Anhang 2
Maßnahmen zur Erkennung, Vermeidung oder Beherrschung des Ausfalls von Ex-Einrichtungen
(1) Falls für die ordnungsgemäße Funktion der Ex-Einrichtung das Vorhandensein oder die Vorhaltung von Hilfsenergien (z. B. elektrische Energie) oder Hilfsmedien (z. B. Inertgase oder Druckluft) erforderlich sind, so ist bei Ausfall derselben die dafür festgelegte Sicherheitsfunktion auszuführen.
(2) Grundsätzlich sind bei der Realisierung der Ex-Einrichtung bewährte Sicherheitsprinzipien anzuwenden, wie:
- Verwendung bewährter und zuverlässiger Installationstechnik,
- geeignete Auswahl, Kombination, Anordnungen, Zusammenbau und Einbau der Bauteile durch Berücksichtigung der Anwendungshinweise der Hersteller sowie von Erfahrungen mit ähnlichen Bauteilen,
- übersichtlicher und einfacher Aufbau der Ex-Einrichtung, geringere Anzahl von Bauteilen,
- Begrenzung von Fehlerauswirkungen durch z. B.
a)
| hochohmige Entkopplung oder
|
b)
| Kurzschlussfestigkeit oder
|
c)
| galvanische Trennung,
|
- Anwendung des Ruhestrom- bzw. Ruhesignalprinzips für Signalleitungen,
- Grenzwertveränderungen oder Änderungen an der Logik erfolgen nur durch autorisierte Personen,
- Toleranz der Ex-Einrichtung gegen Abweichungen der Hilfsenergieversorgung (z. B. Steuerluft, elektrische Versorgung usw.); Abweichungen über die für die Versorgung der Geräte zulässigen Grenzwerte hinaus, dürfen keinen Fehler in der Ex-Einrichtung zur Folge haben z. B. durch
a)
| entsprechende Eigenschaften der Geräte selbst oder
|
b)
| Sicherstellung der Hilfsenergieversorgung durch z. B. Redundanzen oder
|
c)
| automatische Überwachung der Hilfsenergieversorgung mit Melden und Auslösen der Schutzfunktion,
|
- Vermeidung von Fehlern gemeinsamer Ursache in redundanten Ex-Einrichtungen.
(3) Ex-Einrichtungen dürfen nach Auslösung nicht automatisch zurückgesetzt werden, es sei denn in der Gefährdungsbeurteilung ist etwas Anderes festgelegt.
(4) Sofern manuelle Absperreinrichtungen an Prozessanschlüssen von Ex-Einrichtungen vorhanden sind, muss deren Fehlstellung erkannt werden und zu Maßnahmen führen oder der Stellungszustand muss leicht erkennbar und gegen unbeabsichtigtes Schließen (z. B. durch Sperrhülsen, Kette und Schloss oder durch Entfernen von Handrädern) gesichert sein.
(5) Ex-Einrichtungen müssen grundsätzlich unabhängig von betrieblichen Mess-, Steuer- und Regeleinrichtungen sein, wenn diese als Teil des Betriebskonzeptes zur Festlegung von Anforderungen an diese Ex-Einrichtung verwendet werden. Dies betrifft in der Regel einzelne Funktionseinheiten, im Einzelfall auch ganze Ex-Einrichtungen.
(6) Das Signal zur Auslösung der Sicherheitsfunktion muss stets Vorrang vor den Signalen der Betriebseinrichtung haben.
(7) Steuerungen und Prozessleitsysteme (PLS) können als komplexe Systeme für die Klassifizierungsstufe K1 eingesetzt werden, wenn für diese die folgenden Bedingungen erfüllt sind:
- Es dürfen nur Steuerungen oder PLS von Herstellern eingesetzt werden, die ein geeignetes Qualitätssicherungssystem betreiben (z. B. inkl. Änderungsmanagement des Herstellers für Hard- und Systemsoftware).
- Die Systeme haben sich in Standardanwendungen des Arbeitgebers oder vergleichbaren Anwendungen bewährt und entsprechen dem Stand der Technik.
- Das System hat eine dokumentierte Spezifikation, in der die grundlegenden Systemkomponenten und Bibliotheken beschrieben sind.
- Für die Erstellung oder Änderung der Anwendersoftware ist geeignet qualifiziertes Personal einzusetzen. Zur Ausführung der Ex-Einrichtung im PLS sind die Anforderungen nach Abschnitt 4.2.2 zu berücksichtigen.
- Ex-Einrichtungen sind grundsätzlich mit separaten Softwaremodulen übersichtlich zu programmieren. Deren Funktionen müssen gegenüber Betriebseinrichtungen stets Vorrang haben und sind als solche in der Funktionsspezifikation festzulegen.
- Funktional zusammenhängende Ex-Einrichtungen sollen nicht auf gleichen Eingangs- und Ausgangskarten liegen. Vorhandene Diagnose-Eigenschaften, z. B. bei Feldgeräten, sind grundsätzlich zu verwenden.
- Funktionseinheiten der Ex-Einrichtung im Leitsystem müssen grundsätzlich unabhängig von betrieblichen Mess-, Steuer- und Regeleinrichtungen sein, wenn diese als Teil des Betriebskonzeptes zur Festlegung von Anforderungen an die Ex-Einrichtung verwendet werden.
- Die Anwendersoftware ist vom Betreiber mit ihrem Stand zu dokumentieren, soweit die Änderung für die Ex-Einrichtung relevant ist.
- Der Arbeitgeber verfügt über ein Änderungsmanagement für alle Änderungen in der Hard- und Software mit Freigabe zur Änderung sowie genehmigter Spezifikation und anschließender dokumentierter Prüfung, soweit sie die Ex-Einrichtungen betreffen.
- Das für Änderungen und Instandhaltungen eingesetzte Personal hat eine geeignete Qualifikation. Dieses beinhaltet technisches Wissen, Ausbildung und Erfahrung bezogen auf
a)
| die verfahrenstechnische Anwendung,
|
b)
| die eingesetzte PLS-Technologie,
|
c)
| Sensoren und Aktoren.
|
(8) Für eine nicht redundante Funktionseinheit mit der Klassifizierungsstufe K2 gilt, dass ein unentdeckter Fehler, der die Sicherheitsfunktion (des betreffenden Kanals) bei Aktivierung der Funktion blockiert, innerhalb einer Zeitspanne erkannt und beseitigt werden muss (z. B. durch Kontroll- oder Prüfzyklen), in der vernünftigerweise nicht mit einem weiteren Fehler gerechnet werden muss, der in Kombination mit dem passiven Fehler zu einem unsicheren Zustand führt. Grundsätzlich ist die Fehlerdiagnostik der Geräte zu aktivieren und auszuwerten.
(9) Bei softwaregesteuerten Geräten (z. B. Frequenzumrichter oder Stellungsregler) müssen sicherheitstechnische Schalthandlungen grundsätzlich ohne deren Softwaresteuerung direkt auf das entsprechende Stellglied einwirken, es sei denn, es liegt der Nachweis der erforderlichen funktionalen Sicherheit vor.