Sicherheitsfunktionen bei bestimmungsgemäßer Funktion und die Risikobeurteilung

S

safety_simon

Level-1
Beiträge
35
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo nochmal!

Ich habe eine Unklarheit bzw. eine Denkblockade bezüglich folgender Maschine:
Die Maschine ist ein Bohrlochabschluss (Blowout-Preventer), der mithilfe einer Schließanlage maßgeblich für ein kontrolliertes und sicheres Bohren benötigt wird. Geschlossen werden mehrere Schließbacken (Redundanz) über Hydraulik, wobei die Hydraulikflüssigkeit durch Elektromotoren oder alternativ über Luftpumpen auf dem nötigen Druck gehalten wird. Der Schließbefehl wird über eine Zweihandverriegelung vom Fernsteuerstand aus manuell abgegeben (ohne programmierbare Steuerung) oder kann von Hand ausgeführt werden.
Es besteht keine direkte Gefahr von Menschen durch die Schließbewegung der Maschine, jedoch nur bei einer Fehlfunktion der Maschine, die jedoch aufgrund der Konstruktion und der vielfältigen Redundanz in allen Teilen der Maschine so gut wie ausgeschlossen ist. Denn dafür wurde die Maschine ja entwickelt.
Die Maschine ist mit der Schließanlage ein eigenständiges System ohne Verknüpfung zu anderen System.

Nun meine Fragen:

  • Muss in der Risikobeurteilung (nach DIN EN ISO 12100) der Maschine jeder Schließmechanismus aufgeführt werden? Denn bisher haben wir es nicht, sondern nur Sachen wie Druckausfall, elektrische Versorgungs-Ausfall etc. . Ich kann mir aber folgendes vorstellen:
    Fehler: Mechanismus 1 schließt nicht, da elektrische Versorgung ausgefallen ist -> Kein Risiko, da es noch andere Schließmechanismen gibt, die mit anderen Technologien ausgeführt sind -> Kein PLr -> Alles ok
    Und müsste hier noch rechnerisch nachgewiesen werden, dass die einzelnen Schließmechanismen mit den verschiedenen Auslösern (elektrisch, pneumatisch) sicher genug sind (z.B. nach PL c ausgelegt wurden)?
  • Gilt bei solchen Maschinen die bestimmungsmäße Funktion der Maschine (Schließmechanismen) überhaupt als Sicherheitsfunktion? Weil Sicherheitsfunktionen ja zur Risikominderung dienen, eine Risikominderung aber laut der Risikobeurteilung nicht erforderlich ist (siehe 1).

Ich hoffe ich konnte mein Problem ausreichend gut erklären.

Viele Grüße
safety_simon
 
Zuletzt bearbeitet:
Vielleicht mal so formuliert:

Der Bohrlochabschluß ist in diesem Sinne eine Maßnahme zur Risikominderung bei der Bohrmaschine.
Auch der Bohrlochabschluß an sich kann neue Risiken bergen. Eine kraftbetätigte Schutztür an einer Maschine dient z.B. auch als Maßnahme zur Riskominderung. Denneoch muss man hier die entstehenden Risiken bewerten. Eine "Maschine" im Sinne der Maschinenrichtlinie kann auch aus beweglichen Teilen bestehen. Streng genommen wäre da schon ein Nussknacker eine Maschine.

Sofern der Borhlochabschluß selbst als "ungefährlich" eingestuft werden kann, geht es noch um die Risikominderung der eigentlichen Gefahr. (wofür der Abschluss als Maßnahme zur Risikominderung eingesetzt werden soll). Der iterative Prozess der Risikobewertung sieht auch vor, dass geprüft wird, ob die Maßnahme das Risiko ausreichend mindern kann.
Hier sehe ich den Ansatz für deine Frage: Wurde das Risiko ausreichend gemindert?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Danke! Ich fand es sehr schwer meine Frage zu formulieren, aber du hast genau das beantwortet, was unklar war. Wir haben uns gerade noch mit ein paar Arbeitsskollegen zusammengesetzt und hatten die gleiche Idee, also dass der Bohrlochabschluss zur Risikominderung des Bohrprozesses betrachtet werden muss, und nicht als eigene Maschine ohne entstehende Risiken. Also nicht so, wie es bei normalen Fertigungsmaschinen normalerweise der Fall ist.

Demnach könnte man (unter anderem) nach Berechnung des Abschaltpfades (Taster zum Auslösen -> .... -> pneumatisches Wegeventil) den geforderten Performance Level für den Bohrlochabschluss nachweisen. Wenn ich alles richtig verstanden habe. :)


Eine letzte Frage hätte ich dann noch:
Da der Schließbefehl sowohl über elektrische Signale, als auch über Pneumatik übertragen werden kann, stellt sich mir die Frage, ob man für die Drucksensoren (Pneumatik oder Hydraulik) dennoch die teureren Varianten in Sicherheits(SIL)-Ausführung oder einen weiteren Sensor für Redundanz kaufen muss oder eben nicht.
Meine Intuition sagt mir, dass dies nicht notwendig ist und auch nicht rechnerisch nachgewiesen werden muss, da eine weitere Abschalttechnologie (hier: Elektrisch oder von Hand über einen Schalter) zur Verfügung steht und somit in der Risikobeurteilung stehen kann, dass das Risiko ausreichend gering ist und ein Fehler nicht zum Ausfall der Funktion führt. Wenn ich dort noch erwähne, dass regelmäßige Wartungen und eine ordnungsgemäße Inbetriebnahme durchgeführt wurden, sehe ich keinen Grund eine weitere Risikominderung in Form eines zweiten Sensors einzusetzen.

Viele Grüße und nochmals vielen vielen Dank!
safety_simon
 
Das habe ich noch nicht ganz verstanden.
Grundsätzlich ist das so:
Das ermittelte Risiko gibt den PL vor. Hohes Risiko = Hoher PL.
Um einen entsprechend ausreichenden PL zu erreichen müsse die Architektur und die Bauteile entsprechend ausgewählt werden. Stichwort 1 oder 2-kanalig, Diagnosedeckungsgrad etc.
Dabei muss immer der ganze Pfad betrachtet werden in dem das schwächste Glied den erreichten PL vorgibt.
Hier: Wenn der Drucksensor einen bestimmten PL / SIL erfüllen muss, kann man nicht darauf verzichten. Auch wenn die Abschaltpfade redundant sind. Es gilt immer die ganze Kette.
 
safety_simon schrieb:
also dass der Bohrlochabschluss zur Risikominderung des Bohrprozesses betrachtet werden muss, und nicht als eigene Maschine ohne entstehende Risiken. Also nicht so, wie es bei normalen Fertigungsmaschinen normalerweise der Fall ist.
Zum Vergrößern anklicken....

Je nachdem was das ist, kann das durchaus eine Maschine im Sinne der Maschinenrichtlinie sein. Ich erinnere hier an die kraftbetätigte Schutztür. Die Schutztür ist zwar eine Maßnahme zur Risikominderung, deren Risiko muss aber auch entsprechend bewertet und ggf. gemindert werden. Was nutzt es wenn ich eine drehende Spindel als Gefahrenquelle absichere und der Mensch klemmt sich die Hand in der Tür?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Tigerente1974 schrieb:
Je nachdem was das ist, kann das durchaus eine Maschine im Sinne der Maschinenrichtlinie sein. Ich erinnere hier an die kraftbetätigte Schutztür. Die Schutztür ist zwar eine Maßnahme zur Risikominderung, deren Risiko muss aber auch entsprechend bewertet und ggf. gemindert werden. Was nutzt es wenn ich eine drehende Spindel als Gefahrenquelle absichere und der Mensch klemmt sich die Hand in der Tür?
Zum Vergrößern anklicken....

Ja selbstverständlich dient in diesem Falle die Maschinenrichtlinie auch für den Bohrlochabschluss. Jedoch auch für den Bohrprozess. Wieder falsch formuliert von mir.


Zu dem Drucksensor: Ich habe das so verstanden, dass wenn die Risikobeurteilung ergibt, dass durch bereits getroffene Maßnahmen kein Restrisiko durch die Gefährdung mehr vorhanden und somit eine Betrachtung mit dem Performance Level nicht mehr notwendig ist.
Nach dem Motto: Keine Risikominderung erforderlich - Kein geforderter Performance Level - Keine weiteren Maßnahmen.
In diesem Fall wäre die Gefährdung zu wenig Druck auf der Leitung, wodurch ein Schließen nicht durchgeführt werden kann. Die Maßnahme, die das Risiko verringert, wäre dann die Verwendung entsprechend ausreichender Sensoren oder andere Technologien die verhindern, dass zu wenig Druck anliegt.

Die Sensoren als Gesamtheit sind für den sicheren Betrieb notwendig, sind jedoch nicht aktive Bestandteile des Schließvorganges. Ein Ausfall von zu vielen Sensoren ist jedoch laut der Risikobeurteilung zu unwahrscheinlich, als dass es ein Risiko darstellt. Daher die Frage, wann man die teuren SIL-Sensoren verwenden muss, und wann nicht.


Tut mir Leid, dass meine Texte immer so lang und verschachtelt sind. Möchte möglichst viele Informationen rüberbringen. Hab ich bei meiner Sensorbeschreibung grobe Fehler?

Viele Grüße
safety_simon
 
Zur Beantwortung musst du dir die Frage stellen, welches Risiko entsteht wenn der Sensor einen Fehler hat.
Wird jemand dadurch gefährdet? Wenn ja, wie schwerwiegend ist die Gefährdung.
Danach richtet sich, ob der Sensor "teuer" nach SIL sein muss.
Stichwort "einfacher Fehler führt zum Verlust der Sicherheitsfunktion", Stichwort "Fehleraufdeckung"

Das aus der Fern zu beurteilen ist schwierig. Du musst dir die richtigen Fragen stellen, wenn die Risiken abgewägt werden.
Dabei darf man auch Fehlerausschlüsse machen. Die Begründung muss aber belastbar sein.
 

Similar threads

S
Norm für Sicherheit ohne Steuerungen
Antworten
3
Aufrufe
2K
safety_simon
S
Zurück
Oben