Bisher eingereichte Fragen

  1. Benötigen Planungsbüros und Anlagenerrichter/Schaltschrankbauer ein Functional Safety Management?
  2. Welche Qualifikation benötigen die Personen, die mit dem Design bzw. Aufbau einer SIL-Funktion betraut sind?
  3. Welche Art der Dokumentation fordern die Normen?
  4. Wie ist ein SIL-Kreis zu verifizieren, validieren und prüfen?
  5. Wie lässt sich der SIL z. B. eines elektronischen Messumformers, eines Trennverstärkers oder eines Schaltverstärkers ermitteln?
  6. Gebrauchsdauer von Feldgeräten in einer SIF: Sind Hersteller verpflichtet, Zeitangaben über die Gebrauchsdauer von Sensoren/Aktoren zu geben, oder nicht?
    Manche Hersteller geben klare Zeitangaben vor (z.B. 20 Jahre)
     
    und von manchen Firmen bekommt man diese Aussage:
     
    Sind solche Aussagen o.k.?
  7. Kalibrierung von Pt100 in einer SIF: Müssen Pt100 bei der jährlichen SIWAKO-Abschaltprüfung auch jeweils in einem Temperaturbad kalibriert werden?
    (SIWAKO = SIcherheits-, WArtungs- und KOntrollmaßnahmen)
  8. Erforderliche Nachweise für Geräte-Software/-Firmware: Wie muss ein solcher Nachweis aussehen und wie wird das Thema in den Normen EN 61511 und EN 61508-3 behandelt?
  9. Alarmbehandlung in einer SIF: Wie schaut die Alarmbehandlung (auf PLS oder SSPS) von sicherheitsgerichteten Sensoren/Aktoren bei anderen Firmen aus? Gibt es zum Handling dieser Alarme Betriebsanweisungen oder andere Vorschriften? Wie wird die Quittierung realisiert (in SIL Qualität oder PLS ausreichend) und wie werden die Alarme dokumentiert?
  10. Jährliche Überprüfung der SIF: Messwerte „scharf anfahren“ oder genügt eine Simulation der Messwerte?
    Bringen Simulationen (z. B. Signalgeber auf die Sensoren) die erwünschten Ergebnisse?
    Können Fehler in der Prozessanbindung erkannt werden?
    Sind Funktionstests abweichend von Nennbedingungen (Nenndurchflüsse, Nenndrücke etc.) aussagekräftig genug?
  11. Herstellerklärungen/SIL-Klassifizierung: Wie aussagekräftig sind solche SIL-Zertifikate (siehe Ausschnitte Beispiel 1 und 2)?
    Beispiel 1:
     
    Beispiel 2:
     
  12. Wie sehen Sie, als SIL-Experten und Teilnehmer der SIL-Sprechstunde, die Qualität dieser SIL-Bewertung?
  13. Wir haben eine PLT-Schutzeinrichtung, die ein Polymerisieren eines Stoffes in einem geschlossenen System verhindert. Mit einer weiteren PLT-Schutzeinrichtung kann eine voranschreitende Polymerisation gestoppt werden. Ich bezeichne die zweite Einrichtung als Hosenträger zum Gürtel. Meine Frage dazu lautet, wie eine SIL-Einstufung für diesen "Hosenträger" erfolgen kann, da die Eintrittswahrscheinlichkeit durch die erste PLT-Schutzeinrichtung theoretisch gegen Null läuft.
  14. Welches Meinungsbild wird beim SIL-Nachweis bevorzugt: Betriebsbewährung oder der rechnerische Weg?
  15. Welche Karenzzeit besteht für die Wiederholungsprüfung?
  16. Die Prüfung vor der Erstinbetriebnahme ist ZÜS-pflichtig. Ist für Wiederholungsprüfungen die Prüfung durch eine befähigte Person ausreichend?
  17. Wie geht man als Softwareprogrammierer mit Anlagenbetreibern um, die sich nicht mit dem Thema "Funktionale Sicherheit" auskennen und beschäftigen? Häufig kommt hinzu, dass der Anlagenbetreiber nur ein begrenztes Budget ausgeben will (so billig wie möglich) oder kann, so dass eine umfassende (Prüf-)Dokumentation der Software nicht möglich bzw. gewünscht ist. Wie ist hier die Rechtslage, falls etwas passiert? Der Programmierer hat schließlich "nur" das gemacht, was der Betreiber gewünscht hat.
  18. In einer SIF wird bei der jährlichen SIWAKO-Prüfung festgestellt, dass der Sensor (z. B. ein Schwimmerschalter mit Reedkontakt) keinen Kurzschluss erkennt. Beim Gutzustand ist der Reedkontakt geschlossen. Wie sieht in diesem Fall das weitere Prozedere aus:
    → Darf man die Kurzschlussprüfung vernachlässigen?
    → Muss der Sensor gegen ein geeigneten Sensor getauscht werden?
  19. Was muss man generell beachten, wenn Sensoren keine Kurzschlüsse oder Drahtbrüche erkennen?
  20. Wie wird bei der Konfiguration mittels „unsicherem PC“ via FDT/DTM der SIL2/3 von Trennschaltverstärkern sichergestellt?
  21. Wie ist das Verfahren der Konfiguration über Feldbussysteme, z. B. PROFIBUS-DP oder ethernetbasierte Systeme?
  22. Die festgelegte Frist der wiederkehrenden Prüfung der Transmitter und Stellorgane steht bei kontinuierlichen verfahrenstechnischen Anlagen häufig im Widerspruch zur Betriebszeit der Anlage bis zum nächsten Stillstand, da z. B die Möglichkeit einer Demontage bzw. Vorgabe der physikalischen Größe nicht möglich ist. Welche Prüfmethoden, abweichend zum „Safety Manual“ bzw. VDE 2180 sind akzeptabel?
    Beispiel: Für die Überwachung des Durchflusses zu einem Reaktor sind zwei Vortexmeter mit örtlicher Anzeige direkt hintereinander installiert. Die Prüfung wird durch Vergleich der Messwerte/Trends zueinander und der Anzeigewerte am Gerät und der SSPS durchgeführt. Eine Kalibrierung erfolgt alle 5 Jahre.
  23. Die Prüfung der kompletten SIF (Sensor/Logik/Aktor) während des laufenden Betriebes verfahrenstechnischer Anlagen erfordert bei komplexen Abschaltungen einen hohen Aufwand (zusätzliche Softwarebrücken, Ventilbypässe etc.). Unter Umständen werden für die Zeit der Prüfung wichtige Funktionen außer Kraft gesetzt. Ist es ausreichend die Prüfung der Sensoren und Stellorgane einzeln durchzuführen, wenn die Logik einer SSPS geprüft ist und keine wesentlichen Änderungen durchgeführt wurden?
  24. Der Lebenszyklus einer SIF ist zu dokumentieren. In welcher Form wird diese Forderung praktisch umgesetzt? Welche Erfahrungen gibt es bei den Teilnehmern der SIL-Sprechstunde?
  25. Ist es erforderlich, eine Dichtigkeitsprüfung der SIS-Ventile bei der Wiederholungsprüfung durchzuführen? Ein Funktionstest sagt nichts über die Dichtigkeit aus. Was ist, wenn das Ventil gerade an der Grenze der erlaubten Leckrate ist? Während des nächsten Betriebszyklus erhöht sich die Leckrate (unentdeckter gefährlicher Fehler).
  26. Wie ist ein elektrischer Antrieb mit Pumpe als Aktor in eine Schutzeinrichtung einzubinden?
  27. Gibt es "SIL-fähige" Geräte auch für die E-Technik? Beispiel: Eine 2v3-Druck­über­wachung schaltet eine Pumpe aus.