Anhang B

Druckanlagen

B1 Anwendungsbereich

(1) Sicherheitsrelevante MSR-Einrichtungen können Teil des Schutzkonzeptes für Druckanlagen sein. Grundlage für das Schutzkonzept ist die Gefährdungsbeurteilung im Sinne der TRBS 1111 durch den Arbeitgeber. Aus dem Schutzkonzept sind auch die Prüfungen und Kontrollen von sicherheitsrelevanten MSR-Einrichtungen abzuleiten.

(2) Die Prüfinhalte zur Bewertung der funktionalen Sicherheit an Druckanlagen umfassen sowohl verfahrenstechnische als auch elektrotechnische Aspekte. Die Prüfungen von sicherheitsrelevanten MSR-Einrichtungen erfolgen deshalb in der Regel als Teilprüfungen im Sinne der TRBS 1201 Abschnitt 3.1 Absatz 5.

(3) Zu diesem Zweck kann sich die zur Prüfung befähigte Person oder ZÜS bei der Prüfung gemäß TRBS 1201 Teil 2 die Aussagen qualifizierter Teilprüfungen zu eigen machen (für ZÜS siehe hierzu auch die Richtlinie „Anforderungen an zugelassene Überwachungsstellen“ der Zentralstelle der Länder für Sicherheitstechnik (ZLS)).

(4) Nachfolgend werden daher Inhalte von Prüfungen und Kontrollen sowie Teilprüfungen von sicherheitsrelevanten MSR-Einrichtungen nach TRBS 1201 Teil 2 dargestellt. Weiterhin wird in Beispielen die Verwendung von MSR-Einrichtungen als technische Schutzmaßnahmen gemäß TRBS 2141 dargestellt.

B2 Begriffsbestimmung

Über die Begriffsbestimmungen in Abschnitt 2 hinaus werden folgende Begriffe verwendet:

B2.1 Verriegelung

Unterbrechung der Energie- oder Medienzufuhr, die ein manuelles Eingreifen zur Wiederherstellung des Betriebszustandes erfordert.

B2.2 Begrenzung

Abschaltung und Verriegelung der Energie- oder Medienzufuhr bei Überschreiten eines Grenzwertes für eine oder mehrere Betriebsgrößen. Die Wiederherstellung des Betriebszustandes ist nur möglich, wenn die Betriebsgrößen wieder einen zulässigen Wert erreicht haben.

B2.3 Freigabe

Herstellung des Betriebszustandes, der eine Energie- oder Medienzufuhr bzw. den Start eines Anfahrvorgangs ermöglicht.

B3 Allgemeine Anforderungen

(1) Der Arbeitgeber hat entsprechend Abschnitt 3.3 Qualifikationen und Zuständigkeiten der mit Auswahl, Beschaffung und Betrieb von sicherheitsrelevanten MSR-Einrichtungen befassten Personen festzulegen.

(2) Das Schutzkonzept ist nachvollziehbar zu dokumentieren, wobei auch der sichere Zustand definiert werden muss. Hierzu können z. B.

  1. Verfahrensfließbilder,
  2. Rohrleitungs- und Instrumentenfließschemata (R&I-Schemata),
  3. Skizzen der Wirkketten der geplanten Sicherheitsfunktionen oder
  4. verbale Beschreibungen

dienen.

(3) Für sicherheitsrelevante MSR-Einrichtungen, sind die Anforderungen an die Zuverlässigkeit der Sicherheitsfunktionen entsprechend Abschnitt 4.3 Absatz 2 festzulegen. Die Sicherheitsfunktionen sind nachvollziehbar zu dokumentieren, z. B. in einer Abschaltmatrix oder einem Ursachen-Wirkungs-Diagramm.

(4) Wurde die Umsetzung der Schutzmaßnahmen durch sicherheitsrelevante MSR-Einrichtungen im Gefahrenfeld Druck im Rahmen eines Konformitätsbewertungsverfahrens für das komplette Sicherheitssystem (siehe hierzu Leitlinie A-25 zur Druckgeräterichtlinie) bereits geprüft, muss die Umsetzung durch die zur Prüfung befähigte Person oder durch die ZÜS (je nach Prüfzuständigkeit) nicht erneut geprüft werden, sofern eine Plausibilitätsprüfung ergeben hat, dass identische Betrachtungsgrenzen vorliegen und die Herstellerangaben in Bezug auf Aufstellung und Betriebsweise eingehalten werden.

(5) Die sicherheitstechnischen Maßnahmen in Bezug auf die Cybersicherheit sind durch den Arbeitgeber nach TRBS 1115 Teil 1 festzulegen.

B4 Prüfung vor Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen der Druckanlage

(1) Die Prüfung vor erstmaliger Inbetriebnahme der Druckanlage durch die zur Prüfung befähigte Person oder durch die ZÜS bezieht sich auf die gesamtheitliche Erfüllung des Schutzkonzeptes zum sicheren Betrieb der Druckanlage. Es ist Abschnitt 6 zu beachten.

(2) Sicherheitsrelevante MSR-Einrichtungen sind – als Bestandteil der Druckanlage – vor erstmaliger Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen (z. B. Änderungen des Schutzkonzeptes nach Abschnitt 8.3.4) im Rahmen der Prüfung nach Anhang 2 Abschnitt 4 Nummer 4.1 BetrSichV auf Eignung und Funktionsfähigkeit zu prüfen.

(3) Bei einem Austausch von sicherheitsrelevanten MSR-Einrichtungen sind Abschnitt 8.3.2 und Abschnitt 8.3.3 zu berücksichtigen.

B4.1 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der Ordnungsprüfung

(1) Es werden die Dokumentation der vorlaufenden Arbeitsschritte entsprechend Abschnitten 4.4, 4.5 und 5 auf Vorhandensein und Plausibilität sowie die Einhaltung des Schutzkonzeptes überprüft. Diese Prüfung umfasst z. B.:

  1. Prüfung auf Plausibilität und Vollständigkeit des Schutzkonzeptes im Hinblick auf Eignung zum Erreichen der Schutzziele,
  2. Überprüfung der Spezifikationen der Schutzschaltungen gegenüber den Festlegungen aus dem Schutzkonzept im Hinblick auf z. B. Grenzwerte, Abschaltungen und Freigaben sowie Zuverlässigkeit/Qualität von Komponenten,
  3. Plausibilitätskontrolle der Stromlaufpläne der Sicherheitsstromkreise,
  4. Plausibilitätskontrolle der richtigen Programmierung z. B. von speicherprogrammierbaren Steuerungen anhand von Funktionsplänen inklusive Feststellung der Checksumme sowie die Parametrierung programmierbarer Sensorik/Aktorik,
  5. Kontrolle der Dokumentation der eingesetzten Komponenten auf Übereinstimmung mit der Spezifikation für die jeweilige sicherheitsrelevante MSR-Einrichtung,
  6. Prüfung auf Plausibilität und Vollständigkeit der dokumentierten Prüfungen der Beschaffenheit und elektrotechnischen Funktion der Sicherheitsstromkreise,
  7. Plausibilitätsprüfung der Festlegungen des Arbeitgebers zur Vorgehensweise bei der Prüfung von sicherheitsrelevanten MSR-Einrichtungen und deren Prüfzyklen,
  8. Prüfung auf Vorhandensein von dokumentierten Schutzmaßnahmen zur Cybersicherheit (siehe TRBS 1115 Teil 1).

(2) Hierbei kann sich auch auf die durch den Hersteller und Arbeitgeber bereitgestellte Dokumentation bezogen werden. Bei unvollständiger oder nicht aussagekräftiger Dokumentation sind ggf. weitere Prüfungen oder eine größere Prüftiefe erforderlich.

(3) Notwendige Dokumentationsunterlagen können unter anderem sein:

  1. Betriebsanleitung in deutscher Sprache,
  2. Dokumentation der Schutzmaßnahmen als Ergebnis der Gefährdungsbeurteilung,
  3. Dokumentation der sicherheitsrelevanten Schaltungen und der geforderten Funktionsweisen, z. B. Abschaltmatrix oder Ursachen-Wirkungs-Diagramm,
  4. Messstellenlisten,
  5. Eignungsnachweise der eingesetzten Bauteile, z. B. Zertifikate, Sicherheitshandbücher, inklusive Gebrauchsdauern,
  6. Berechnungsunterlagen zum Nachweis der Ausfallsicherheit,
  7. Funktionsbeschreibung der relevanten Sicherheitsfunktionen,
  8. Stromlaufpläne,
  9. Logikpläne der sicherheitsgerichteten Steuerung (Funktionsschaltpläne) und Dokumentation der Checksumme,
  10. Prüfanweisungen, inklusive Beschreibung der Maßnahmen zur Aufdeckung nicht erkannter, gefährlicher Fehler (z. B. Überprüfung des Drifts von Sensoren).

B4.2 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der technischen Prüfung

(1) Der Arbeitgeber hat Art und Umfang erforderlicher Prüfungen zu ermitteln und festzulegen.

(2) Die Maßnahmen zur Durchführung der Prüfung der sicherheitsrelevanten MSR-Einrichtungen werden zwischen dem Arbeitgeber und der zur Prüfung befähigten Person oder der ZÜS abgestimmt. Diese Prüfung umfasst z. B.:

  1. Prüfung der in der Anlage eingebauten Komponenten (z. B. Einbaulage, -position, Prozessanbindung, Parametrierung von programmierbarer Sensorik/Aktorik, Absicherung gegen unbeabsichtigtes Verstellen),
  2. Prüfung der Schaltungen, der Sensoren und Aktoren entsprechend den Prüfanweisungen im Hinblick auf z. B. Einhaltung festgelegter Grenzwerte, Ansprechzeiten, bei Bedarf als integrale Funktionsprüfung über die gesamte Wirkkette bei repräsentativen Betriebsparametern,
  3. Kontrolle der Ausführung der Schrittketten/Funktionen in der speicherprogrammierbaren Steuerung,
  4. Feststellung und Dokumentation der Checksumme für wiederkehrende Prüfungen bzw. Vergleich mit der Checksumme der Ordnungsprüfung,
  5. Prüfung auf eindeutige Zuordenbarkeit der Komponenten zur Dokumentation.
  6. Bewertung der Gebrauchsdauer der eingebauten Komponenten.

(3) Die Prüfung erfolgt für die gesamte sicherheitsrelevante Kette (Sensor, Logik und Aktor) und kann nach Abstimmung mit der ZÜS oder der zur Prüfung befähigten Person auch in Teilschritten (Sensoren, Aktoren etc.) erfolgen, sofern damit die sichere Funktion der sicherheitsrelevanten MSR-Sicherheitseinrichtung nachgewiesen werden kann.

(4) Durch die Prüfungen dürfen keine Gefährdungssituationen entstehen. Können Gefährdungssituationen nicht verhindert werden, ist vom Arbeitgeber ein Arbeitsprogramm entsprechend Anhang 1 Nummer 5.1 BetrSichV zu erstellen. Die für die Prüfungen erforderlichen Veränderungen an den MSR-Einrichtungen, beispielsweise Simulationen, sind unmittelbar nach Abschluss der Prüfungen vor Inbetriebnahme zurückzunehmen.

B5 Wiederkehrende Prüfungen

(1) Im Rahmen der wiederkehrenden Prüfungen des Arbeitsmittels ist die Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtungen festzustellen (siehe hierzu Abschnitt 7). Die Prüfungen der sicherheitsrelevanten MSR-Einrichtungen können von den Intervallen bzw. von den Prüffälligkeiten für die wiederkehrenden Prüfungen des Arbeitsmittels nach Anhang 2 Abschnitt 4 Nummer 5.8 und 5.9 BetrSichV abweichen. Zu den wiederkehrenden Prüfungen des Arbeitsmittels müssen die Ergebnisse der Teilprüfungen der sicherheitsrelevanten MSR-Einrichtungen vorliegen.

(2) Die Prüfung der sicheren Funktion der sicherheitsrelevanten MSR-Einrichtungen hat mithilfe der erstellten schriftlichen Prüfanweisungen zu erfolgen und ist zu dokumentieren.

B5.1 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der Ordnungsprüfung

(1) Die zur Prüfung befähigte Person oder die ZÜS überprüft die Instandhaltung der sicherheitsrelevanten MSR-Einrichtungen anhand der vom Arbeitgeber vorgelegten Aufzeichnungen. Die Überprüfung umfasst dabei z. B.:

  1. Prüfung zur Änderung der Betriebsweise der Druckanlage nach Aussage des Arbeitgebers, z. B. durch
    a) Änderung von sicherheitsrelevanten Betriebsparametern (Druck, Temperatur),
    b) Änderung von Lastwechselparametern (z. B. infolge geänderter Produktionsabläufe),
    c) Änderungen von organisatorischen Maßnahmen,
    d) Änderung von Hilfsstoffen,
    e) andere Änderungen von Schutzmaßnahmen im Ergebnis der Gefährdungsbeurteilung,
  2. Vergleich der Checksumme des sicherheitsgerichteten Anwenderprogramms der speicherprogrammierbaren Steuerungen, um Softwareänderungen auszuschließen,
  3. Kontrolle der Aufzeichnungen auf Vollständigkeit und Plausibilität der Prüfungen, insbesondere der Einhaltung der Prüfzyklen entsprechend den Festlegungen des Arbeitgebers,
  4. Prüfung der erreichten Gebrauchsdauer gegenüber Herstellervorgaben/Vorgaben des Arbeitgebers für die sicherheitsrelevanten MSR-Einrichtungen.

(2) Zur Bewertung der Wirksamkeit von Schutzmaßnahmen gehört auch die Frage nach aufgetretenen sicherheitsrelevanten Abweichungen vom bestimmungsgemäßen Betrieb z. B. in Form von Eingriffen Unbefugter.

B5.2 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der technischen Prüfung

(1) Der Arbeitgeber hat seine Festlegungen zu der Art und dem Umfang erforderlicher Prüfungen bei der wiederkehrenden Überprüfung der Gefährdungsbeurteilung zu bewerten.

(2) Die Maßnahmen zur Durchführung der wiederkehrenden Prüfungen der sicherheitsrelevanten MSR-Einrichtungen werden zwischen dem Arbeitgeber und der zur Prüfung befähigten Person oder der ZÜS abgestimmt. Diese Prüfungen umfassen z. B.:

  1. Funktionsprüfung der Schaltungen, der Sensoren und Aktoren entsprechend den Prüfanweisungen als integrale Funktionsprüfungen über die gesamte Wirkkette bei repräsentativen Betriebsparametern oder in Teilschritten (Sensoren, Aktoren etc.), ggf. unter Berücksichtigung der Ergebnisse kontinuierlicher Diagnosesysteme,
  2. stichprobenweise Sichtprüfung der Sensoren, Aktoren und der Kabelverbindungen der sicherheitsrelevanten MSR-Einrichtungen auf z. B. Vorhandensein von Kennzeichnungen und offensichtlichen Beschädigungen sowie Prüfung der sicheren Anschlüsse der Teile der sicherheitsrelevanten MSR-Einrichtungen.

(3) Bei den wiederkehrenden Prüfungen kann die zur Prüfung befähigte Person oder die ZÜS Aufzeichnungen von betrieblichen Auslösungen durch sicherheitsrelevante MSR-Einrichtungen heranziehen. Die Bewertung von betrieblichen Auslösungen, integralen Funktionsprüfungen, Teilprüfungen oder Diagnoseergebnissen muss den Nachweis der sicheren Funktion der sicherheitsrelevanten MSR-Einrichtung zulassen.

B6 Beispiele

Die folgenden Beispiele stellen Schutzkonzepte für Druckanlagen unter Verwendung von MSR-Einrichtungen als technische Schutzmaßnahmen gemäß TRBS 2141 dar.

B6.1 Beispiel Rührreaktor

In diesem Beispiel wird das Schutzkonzept durch den Arbeitgeber festgelegt. Die zur Prüfung befähigte Person oder ZÜS prüft das Schutzkonzept auf Plausibilität und Vollständigkeit.

B6.1.1 Verfahrensbeschreibung

In einer Batchreaktion reagieren Stoff A und Stoff B unmittelbar während der Zugabe miteinander unter Bildung des Endproduktes. Dazu wird zunächst der Stoff A vorgelegt und der Stoff B (reaktionsfreudig) wird kontrolliert und gleichmäßig zugefahren, wobei er unter guter Durchmischung mit Stoff A zum Endprodukt reagiert (siehe Abbildung B1).

Abb. B1: Prinzipskizze der verfahrenstechnischen Einrichtungen und der steuerungstechnischen Zusammenhänge für das Beispiel Rührreaktor

B6.1.2 Festlegung und Umsetzung des Schutzkonzepts

(1) Im vorliegenden Fall ist das in der Gefährdungsbeurteilung ermittelte Schutzziel die Vermeidung einer unkontrollierten Durchgehreaktion.

(2) Folgende technische Schutzmaßnahmen werden vom Arbeitgeber festgelegt:

  1. Dosierung von Stoff B ist nur möglich, wenn der Rührer läuft, Erfassung der Rührerdrehzahl und Freigabe für Stoff B als sicherheitsrelevante MSR-Einrichtung,
  2. Dosierung (Menge und Dauer) von Stoff B ist außerdem nur möglich, wenn Stoff A in ausreichender Menge im Rührreaktor vorgelegt wurde, Erfassung der vorgelegten Masse Stoffstrom A und Freigabe Stoffstrom B als sicherheitsrelevante MSR-Einrichtung,
  3. Begrenzung des Massenstroms von Stoff B als Sicherheitseinrichtung durch eine Begrenzungsblende, um eine Akkumulation zu verhindern.

(3) Für die Schutzmaßnahmen Nummer 1 und 2 werden die Anforderungen an die Zuverlässigkeit der Sicherheitsfunktionen entsprechend Abschnitt 4.3 festgelegt.

B6.2 Beispiel Autoklav

(1) In diesem Beispiel wird das Schutzkonzept durch den Hersteller des Autoklavs festgelegt und die Umsetzung im Rahmen des Konformitätsbewertungsverfahrens für die Baugruppe nach Artikel 14 Absatz 6 der Druckgeräterichtlinie geprüft. Durch die zur Prüfung befähigte Person oder ZÜS wird geprüft, ob identische Betrachtungsgrenzen vorliegen und die Herstellerangaben in Bezug auf Aufstellung und Betriebsweise eingehalten werden.

(2) Der Autoklav im vorliegenden Beispiel wird nach DIN EN 285 oder DIN EN 13060 ausgeführt.

B6.2.1 Verfahrensbeschreibung

Zur Formgebung werden Ausgangsprodukte und eine Form in einen Autoklav eingebracht. Unter Zuführung von Sattdampf mit einer definierten Haltezeit erfolgt das Formgebungsverfahren. Nach dem Formgebungsprozess erfolgt das Öffnen des Schnellverschlusses mit anschließender Entladung von Endprodukt und Form.

B6.2.2 Festlegung und Umsetzung des Schutzkonzepts

(1) Schutzziel ist die Absicherung gegen unkontrollierte Druckentlastung während der Betriebsphase und beim Öffnen des Schnellverschlusses sowie des maximal zulässigen Betriebsdruckes des Autoklavs.

(2) Folgende technische Schutzmaßnahmen werden festgelegt:

  1. sichere Verriegelung des geschlossenen Schnellverschlusses für Betriebsbedingungen unter Überdruck größer 0,2 bar (ü),
  2. Absicherung des maximal zulässigen Betriebsüberdruckes von 12 bar (ü).

(3) Folgende sicherheitsrelevante MSR-Einrichtungen sind vorgesehen:

  1. Endlagenüberwachung, Überwachung Öffnungsdruck
    a) Schnellverschluss Endlagenüberwachung durch Schaltkontakte (Stößelschalter), zwei unabhängig voneinander wirkende Endlagenschalter,
    b) Sicherheitsdruckbegrenzer zur Überwachung der Öffnungsfreigabe für Mindestöffnungsdruck von 0,2 bar (ü), z. B. mittels Fangeinrichtung entsprechend AD 2000 A5 oder Türzuhaltung,
    c) Aktor: Endlagensignal und Drucküberwachung führen zur Öffnungsfreigabe (Freigabesignal aus der sicherheitsgerichteten Steuerung/SPS) des Verriegelungsmechanismus vom Schnellverschluss;
  2. Überwachung des maximal zulässigen Betriebsdruckes
    a) Sicherheitsdruckbegrenzer 12 bar (ü),
    b) Aktor: Unterbrechung der Dampfzufuhr mittels Schnellschlussventil (Magnetventil Sicherheitsstellung geschlossen).

B6.3 Beispiel Großwasserraumkessel

(1) Das Schutzkonzept stützt sich in diesem Beispiel auf ein anlagenspezifisches Regelwerk (z. B. DIN EN 12953 Teile 6 und 9, DIN EN 676, DIN EN 50156) ab, aus dem die Sicherheitsfunktionen ableitbar sind. Die Prüfung des Schutzkonzeptes durch die zur Prüfung befähigte Person oder ZÜS bezieht sich auf die Vollständigkeit der Umsetzung und auf die Festlegungen der Anforderungen an die Zuverlässigkeit dieser Sicherheitsfunktionen entsprechend Abschnitt 4.3.

(2) Sofern das überhitzungsgefährdete Druckgerät als Baugruppe einem Konformitätsbewertungsverfahren nach Artikel 14 Absatz 6 der Druckgeräterichtlinie unterzogen wird, beschränkt sich die Prüfung der zur Prüfung befähigten Person oder ZÜS auf Einhaltung der Aufstellungsbedingungen und die richtige Installation.

B6.3.1 Verfahrensbeschreibung

(1) In einem befeuerten Druckgerät (Kessel) erfolgt die Erzeugung von Sattdampf, der in ein Dampfnetz eingespeist wird und als Prozess- oder Heizdampf verwendet wird.

(2) Die Befeuerung erfolgt über einen nach Druckgeräterichtlinie baumustergeprüften Gasgebläsebrenner (ausgeführt nach DIN EN 676), der an einem Flammrohr angeordnet ist. Das Flammrohr dient als Feuerraumzug und ist gleichzeitig in einem umgebenden Wasser-/Dampfraum als Heizfläche ausgebildet. Die weitere Ableitung der durch die Feuerung entstehenden Rauchgase erfolgt in zwei weiteren Rauchrohrzügen mit Wendekammern, die ebenfalls den Wasser-/Dampfraum durchziehen. Durch die Beheizung erfolgt eine Drucksteigerung und Verdampfung innerhalb des Wasser-/Dampfraumes. Zur Kompensation des in das Dampfnetz eingespeisten Sattdampfes wird dem Wasser-/Dampfraum Speisewasser zugeführt.

(3) Das Verfahren erfordert folgende Regelkreise:

  1. Regelung des betrieblich erforderlichen Dampfdruckes im Wasser-/Dampfraum über die Leistungssteuerung (Steuerung der Brennstoffmenge) der Feuerung,
  2. Regelung der Luftzufuhr des Gasgebläsebrenners entsprechend der zugeführten Brennstoffmenge (Brennstoff/Luftverbund),
  3. Regelung des Wasserstandes im Wasser-/Dampfraum zur Bereitstellung von Kesselwasser für den Verdampfungsprozess.

(4) Die Entnahme des entstehenden Sattdampfes erfolgt ungeregelt über die Abnahme der an das Dampfnetz angeschlossenen Verbraucher.

B6.3.2 Festlegung und Umsetzung des Schutzkonzepts

(1) Das in der Gefährdungsbeurteilung unter Berücksichtigung der vorhandenen anlagenspezifischen technischen Regeln ermittelte Schutzziel ist die Vermeidung des Versagens von drucktragenden Wandungen aufgrund von:

  1. Drucksteigerungen im Wasser-/Dampfraum, die in der Auslegung des Druckgerätes nicht berücksichtigt sind,
  2. Überhitzung der druckbeaufschlagten Heizflächen (Flammrohr, Rauchrohre, Wendekammern) durch mangelnde Kühlung auf der Wasser-/Dampfseite,
  3. Korrosionen der drucktragenden Wandungen im Kessel und dem angeschlossenen Dampfnetz aufgrund von Sauerstoffeintrag, Salzfrachten und anderen korrosionsfördernden Kesselwassereigenschaften,
  4. Korrosionen im angeschlossenen Dampfnetz durch salzfrachtbedingte Schaumbildung bei der Verdampfung,
  5. erosiven Beschädigungen der Rohrwandungen infolge von Wasserschlägen im angeschlossenen Dampfnetz durch mitgerissenes Kesselwasser bei starker Dampfentnahme,
  6. Druckstößen durch Verpuffungen im Feuerraum durch mangelnde Brennstoffzündung beim Anfahren und im Betrieb oder Störung der Verbrennung durch mangelnde Luft- oder Brennstoffversorgung oder Rauchgasabführung.

(2) Folgende technische Schutzmaßnahmen werden auf der Grundlage der Anforderungen des anlagenspezifischen Regelwerkes als sicherheitsrelevante MSR-Einrichtungen, die über die Ansteuerung der selbsttätigen Brennstoffschnellschlussabsperreinrichtungen auf den Betrieb der Feuerung wirken, festgelegt:

  1. Freigabe vor dem Anfahren der Feuerung und Abschaltung und Verriegelung der Brennstoffzufuhr im Betrieb bei Ansprechen folgender sicherheitsrelevanter MSR-Einrichtungen (Kesselschutz):
    a) Wassermangelsicherung mittels Wasserstandelektrode für Wasserstand Min (Min-Wasserstandbegrenzer),
    b) Drucksensor für Max-Druck Wasser-/Dampfraum (Max-Druckbegrenzer),
    c) Kesselwasserleitfähigkeitsmessung (Max-Leitfähigkeitsbegrenzer),
    d) Betätigung Gefahrenschalter zur Abschaltung der Feuerung;
  2. Freigabe der Brennstoffzufuhr vor dem Anfahren und Betrieb der Feuerung durch Wirkung beispielsweise folgender sicherheitsrelevanter MSR-Einrichtungen:
    a) Abschluss einer definierten Vorbelüftung (Luftwechsel) des Feuerraumes und der Rauchgaswege bis zum Eintritt Kamin,
    b) Ventilüberwachungssystem (z. B. nach DIN EN 1643) zur Feststellung von inneren Leckraten zur Überprüfung des wirksamen Schließens der Brennstoffschnellschlussabsperreinrichtungen oder eine mittels MSR-Einrichtung umgesetzte Dichtheitskontrolle,
    c) Stellungsüberwachung von Absperreinrichtungen im Rauchgasweg zur Sicherstellung des freien Rauchgasweges,
    d) Drucküberwachung der Verbrennungsluft (Min-Druckwächter),
    e) Gasdrucküberwachung (Min-/Max-Drucküberwachung),
    f) Flammenüberwachungseinrichtung, z. B.:
    • Fremdlichtüberwachung vor dem Anfahren (während Vorbelüftung),
    • Überwachung des Vorhandenseins einer Flamme im Betrieb.

(3) Die vorgenannten sicherheitsrelevanten MSR-Einrichtungen können nach Produktnorm typgeprüfte Geräte ausgeführt werden, was in der Folge zu unterschiedlichen Architekturen führen kann.

B6.4 Beispiel Kälteverdichteranlage

In diesem Beispiel wird das Schutzkonzept durch den Hersteller der Kälteverdichteranlage festgelegt und die Umsetzung im Rahmen des Konformitätsbewertungsverfahrens nach Artikel 14 Absatz 6 der Druckgeräterichtlinie geprüft. Dabei wird sich auf anlagenspezifisches Regelwerk (z. B. DIN EN 378) abgestützt. Durch die zur Prüfung befähigte Person oder ZÜS wird geprüft, ob identische Betrachtungsgrenzen vorliegen und die Herstellerangaben in Bezug auf Betriebsweise und Aufstellung insbesondere im Hinblick auf das Freisetzen von Kältemitteln eingehalten sind.

B6.4.1 Verfahrensbeschreibung

(1) Mithilfe eines Verdichters wird ein Kältemittel mit einem Saugdruck P1 von 2 bar (ü) verdichtet. Der maximal mögliche Enddruck des Verdichters ist größer als 16 bar (ü). Der angeschlossene Druckbehälter hat einen maximalen Auslegungsdruck von PS = 16 bar (siehe Abbildung B2).

Abb. B2: Prinzipskizze der verfahrenstechnischen Einrichtungen und der steuerungstechnischen Zusammenhänge für das Beispiel Kälteverdichteranlage

(2) Das Überströmventil ist auf 16 bar (ü) eingestellt und hat keine Zulassung als Sicherheitsventil. Der Verdichter steht in unmittelbarer Nähe zu einer Produktionshalle, in der sich ständig Beschäftigte aufhalten.

(3) In diesem Beispiel wird davon ausgegangen, dass der Verdichter selbst als ausreichend abgesichert gilt (entspricht den Anforderungen der Maschinenrichtlinie) und deshalb nicht näher zu betrachten ist.

B6.4.2 Festlegung und Umsetzung des Schutzkonzepts

(1) Im Rahmen der Gefährdungsbeurteilung des Arbeitgebers wurde als ein Schutzziel der Schutz vor Bersten der drucktragenden Wandung definiert. Um ein Bersten der drucktragenden Wandung des Behälters zu vermeiden, soll der Enddruck des Verdichters überwacht werden. Vor Überschreiten des zulässigen Druckes soll das Ventil V1 schließen.

(2) Folgende technische Schutzmaßnahmen werden vom Arbeitgeber festgelegt:

  1. Erfassung des Verdichterenddruckes,
  2. Absperren der Medienzuführung zum Behälter.

(3) Die Auslegung der sicherheitsrelevanten MSR-Einrichtung ist so auszuführen, dass die Anforderungen der Druckgeräterichtlinie (insbesondere Anhang I Nummer 2.11. als Ausrüstungsteil mit Sicherheitsfunktion) erfüllt werden. Hierbei sind fehlerbeherrschende Maßnahmen vorzusehen, damit ein Fehler nicht zum Verlust der sicherheitsrelevanten MSR-Einrichtung führen kann (siehe z. B. DIN EN 764-7).

(4) Das Schutzkonzept kann wie folgt umgesetzt werden:

  1. Realisierung mit Geräten, welche nach Produktnorm typgeprüft sind (diskreter Aufbau):
    a) Einsatz eines Sicherheitsdruckbegrenzers (z. B. nach DIN EN 1854),
    b) Einsatz eines baumustergeprüften Ventils (Sicherheitsstellung geschlossen),
    c) Verdrahtung erfolgt im Ruhestromprinzip, Hilfsschütze werden mittels Fehlerausschlussverfahren ausgewählt (z. B. nach DIN EN 50156-1 Abschnitt 10.5.5)

oder

  1. Realisierung mit Geräten, welche nach Normen zur funktionalen Sicherheit (z. B. DIN EN 61508) entwickelt und für den Anwendungsfall geeignet sind:
    a) Einsatz von z. B. Drucktransmittern,
    b) Einsatz einer fehlersicheren Steuerung,
    c) Einsatz eines geeigneten Ventils (Sicherheitsstellung geschlossen),
    d) Verdrahtung erfolgt im Ruhestromprinzip,
    e) Hilfsschütze werden mittels Fehlerausschlussverfahren ausgewählt (z. B. nach DIN EN 50156-1 Abschnitt 10.5.5).

Die vorgenannten Umsetzungsvarianten nach den Nummern 1 oder 2 können zu unterschiedlichen Architekturen führen.