Funktionale Sicherheit fand ihre Anwendung während eines Segeltörns in der Adria.

IEC 61508 ist die Dachnorm für funktionale Sicherheit, aus der sich branchenspezifische Normen wie IEC 61511 (Prozess) und IEC 62061 (Maschinen) ableiten. Die Hauptphasen des Sicherheitslebenszyklus sind: Analyse, Ausführung und Betrieb. Wie der Begriff „Zyklus“ andeutet, gibt es in jeder Phase Rückkopplungsschleifen, die es ermöglichen, frühere Annahmen zu überprüfen und zu bestätigen. Gefährliche Ereignisse und „Beinaheunfälle“ während der Betriebsphase sind Gelegenheiten, um zu bestätigen, dass die Ziele der funktionalen Sicherheit erreicht werden.

Eine „reale“ Gelegenheit, die gewonnenen Erkenntnisse aus der funktionalen Sicherheit anzuwenden, ergab sich kürzlich während eines Segeltörns in der Adria an Bord einer Sun Odyssey 45-Fuß-Sloop, die von einem Yanmar Marine 4JH4-TE 56kW-Schiffsdieselmotor mit Turbolader angetrieben wurde. Während der Fahrt in den Jachthafen ertönte der Motorkonsolenalarm und dicker weißer Rauch strömte aus dem seitlichen Auspuff. Das Boot wurde sofort angedockt und erste Beobachtungen deuteten darauf hin, dass im sekundären Kühlkreislauf kein Meerwasser vorhanden war, wahrscheinlich aufgrund einer Verstopfung des Einlasses. Eine anschließende Überhitzung des Primärkühlwassers hatte zur Aktivierung des Temperaturschalters (Nr. 33 im Schema) geführt. Gemäß den Yanmar-Spezifikationen beträgt der Schaltersollwert 95 °C (initiiert das Motorpanel-Warnlicht und den Alarmton). Der optionale Kühlmitteltemperatursensor (Nr. 37 im Schema) war nicht auf der B-Typ-Instrumententafel installiert, daher war es nicht möglich, unabhängig zu bestätigen, bei welcher Temperatur der Kühlmittelschalter aktiviert worden war. Weitere Untersuchungen ergaben, dass das Laufrad der Meerwasser-Kühlpumpe (Nr. 29 im Schema) zerstört wurde, vermutlich als Folge eines längeren Trockenlaufs aufgrund einer Blockierung des Meerwassereinlasses. Teile des Laufrads wurden im nachgeschalteten Wärmetauscher gefunden (Nr. 22 im Schema) – siehe Foto.

Der Impeller der Seewasserpumpe wurde ersetzt und das System gespült und neu befüllt. Es schienen keine Schäden am Primärkühlkreislauf, am Kupplungsschmierölkühler oder am Motorblock vorzuliegen. Die Reparaturzeit betrug ca. 2 Stunden, die Kosten für einen neuen Seewasserpumpenlaufrad-Reparatursatz beliefen sich auf ca. 60 Euro. Zusammenfassend lässt sich sagen, dass der Alarm bei hoher Kühlmitteltemperatur ausreichend Zeit für eine Aktion des Bedieners (manuelles Abschalten des Motors) ließ, um eine Beschädigung wichtiger Motorkomponenten zu vermeiden, verhinderte jedoch nicht die Zerstörung der Seewasser-Kühlpumpe. Obwohl die Ersatzteile nicht teuer waren, könnte die Reparaturzeit kritisch sein, insbesondere wenn ein solcher Ausfall in einer Notsituation bei rauer See auftritt. Es stellte sich daher die Frage, ob eine kostengünstige Konfiguration möglich wäre, die genügend Reaktionszeit ermöglicht, um Schäden an der Seewasser-Kühlpumpe zu vermeiden und gleichzeitig den Motor zu schützen.

Mögliche Alternativen könnten sein:

  1. Einstellen des Sollwerts des Kühlmitteltemperaturschalters auf einen niedrigeren Wert ein, wodurch auch die Komponenten des Seewasserkühlkreislaufs vor Beschädigung geschützt werden können. Der Sollwert müsste weit genug über dem Schaltpunkt des Thermostats (einschließlich Totzone) liegen, um Fehlalarme zu vermeiden.
  2. Installation eines Strömungsschalters in der Meerwasserleitung zur Anzeige korrekter Strömungsbedingungen. Diese Lösung wird aufgrund von Flussschwankungen, die wahrscheinlich zu falschen Alarmen führen, als nicht durchführbar angesehen
  3. Installation eines Hochtemperatur-Voralarms. Die optionale primäre Kühlwassertemperaturanzeige (Nr. 37), die standardmäßig mit dem C-Typ-Instrumentenbrett geliefert wird, könnte diese Rolle möglicherweise erfüllen, obwohl es fraglich ist, ob eine einfache Anzeige während des Motorbetriebs aktiv überwacht würde. In einer HAZOP würde ein solcher lokaler Indikator ohne Alarm nicht als gültige unabhängige Schutzschicht (IPL) betrachtet.

Von den oben genannten Alternativen wird Option 3) als die praktischste und kostengünstigste angesehen (ALARP). Obwohl es nicht unbedingt ein IPL gemäß IEC 61511 ist, gibt das unabhängige Messgerät der Besatzung zumindest die Möglichkeit, Kühlmitteltemperaturen zu überwachen, bzw. hohe Temperaturen zu registrieren, bevor der Warnalarm ausgelöst wird, wodurch möglicherweise Komponentenschäden und zeitaufwendige Reparaturen vermieden werden. Andere Optionen, wie z. B. das Senken des Alarmsollwerts oder das Vorsehen eines zusätzlichen Durchflussschalters, würden wahrscheinlich Fehlalarme erzeugen und wären daher langfristig nicht praktikabel.

Obwohl eine HAZOP eines solchen Schiffsdiesel-Hilfssystems eindeutig übertrieben wäre, zeigt dieses praktische Beispiel dennoch die „reale“ Anwendung des IEC 61511-Sicherheitslebenszyklus, einschließlich der Berücksichtigung von „Lessons Learned“, IPLs und ALARP-Prinzipien.

PSC bietet eine unabhängige Beratung während des gesamten Sicherheitslebenszyklus, von der ersten Gefährdungs- und Risikobeurteilung über die detaillierte Planung, Implementierung, Inbetriebnahme und den Betrieb bis hin zur Außerbetriebnahme. PSC-Experten sind nach IChemE und dem Exida CFSE-Programm zertifiziert.

Bitte laden Sie unsere HAZOP-SIL-LOPA-Referenzen herunter oder kontaktieren Sie uns, um ein Angebot für Ihre Workshop-Anforderungen anzufordern.