4 Technische Ausführung der Ex-Einrichtung

(1) Die anhand der erforderlichen Klassifizierungsstufen festgelegte Zuverlässigkeit kann auf unterschiedliche Weise realisiert werden. Bei der Bewertung der Klassifizierungsstufe einer Ex-Einrichtung ist immer die gesamte Kette (Sensor/Signalverarbeitung/Aktor) zu betrachten.

(2) Werden Methoden der funktionalen Sicherheit eingesetzt, sind die in Abschnitt 4.1 dargestellten Anforderungen entsprechend der angegebenen technischen Standards der funktionalen Sicherheit umzusetzen. Die Anforderungen an die Zuverlässigkeit von Ex-Einrichtungen werden durch diese Umsetzung erfüllt.

(3) Die Umsetzung kann alternativ auch nach der in Abschnitt 4.2 beschriebenen Vorgehensweise dieser TRGS erfolgen.

4.1 Technische Ausführung der Ex-Einrichtung mit Methoden der funktionalen Sicherheit

(1) Erfolgt die Bewertung der Ex-Einrichtung nach den Methoden der funktionalen Sicherheit, z. B. entsprechend der DIN EN 61511-1:2019, der DIN EN 62061 (VDE 0113-50):2016, der DIN EN ISO 13849-1:2016 oder der DIN EN ISO 80079-37:2016, können den Ex-Einrichtungen entsprechend Tabelle 3 die folgenden Klassifizierungsstufen zugeordnet werden:

Tabelle 3: Anforderungen an die funktionale Sicherheit in Abhängigkeit von der Klassifizierungsstufe

Zugrunde
liegende Norm		 Anforderung für Klassifizierungsstufe
K3 K2 K1
DIN EN 61511 SIL1 3 SIL1 2 PLT-Betriebseinrichtung als
Schutzebene oder SIL1 1
DIN EN 62061 SIL1 3 SIL1 2 SIL1 1
DIN ISO 13849-1 PL2 e PL2 d PL2 c, b3
DIN ISO 80079-374 b2 b1
VDI/VDE 2180 SIL1 3 SIL1 2 PLT BS5 oder SIL1 1

1 SIL, Safety Integrity Level
2 PL, Performance Level
Der Performance Level beschreibt die Anforderungen an die funktionale Sicherheit der sicherheitstechnischen Funktionen, wobei der Performance Level e den höchsten Grad der Sicherheitsintegrität, der Performance Level b den niedrigsten darstellt.
3 nach DIN EN ISO 13849-1: Kategorie B oder 1, MFTT mittel
4 Zündquellenüberwachung
5 Betriebseinrichtung mit Sicherheitsfunktion

(2) Für Ex-Einrichtungen, die nach den Methoden der funktionalen Sicherheit ausgeführt werden, sind die Vorgaben der funktionalen Sicherheit der einschlägigen Normen (vgl. Literaturverzeichnis TRBS 1115) für die jeweilige Ex-Einrichtung einzuhalten. Kommen unterschiedliche Normen bei der Auslegung in einer Ex-Einrichtung zur Anwendung, ist die Zusammenschaltung der Funktionseinheiten im Rahmen der Gefährdungsbeurteilung zu bewerten.

(3) Innerhalb einer Ex-Anlage können auch unterschiedliche Methoden der funktionalen Sicherheit zur Umsetzung unterschiedlicher Ex-Einrichtungen verwendet werden.

(4) Ex-Einrichtungen sind vor erstmaliger Inbetriebnahme sowie vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen im Rahmen der Prüfung der Explosionssicherheit und wiederkehrend nach Anhang 2 Abschnitt 3 BetrSichV zu prüfen. Nähere Information hierzu siehe auch TRBS 1115.

4.2 Technische Ausführungen von Ex-Einrichtungen, die im Sinne dieser TRGS bewertet werden

4.2.1 Allgemeines

(1) Eine Ex-Einrichtung setzt sich aus einer oder mehreren Funktionseinheiten zusammen, die in der Gesamtheit die festgelegte Klassifizierungsstufe erfüllen müssen. Funktionseinheiten können einfach oder komplex sein.

(2) In Abhängigkeit der nach Abschnitt 3 ermittelten Zuverlässigkeit werden an die technische Ausführung der Ex-Einrichtung unterschiedliche Anforderungen gestellt (s. Tabelle 4). Als hinsichtlich ihrer Zuverlässigkeit geeignet können auch Funktionseinheiten angesehen werden, für die der Hersteller der Funktionseinheit eine entsprechende SIL capability nach DIN EN 61508 bzw. ein SIL claim limit nach DIN EN 62061 oder einen Performance Level (PL) nach DIN EN ISO 13849-1 bescheinigt hat. Die Anforderungen an die Ex-Einrichtung nach Tabelle 4 bleiben hiervon unberührt.

(3) Die Zuverlässigkeit der Funktionseinheiten ist durch geeignete Maßnahmen zur Fehlervermeidung oder Fehlerbeherrschung sicherzustellen. Dabei sind die Betriebsbedingungen und vorgesehenen Wartungen oder Kontrollen zu beachten. Dies wird durch die Berücksichtigung der allgemeinen Anforderungen nach Anhang 2 erreicht.

(4) Die Anforderungen an die Umsetzung von Klassifizierungsstufen sind in Tabelle 4 festgelegt.

Tabelle 4: Anforderungen an die Ex-Einrichtung bzw. Funktionseinheit.

Klassifizierungsstufe K3 K2 K1
erforderliche Fehlersicherheit

Hardwarefehlertoleranz (HFT)		 Zweifehlersicherheit
(HFT = 2; 1oo3)1		 Einfehlersicherheit
(HFT = 1; 1oo2 oder
2oo3)1		 Im Normalbetrieb sicher
(HFT = 0; 1oo1)

1 Bei Nachweis der Betriebsbewährtheit/Betriebsbewährte Technik (siehe Anhang 3) kann hier die HFT um eine Stufe reduziert werden (HFT = 1; 1oo2 oder 2oo3 statt HFT = 2 bzw. HFT = 0; 1oo1 statt HFT = 1).

4.2.2 Technische Ausführung von Ex-Einrichtungen mit einer Klassifizierungsstufe K1

(1) Bei Verwendung einfacher Funktionseinheiten kann von einer ausreichenden Zuverlässigkeit der Ex-Einrichtung ausgegangen werden, wenn

  1. bewährte und zuverlässige Installationstechnik verwendet wird,
  2. Auswahl, Kombination, Anordnung, Zusammenbau und Einbau von Bauteilen unter Berücksichtigung der Anwendungshinweise der Hersteller erfolgt und
  3. Erfahrungen mit gleichen oder ähnlichen Bauteilen vorliegen.

(2) Beim Einsatz komplexer Funktionseinheiten kann von einer ausreichenden Zuverlässigkeit der Ex-Einrichtung ausgegangen werden, wenn die nachfolgenden Anforderungen eingehalten sind:

  1. Erfüllung einschlägiger MSR-Industriestandards für den Zusammenbau der Bauteile,
  2. Eignung für den Einsatzfall (z. B. umgebungs- und stoffbedingte Einflussgrößen, applikative Eignung, branchenbewährte Technik),
  3. Positive Erfahrung im Betriebseinsatz, z. B. durch Verwendung bewährter Technik oder durch Einsatz betriebsbewährter Geräte,
  4. Wartung und Inspektion im Rahmen eines Prüfkonzeptes durch Fachpersonal im Sinne von § 10 Absatz 2 BetrSichV und
  5. Verfolgung von Fehlern und Störungen der Ex-Einrichtung und soweit erforderlich Ableitung von Korrekturmaßnahmen.

Ein quantitativer Nachweis der Zuverlässigkeit (z. B. rechnerischer Nachweis) solcher Installationen ist nicht erforderlich. Eine einkanalige Ausführung ist ausreichend.

(3) Sofern Prozessleitsysteme (PLS) oder speicherprogrammierbare Steuerungen (SPS) Teil einer Ex-Einrichtung sind, müssen mindestens nachfolgende Aspekte berücksichtigt werden:

  1. Es sind PLS/SPS und Feldgeräte einzusetzen, die die für betriebliche Aufgaben der Prozessindustrie erforderliche Eignung besitzen.
  2. Beim PLS/SPS werden zentrale Risiken und PLT-Stellenspezifische Risiken betrachtet.
  3. Zentrale Risiken betreffen das gesamte PLS/SPS oder wesentliche Teile davon. Die möglichen Auswirkungen dieser Risiken können mehrere PLT-Stellen gleichzeitig betreffen. Zu diesen Risiken gehören beispielsweise:
    a) Ausfall zentraler Hardwarekomponenten (Prozessoren, Kommunikationsschnittstellen),
    b) Spannungsausfall,
    c) Programmierfehler,
    d) Cyberbedrohung.

(4) Für PLS/SPS sind die zentralen Risiken zu betrachten und, soweit erforderlich, durch Festlegung von technischen und organisatorischen Maßnahmen zu minimieren. Für eine ausreichende Zuverlässigkeit ist es hinreichend, wenn insbesondere folgende Randbedingungen gegeben sind:

  1. Betreuung und Überwachung des PLS/SPS durch gemäß BetrSichV (vgl. auch TRBS 1115 3.3.1 Absatz 1 Satz 2) fachkundige und durch den Arbeitgeber für die Aufgabe beauftragte Personen,
  2. Zugriffsschutz, d. h. Änderungsmöglichkeit nur für durch den Arbeitgeber für die Aufgabe beauftragte Personen,
  3. Maßnahmen der Informationssicherheit für das PLS liegen vor,
  4. Management zur Durchführung und Prüfung von Änderungen (Management of Change) liegt vor,
  5. Ständige betriebliche Verwendung des PLS, wodurch die Beobachtung des PLS gewährleistet ist,
  6. Geräte gehen bei Energieausfall in einen vordefiniert sicheren Zustand.

(5) PLT-Stellen-spezifische Risiken betreffen Hardware bzw. Softwarefehler einzelner PLT-Stellen. Das Auftreten von Hardwarefehlern wird auf Grund der Verwendung von im Betrieb eingesetzter Komponenten und der vorliegenden Betriebserfahrung als ausreichend selten eingestuft. Fehler bei der Herstellung oder Änderung der Anwendersoftware werden ausreichend vermieden, wenn insbesondere folgende Randbedingungen gegeben sind:

  1. dokumentierte Spezifikation der Ex-Einrichtungen im Sinne des Explosionsschutzes, z. B. im Explosionsschutzdokument oder einer Verriegelungsmatrix,
  2. dokumentierte Prüfungen vor Inbetriebnahme und wiederkehrende Prüfungen oder Kontrollen von MSR-Einrichtungen im Sinne des Explosionsschutzes,
  3. festgelegte Vorgehensweise zur Autorisierung und Durchführung von Änderungen und Erstellung der Software ("Management of Change") mit Aktualisierung der Dokumentation und Durchführung geeigneter Tests (z. B. innerhalb des Anlagenänderungsprozesses).

(6) Anwendungsbeispiel zur Realisierung der Klassifizierungsstufe K1:

  1. Der Aufbau der Ex-Einrichtung aus mehreren Funktionseinheiten muss einfach und nachvollziehbar sein. Die unter Abschnitt 4.2.2 Absatz 1 und 2 aufgeführten Anforderungen sind durch den Arbeitgeber bei der Auswahl zu gewährleisten.
  2. Die Funktionseinheiten Sensor, Signalverarbeitung und Aktor haben die in den Blöcken eingetragene Klassifizierungsstufe (s. Abbildung 9) und sind funktional voneinander abhängig (jedes Element ist notwendig, damit die Sicherheitsfunktion ausgeführt wird). Die Ex-Einrichtung hat eine Klassifizierungsstufe von K1.

Eine Ex-Einrichtung (K1)

Abbildung 9: Ex-Einrichtung in der Klassifizierungsstufe K1; Reihenschaltung der Funktionseinheiten Sensor (K2), Verarbeitung (K1) und Aktor (K1).

Abbildung 9: Ex-Einrichtung in der Klassifizierungsstufe K1; Reihenschaltung der Funktionseinheiten Sensor (K2), Verarbeitung (K1) und Aktor (K1)

4.2.3 Technische Ausführung von Ex-Einrichtungen zur Erfüllung der Klassifizierungsstufen K2 oder K3

(1) Für einfache Funktionseinheiten in Ex-Einrichtungen mit erhöhter Zuverlässigkeit (hoch oder dauerhaft sichergestellt) gelten die Anforderungen von Abschnitt 4.2.2 analog.

Beispiel: Ex-Einrichtung der Klassifizierungsstufe K2 mit betriebsbewährten Komponenten

Eine Ex-Einrichtung (K2)

Abbildung 10: Ex-Einrichtung in der Klassifizierungsstufe K2 – Reihenschaltung der Funktionseinheiten Sensor (K2), Verarbeitung (K2) und Aktor (K2).

Abbildung 10: Ex-Einrichtung in der Klassifizierungsstufe K2 – Reihenschaltung der Funktionseinheiten Sensor (K2), Verarbeitung (K2) und Aktor (K2)

Wenn die Ex-Einrichtung der Abbildung 10: Ex-Einrichtung in der Klassifizierungsstufe K2 – Reihenschaltung der Funktionseinheiten Sensor (K2), Verarbeitung (K2) und Aktor (K2). die Klassifizierungsstufe K2 erfüllen soll, müssen die Funktionseinheiten Sensor, Verarbeitung und Aktor jedes für sich die Klassifizierungsstufe K2 erfüllen. Dies ist möglich durch Verwendung von Funktionseinheiten, deren Zuverlässigkeit mindestens als "hoch" festgelegt wurde.

(2) Komplexe Funktionseinheiten der Klassifizierungsstufen K2 und K3 können nur verwendet werden, wenn diese durch den Hersteller oder durch den Arbeitgeber hinsichtlich ihrer Zuverlässigkeit bewertet sind. Informationen zur Bewertung der Signalverarbeitung können Anhang 2 entnommen werden, Hinweise zur Betriebsbewährung von Sensoren und Aktoren finden sich in Anhang 3.

(3) Wird bei komplexen Ex-Einrichtungen die geforderte Zuverlässigkeit durch die Ex-Einrichtung in Gänze oder in Teilen nicht unmittelbar erreicht, kann die Zuverlässigkeit durch zusätzliche Ex-Einrichtungen, wie beispielsweise vollständige oder teilweise Redundanz, erhöht werden (s. Abbildung 11).

Ex-Einrichtung (K2)

Abbildung 11: Zwei Ex-Einrichtungen der Klassifizierungsstufe K1 (unabhängige Redundanz) und einer resultierenden Klassifizierungsstufe 2.

Abbildung 11: Zwei Ex-Einrichtungen der Klassifizierungsstufe K1 (unabhängige Redundanz) und einer resultierenden Klassifizierungsstufe 2

(4) Erfüllen nicht alle Funktionseinheiten die Klassifizierungsstufe K2, kann durch Redundanz dieser Funktionseinheiten die Zuverlässigkeit verbessert werden. Indem zu den Elementen "Verarbeitung" und "Aktor" jeweils ein redundantes funktionsidentisches Element geschaltet wird oder indem zu den Elementen "Verarbeitung" und "Aktor" ein gemeinsames Element parallelgeschaltet wird, welches die Funktion der Elemente Verarbeitung und Aktor übernimmt. Letzterer Fall ist in der Abbildung 12 dargestellt und kann wie in Abbildung 13 und Abbildung 14 zusammengefasst werden. Die Zusammenfassungen von Funktionseinheiten verdeutlichen die Anwendung der Tabelle 5 (die Ex-Einrichtung erfüllt die Klassifizierungsstufe K2).

Eine Ex-Einrichtung (K2)

Abbildung 12: Ex-Einrichtung der Klassifizierungsstufe K2 – Reihenschaltung der Funktionseinheit Sensor (a: K2) mit Parallelschaltung von Funktionseinheiten Verarbeitung (b/d: K1) und Aktor (c/e: K1) in einer aktiven Redundanz.

Abbildung 12: Ex-Einrichtung der Klassifizierungsstufe K2 – Reihenschaltung der Funktionseinheit Sensor (a: K2) mit Parallelschaltung von Funktionseinheiten Verarbeitung (b/d: K1) und Aktor (c/e: K1) in einer aktiven Redundanz

Eine Ex-Einrichtung (K2)

Abbildung 13: Ex-Einrichtung der Abbildung 12 mit der Zusammenfassung der Funktionseinheiten Verarbeitung (K1) und Aktor (K1) zu einer gemeinsamen Funktionseinheit (Verarbeitung + Aktor: b+c bzw. d+e).

Abbildung 13: Ex-Einrichtung der Abbildung 12 mit der Zusammenfassung der Funktionseinheiten Verarbeitung (K1) und Aktor (K1) zu einer gemeinsamen Funktionseinheit (Verarbeitung + Aktor: b+c bzw. d+e)

Eine Ex-Einrichtung (K2)

Abbildung 14: Ex-Einrichtung der Abbildung 13 mit der Zusammenfassung der Funktionseinheiten (Verarbeitung + Aktor: b/c und d/e) nach Tabelle 5 zu einer gemeinsamen Funktionseinheit (b + c)//(d+e) mit der Klassifizierungsstufe K2.

Abbildung 14: Ex-Einrichtung der Abbildung 13 mit der Zusammenfassung der Funktionseinheiten (Verarbeitung + Aktor: b/c und d/e) nach Tabelle 5 zu einer gemeinsamen Funktionseinheit (b + c)//(d+e) mit der Klassifizierungsstufe K2

Beispiele für derartige Fälle finden sich in Abbildung 15 und Abbildung 16.

Ex-Einrichtung (K2)

Abbildung 15: Ex-Einrichtung mit Klassifizierungsstufe K2 (bei Realisierung in einem gemeinsamen Prozessleitsystem unter Berücksichtigung von Abschnitt 4.2.3 Absatz 6).

Abbildung 15: Ex-Einrichtung mit Klassifizierungsstufe K2 (bei Realisierung in einem gemeinsamen Prozessleitsystem unter Berücksichtigung von Abschnitt 4.2.3 Absatz 6)

Ex-Einrichtung (K2)

Abbildung 16: Ex-Einrichtung mit Klassifizierungsstufe K2 (bei Realisierung in einem gemeinsam Prozessleitsystem unter Berücksichtigung von Abschnitt 4.2.3 Absatz 6).

Abbildung 16: Ex-Einrichtung mit Klassifizierungsstufe K2 (bei Realisierung in einem gemeinsam Prozessleitsystem unter Berücksichtigung von Abschnitt 4.2.3 Absatz 6)

(5) Erfolgt die Umsetzung von zwei oder drei Klassifizierungsstufen durch redundante Ex-Einrichtungen, müssen diese grundsätzlich unabhängig sein. Abweichungen hiervon sind nur dann zulässig, wenn dies in der Gefährdungsbeurteilung nach § 6 Absatz 9 GefStoffV (Explosionsschutzdokument) begründet wird.

Tabelle 5: Resultierende Klassifizierungsstufe bei redundanten Ex-Einrichtungen

Klassifizierungsstufe einer
Ex-Einrichtung		 Klassifizierungsstufe der zweiten
Ex-Einrichtung		 Resultierende Klassifizierungsstufe
K11 K11 K22
K2 K11 K33,4

1 Eine Ausführung in bewährter Technik nach Anhang 2 ist ausreichend.
2 Mit zwei Ex-Einrichtungen kann unter Verwendung eines gemeinsamen Prozessleitsystems (PLS) die Klassifizierungsstufe K2 erreicht werden, wenn die unter Abschnitt 4.2.3 Absatz 6 beschriebenen Anforderungen erfüllt sind.
3 Klassifizierungsstufe K3 ist durch Bildung einer Kombination von einer Ex-Einrichtung mit maximal einer weiteren Ex-Einrichtung in Ausführung in bewährter Technik nach Anhang 2 zulässig.
4 Klassifizierungsstufe K3 ist allein durch eine Kombination von Maßnahmen im Prozessleitsystem (PLS) nicht möglich.

(6) Bei der Umsetzung einer Ex-Einrichtung mit der Klassifizierungsstufe K2 in einem Prozessleitsystem (PLS) muss das Leitsystem nicht redundant ausgeführt sein (s. a. Abbildung 15 bis 17), wenn die Gefährdungsbeurteilung nach Abschnitt 3.2 unter Verwendung der TRGS 720 bis TRGS 724 ergeben hat, dass

  1. die Wahrscheinlichkeit eines Ausfalls gemeinsamer Komponenten als ausreichend selten eingestuft wurde,
  2. eine Explosion nicht unmittelbar durch einen undefinierten Zustand des PLS ausgelöst werden kann (das bedeutet, dass das Fehlverhalten des PLS eine Explosion nicht kausal nach sich zieht),
  3. der sichere Zustand bei zentralem Ausfall des PLS in ausreichend kurzer Zeit durch technische oder organisatorische Eingriffe wiederherzustellen ist und
  4. betriebsmäßige Zündquellen (Zündquellen im Normalbetrieb) nach dem Stand der Technik ausgeschlossen sind.

(7) Zusätzlich zu den Anforderungen nach Anhang 2 Absatz 7 muss für das PLS hierzu in der Gefährdungsbeurteilung festgestellt worden sein, dass

  1. ein zentraler Ausfall des PLS entsprechend 4.2.2. Absatz 4 bewertet und die dort beschriebenen Maßnahmen zur Entdeckung umzusetzen sind,
  2. der Ausfall gemeinsam genutzter Komponenten des PLS erkannt wird und Korrekturmaßnahmen ergriffen werden und
  3. ein unbeabsichtigtes Ändern der Ex-Einrichtungen nach dem Stand der Technik verhindert wird.

Ex-Einrichtung (K2)

Abbildung 17: Ex-Einrichtung der Klassifizierungsstufe K2 bei Realisierung als redundante Einrichtungen in einem gemeinsamen Prozessleitsystem.

Abbildung 17: Ex-Einrichtung der Klassifizierungsstufe K2 bei Realisierung als redundante Einrichtungen in einem gemeinsamen Prozessleitsystem

4.2.4 Technische Ausführung von Ex-Einrichtungen, die in Teilen abhängig sind

(1) Eine abhängige Ex-Einrichtung nutzt Elemente der redundanten Ex-Einrichtung (z. B. Mehrfachbenutzung von Sensor 1 in Abbildung 15).

(2) Im Falle der abhängigen Funktionseinheiten sind höhere Anforderungen an die Zuverlässigkeit der abhängigen Funktionseinheiten (in Abbildung 18: an den Sensor 1) oder an die Prüffrist zu stellen. Abhängige Funktionseinheiten müssen in einer Zuverlässigkeitsstufe höher ausgeführt sein, als dies bei unabhängigen Funktionseinheiten erforderlich wäre (s. Tabelle 4). Alternativ ist die Prüffrist so zu wählen, dass der Ausfall der Ex-Einrichtung so rechtzeitig erkannt wird, dass Maßnahmen zur Aufrechterhaltung der Sicherheit getroffen werden können. Die Anforderungen an eine veränderte Prüffrist ist in der Gefährdungsbeurteilung zu dokumentieren. Anforderungen für erhöhte Anforderungen an Leitsysteme sind in 4.2.3 Absatz 6 beschrieben.

Eine Ex-Einrichtung (K1)

Abbildung 18: Ex-Einrichtung mit einem abhängigen Sensor.

Abbildung 18: Ex-Einrichtung mit einem abhängigen Sensor

(3) Für Funktionseinheiten, die im Betriebskonzept auch hinsichtlich des Explosionsschutzes verwendet werden, sind keine erhöhten Anforderungen notwendig. Satz 1 gilt nur dann, wenn der Prozess bei Ausfall der Funktionseinheiten nicht in einen unsicheren Zustand übergeht. Dies ist z. B. der Fall, wenn ein Ausfall erkannt wird, bevor gefahrbringende, explosionsschutzrelevante Abweichungen auftreten.