die Baugruppen ersetzt werden, die die Nutzungsdauer erheblich einschränken — typischerweise Netzteile, CPU-/Prozessorkarten und E/A-Module — während Rückwandplatine, Verdrahtung und Anwendungssoftware erhalten bleiben. Der Hersteller sollte bestätigen, dass dies die Nutzungsdauer zurücksetzt oder verlängert, idealerweise durch ein aktualisiertes SIL-Zertifikat.
• Herstellerprogramme zur Verlängerung der Nutzungsdauer/zum Obsoleszenzmanagement: Manche SPS-Hersteller bieten formale Bewertungen zur Nutzungsdauerverlängerung für Altsysteme an. Dies beinhaltet in der Regel eine Vor-Ort-Inspektion oder ein Audit, das zu einer dokumentierten Nutzungsdauerverlängerung führt, im Gegensatz zu der generischen „Betriebsbewährung“ des Herstellers (en: „Proven in Use“), die oft nicht brauchbar ist. Es wird empfohlen, proaktiv Kontakt mit dem Hersteller aufzunehmen, um zu erfragen, ob ein solches Programm existiert.
• Firmware-/Software-Update mit überarbeiteten Ausfallraten: Ein vom Hersteller herausgegebenes Firmware-Update kann zu einer niedrigeren Ausfallrate führen (nachgewiesen durch ein aktualisiertes SIL-Zertifikat). Sofern dies die Bestätigung einer verlängerten Nutzungsdauer einschließt, kann die korrigierte Ausfallrate ohne Hardwereänderungen in die SIL-Verifizierung einfließen.

Für Aktoren wie Antrieb-/Armatureneinheiten sollte ebenfalls Herstellerunterstützung eingeholt werden. Eine umfassende „Überholung“ ist oft möglich, beispielsweise durch den Austausch elektronischer Antriebkomponenten wie Magnetventile/Relais sowie durch Reparatur und Wartung mechanischer Verschleißteile wie Dichtungen und Packungen. Wird die Überholung vom Hersteller durchgeführt, ist dies mit einem aktualisierten SIL-Zertifikat/einer Bestätigung der Nutzungsdauerverlängerung zu dokumentieren. Alternativ kann der Betreiber die Überholung in seiner eigenen Werkstatt oder durch einen beauftragten Wartungsdienstleister durchführen. Auch in diesem Fall muss jedoch eine ausreichende Dokumentation erstellt werden, um die verlängerte Nutzungsdauer und etwaige Änderungen der Ausfallraten zu begründen.

Abschließend ist eine Strategie zur Teilhubprüfung (en: Partial Stroke Testing, PST) erwähnenswert. Obwohl PST die Nutzungsdauer nicht direkt beeinflusst, erhöht seine Implementierung die effektive Diagnoseabdeckung zwischen den wiederkehrenden Prüfungen und liefert nützliche Daten zur Unterstützung einer späteren Begründung der Betriebsbewährtheit.

4. Wesentliche Erkenntnisse

Die folgenden Punkte fassen die wichtigsten Schlussfolgerungen dieses Beitrags zusammen:

• Der Einsatzzeitraum (MT) einer SIF kann verlängert werden, sofern Einschränkungen durch die Nutzungsdauer gehandhabt werden.
• Es stehen verschiedene Strategien für den Austausch oder eine umfassende Überholung von Komponenten zur Verfügung. Ersatzgeräte weisen oft niedrigere Ausfallraten auf und bieten damit die Möglichkeit, die SIL-Berechnung zu verbessern. Im Falle einer Überholung ist eine Dokumentation erforderlich, um die verlängerte Nutzungsdauer und etwaige überarbeitete Ausfallraten zu begründen.
• Die Bewertung der Betriebsbewährtheit (DIN EN IEC 61511-1, §11.5.3) ist eine Alternative zum physischen Austausch, erfordert jedoch umfangreiche Betriebsnachweise. Selbst bei verlängerter Nutzungsdauer wird der erforderliche PFDavg möglicherweise aufgrund von „SIL-Degradation“ nicht erreicht.
• ExSILentia unterstützt komponentenspezifische MT-Zuweisungen und ermöglicht damit eine gezielte Optimierung der Gesamt-MT unter Berücksichtigung der praktischen Nutzungsdauerbeschränkungen.

Verwendete Normen

• DIN EN IEC 61511-1: Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie
• DIN EN IEC 61508-2: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme
• VDI/VDE 2180-3: Funktionale Sicherheit in der Prozessindustrie (Parameter T₂)

PSC bietet Dienstleistungen gemäß DIN EN IEC 61511 an, um die SIL-Anforderungen für Sicherheitsfunktionen zu definieren sowie eine optimale Auslegung unter Berücksichtigung der Betriebs- und Wartungskosten über den gesamten Lebenszyklus zu ermöglichen. Bitte laden Sie unsere FSM-Broschüre herunter.