• Heim
  • Nachrichten
  • Eingreifen des Bedieners in die Funktionale Sicherheit: Das Gleichgewicht zwischen menschlichem Handeln und Systemintegrität

Eingreifen des Bedieners in die Funktionale Sicherheit: Das Gleichgewicht zwischen menschlichem Handeln und Systemintegrität

Operator Intervention in Functional Safety: Balancing Human Agency and System Integrity

In modernen Verfahrensanlagen bestimmt die Wechselwirkung zwischen menschlichen Bedienern und automatisierten Steuerungssystemen die Sicherheitslage. Während digitale Systeme wie SPS- und DCS-Technologien Routineaufgaben übernehmen, bieten menschliche Bediener die Flexibilität, die für komplexe Entscheidungen erforderlich ist. Die Einbindung menschlichen Handelns in die funktionale Sicherheit erfordert jedoch ein genaues Verständnis darüber, wann ein Bediener als Risikofaktor oder als Schutzbarriere fungiert.

Die Rolle der Bediener im Risikomanagement definieren

Fachleute der Industrie verwenden oft die Begriffe „Handlung“ und „Eingriff“ synonym, doch sie stellen unterschiedliche Konzepte in der Sicherheitsanalyse dar. Eine Bedienerhandlung ist typischerweise ein proaktiver Schritt innerhalb eines Verfahrens. Im Gegensatz dazu ist ein Bedienereingriff eine reaktive Maßnahme zur Abwendung einer sich entwickelnden Gefahr.

Die Unterscheidung dieser Rollen ist für die Schutzschichtanalyse (LOPA) und die Bestimmung des erforderlichen Sicherheitsintegritätsniveaus (SIL) für eine sicherheitsgerichtete Funktion (SIF) unerlässlich. Eine falsche Zuordnung dieser Rollen führt zu ungenauen Berechnungen des Risikominderungsfaktors (RRF) und kann dazu führen, dass eine Anlage unzureichend geschützt bleibt.

Wenn menschliches Versagen als auslösendes Ereignis wirkt

Nach IEC 61511 ist ein auslösendes Ereignis (IE) jeder Fehler, der einen Prozess in einen gefährlichen Zustand treibt. Wenn ein Bediener einen Fehler macht, etwa ein falsches Handventil öffnet oder eine Startfolge nicht einhält, wird er zur Ursache der Anforderung.

In quantitativen Risikoabschätzungen wird diesen Fehlern eine Häufigkeit des auslösenden Ereignisses (IEF) zugewiesen. Basierend auf Branchendaten von CCPS und Exida liegt die typische Häufigkeit für einen bedeutenden menschlichen Fehler bei 0,1 pro Jahr. Das bedeutet, dass Sicherheitsingenieure mit einer durch Menschen verursachten Anforderung an das Sicherheitssystem etwa alle zehn Jahre rechnen. Da diese Handlung die Gefahr verursacht, kann sie im gleichen Szenario nicht als Schutzschicht angerechnet werden.

Kriterien für manuelle unabhängige Schutzschichten

Bediener können als unabhängige Schutzschicht (IPL) anerkannt werden, wenn sie eine Gefahrenkette erfolgreich unterbrechen. Es müssen jedoch strenge Kriterien erfüllt sein, um diese Anerkennung zu erhalten. Der Eingriff muss unabhängig sein, das heißt, die Person, die reagiert, darf nicht dieselbe sein, die den Fehler verursacht hat.

Außerdem muss der Bediener über ausreichend Prozesssicherheitszeit (PST) verfügen. Wenn ein Reaktor in 30 Sekunden einen kritischen Zustand erreicht, der Bediener aber fünf Minuten benötigt, um ein Handventil zu erreichen, bietet das menschliche Element keine Risikominderung. Normen empfehlen allgemein, dass ein Bedienereingriff nur dann als gültige IPL zählt, wenn die verfügbare PST mindestens 15 bis 20 Minuten beträgt, um Alarmwahrnehmung und physische Bewegung zu ermöglichen.

Integration manueller Handlungen in die SIF-Schleife

In einigen Automatisierungsarchitekturen umfasst eine sicherheitsgerichtete Funktion (SIF) eine manuelle Auslösungskomponente, wie einen „Hand-Off-Auto“-Schalter oder einen Not-Aus-Taster (ESD). Nach IEC 61511-2 wird der Bediener Teil der Sicherheitsschleife, wenn eine manuelle Handlung zur Auslösung einer SIF erforderlich ist.

In diesem Zusammenhang müssen der Taster, die Verkabelung, der Logikrechner und die Schulung des Bedieners gemeinsam validiert werden. Die Zuverlässigkeit der SIF hängt dann von der Analyse der menschlichen Zuverlässigkeit (HRA) ab. Wenn der Bediener den Knopf nicht drückt, versagt die gesamte SIF. Deshalb werden manuelle SIFs aufgrund der inhärenten Schwankungen menschlicher Leistung unter Stress selten mit einem höheren SIL als SIL 1 bewertet.

Berechnung des Ziel-SIL anhand von Bedienerdaten

Bei LOPA-Berechnungen bestimmen wir die Ziel-PFD (Ausfallwahrscheinlichkeit bei Anforderung) für eine SIF, indem wir die IEF und vorhandene IPLs bewerten. Betrachten wir ein Szenario, bei dem ein Tanküberlauf zu einem giftigen Austritt führt. Liegt die IEF für Bedienerfehler bei 0,1/Jahr und die tolerierbare Ereignishäufigkeit (TEF) bei 0,001/Jahr, benötigt das System einen Gesamt-Risikominderungsfaktor von 100.

Wenn ein Hochpegelalarm eine IPL mit einer PFD von 0,1 bereitstellt, muss der verbleibende Schutz durch eine automatisierte SIF erfolgen. Die Berechnung ($10^{-3} / (0.1 \times 0.1) = 0.1$) zeigt, dass eine SIL 1 SIF erforderlich ist, um die Sicherheitslücke zu schließen. Dieser mathematische Ansatz stellt sicher, dass menschliche Einschränkungen objektiv in der Anlagenplanung berücksichtigt werden.

Steigerung der menschlichen Zuverlässigkeit durch bessere Schnittstellengestaltung

Um die Wirksamkeit von Bedienereingriffen zu maximieren, muss die Ergonomie des Leitstands Priorität haben. Ein leistungsfähiges Mensch-Maschine-Bedienfeld (HMI) reduziert die geistige Belastung und verhindert „Alarmmüdigkeit“. Wenn ein DCS zu viele Alarme mit niedriger Priorität anzeigt, können Bediener das kritische Signal übersehen, das eine Katastrophe verhindert.

Erkenntnis des Autors: Nach meiner Erfahrung streben die robustesten Sicherheitssysteme nicht an, den Bediener zu ersetzen, sondern ihn zu unterstützen. Während die Automatisierung in Geschwindigkeit und Gleichmäßigkeit glänzt, fehlt ihr das „Situationsbewusstsein“ eines erfahrenen Bedieners. Daher sollte das Ziel der funktionalen Sicherheit sein, schnelle Reaktionen zu automatisieren und den Bedienern klare, umsetzbare Daten für langsamer verlaufende Entwicklungen bereitzustellen.

Zurück zum Blog
Zeige alles
Blogbeiträge
Zeige alles
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Warum RTD-Sensoren stromabwärts von Blenden installiert werden müssen

Die Installation eines RTD stromaufwärts einer Blendenplatte verfälscht die Differenzdruckmessungen durch Wirbelauslösung am Thermowell. Dieser Artikel erklärt die Physik der von-Kármán-Wirbelstraße, die Anforderungen der ISO 5167 und ASME MFC-3M für die Platzierung stromabwärts, die Mindestabstandsregel von 5D, die Einhaltung der Thermowell-Nachlauf-Frequenz sowie ein 7-Schritte-Installationsverfahren für kombinierte Blendenplatten- und RTD-Baugruppen.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Wirbeldurchflussmesser: Funktionsprinzipien, Auswahlkriterien und Inbetriebnahme vor Ort

Ein Wirbelstromzähler arbeitet nach dem Prinzip des von-Kármán-Wirbelabwurfs und bietet eine hervorragende Langzeitgenauigkeit bei Dampf, Gas und Flüssigkeiten mit niedriger Viskosität ohne bewegliche Teile. Dieser Leitfaden behandelt die Physik der Strouhal-Zahl, Einschränkungen der Reynolds-Zahl, die Dimensionierung des Zählers, Anforderungen an gerade Rohrabschnitte für den ABB VortexMaster FSV430 sowie die Inbetriebnahmeschritte vor Ort für die Integration des Woodward-Turbinenreglers.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Thermoelementverdrahtung, Normen und Fehlerbehebung: Ein praktischer Feldleitfaden

Eine genaue Thermoelementmessung erfordert die richtige Typauswahl, passende Verlängerungsleitungen und eine zuverlässige Kaltstellenkompensation. Dieser Leitfaden behandelt IEC 60584 Typcodes und Anwendungsbereiche, die Auswahl von Verlängerungs- und Kompensationskabeln, Phoenix Contact WTOP CJC Klemmen, die Konfiguration des Yokogawa YTA110 CJC sowie eine systematische Fehlerdiagnose bei Unterbrechungen, Kurzschlüssen und Kalibrierdrift.
Liste empfohlener Produkte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul

Emerson
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal

Emerson
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul

GE