Problematische Zusammenhänge

Technik

Sicherheit - Prozessleitsysteme in Kraftwerken sind integriert umzusetzen. Eine ganzheitliche Analyse aller Teilsysteme ist zwingend notwendig, um kritische Wechselwirkungen zu vermeiden.

14. April 2009

In modernen Kraftwerken hängen Steuer- und Sicherheitsfunktionen zunehmend von verfahrenstechnischen Erfordernissen ab. Diese werden anlagenspezifisch in die elektronischen Systeme einprogrammiert. Mit ihrer Zahl wachsen auch die Anforderungen an den sicheren Betrieb der einzelnen Elemente und ihrer sinnvollen Verknüpfung. Hier ist die Integration einer angepassten Architektur der elektrischen Anlagen mit einer optimal abgestimmten Prozessleittechnik notwendig.

Um Schäden vorzubeugen, müssen das elektrische Gesamtsystem und die Ausrüstung einer Maschinenanlage anforderungsgerecht dimensioniert werden. Zentrale Frage ist hierbei: Inwieweit sind die einzelnen Anlagen systemisch miteinander zu verknüpfen, sodass eine gesamtfunktionale Sicherheit gegeben ist und die internationalen Normen berücksichtigt werden? Lösungsansätze bieten die Normen EN 61508 und 61511. Für die funktionale Sicherheit werden dort alle betrieblichen, verfahrens-, maschinen-, prozess- und sicherheitstechnischen Regelwerksanforderungen berücksichtigt.

Die Risikoreduzierung hängt auch von der korrekten Funktion sicherheitsbezogener Systeme ab. Prozessleittechnische Komponenten müssen hierfür die Anforderungen internationaler Standards erfüllen. Dabei rückt der Begriff der ›SIL-Anforderungen‹ immer mehr in den Fokus. Risikoreduzierende Maßnahmen und Komponenten müssen verschiedene Sicherheitsstufen erfüllen, die mit ›SIL1‹ für geringes Risiko bis zu ›SIL4‹ für sehr hohes Risiko unterschieden werden.

Sinnvolle Architektur

Doch die SIL-Zertifizierung allein bringt noch keine Sicherheit. Gerade in einem gesamtfunktionalen System sollte nicht die quantitative Bauteilzertifizierung alleine im Vordergrund stehen, sondern die qualitative Analyse und der Aufbau einer sinnvollen Systemarchitektur. Generell lassen sich funktionale Schutzsysteme auf zwei Arten aufbauen:

•durch zertifizierte Einzelgeräte

•redundanter Aufbau durch nicht zertifizierte Geräte.

Unter sicherheitstechnischen und betriebswirtschaftlichen Gesichtspunkten einer hohen Anlagenverfügbarkeit ist eine isolierte und quantitative Bewertung einzelner Elemente nach den reinen SIL-Einstufungen praktisch nicht sinnvoll. Zur Risikoreduzierung sollten, Bauteile qualitativ bewertet und Redundanzen bereits in der Planung angelegt werden. Den Ausfall einzelner Elemente können andere dann kompensieren.

Anhand eines konkreten Beispiels ist die Problematik ersichtlich. Nach dem Totalschaden an der zentralen Maschinenanlage (Turbine, Generator und Getriebe) eines europäischen Müllkraftwerks wurde TÜV Süd Industrie Service mit einer Schadensanalyse beauftragt.

Während eines routinemäßigen Tests der Notstromversorgung kam es zu einem plötzlichen Ausfall der Systeme. Die gesamte Energieversorgung der Steuerungen und Anlagen basierte zu diesem Zeitpunkt auf einem von zwei vorhandenen Batteriesystemen. Im Verlauf wurde die Notstromversorgung von der einen auf die andere Batterie umgeschaltet. Bei diesem Schaltprozess kam es zu einem Fehler.

Keine Schmierölversorgung

Alle Antriebe und Steuerungsanlagen waren nun ohne Hilfsenergie, darunter die gesamte Schmierölversorgung der Maschinenanlage. Infolge der Störung wurde der Generator in Rückleistung betrieben. Die auslaufende Maschinenanlage wurde weiterhin angetrieben – jedoch ohne Aktivierung des Schmierölsystems. Dies schädigte die Lagerstellen von Turbine, Generator und Getriebe irreversibel.

Zentrale Schadensursache war neben dem fehlerhaften Schaltprozess ein falsch geplantes Stromversorgungskonzept – insbesondere bei der Absicherung gegen Spannungsausfall. Hierbei werden Unterspannungssicherungen verwendet, die elektrische Verbraucher abschalten, wenn die Spannung unter ein bestimmtes Niveau fällt. Damit wird verhindert, dass Maschinen nach einem Stromausfall wieder selbstständig und unkontrolliert anlaufen, wenn die Netzspannung zurückkehrt. Beim Test der Batteriesysteme kam es während des Schaltprozesses zu einem Spannungsabfall. Aufgrund eines Fehlers im Stromversorgungskonzept fielen sämtliche elektrische Schaltanlagen aus. Nur die Turbine ging nicht zuverlässig außer Betrieb. Ursache hierfür war eine falsch geplante Unterspannungssicherung.

An diesem Beispiel des Müllkraftwerks zeigt sich, dass die Systemarchitektur besonders fehleranfällig und sicherheitsrelevant ist. Die Absicherung gegen Spannungsausfall war fehlerhaft konzipiert.

Kein sicherer Notstrom

So waren nicht nur wichtige Geräte gegen Unterspannung gesichert worden, sondern auch das Notstromsystem selbst. Diese nicht zweckmäßige Absicherung hatte letztlich die Unterspannungssicherung der Turbine aufgehoben.

Darüber hinaus hätte der Schaltprozess zwischen den Batteriesystemen elektronisch abgesichert und überwacht werden müssen. Die Umschaltung zwischen den Batteriesystemen war mit einer konventionellen Schützschaltung realisiert, welche die Mindestanforderungen an die Sicherheit für derartige Bauteile von SIL größer 2 nicht erfüllen konnte.

Eine ganzheitliche Problembearbeitung nach den Normen EN 61508 / 61511 hätte den Schaden verhindern können. Planungsfehler bei Prozessleitsystemen und unterdimensionierte Bauteile basieren meist auf nicht rechtzeitig erkannten Wechselwirkungen. Das ist insbesondere dann der Fall, wenn am Bau eines Kraftwerks unterschiedliche Lieferanten beteiligt sind und zugleich eine integrierte Planung fehlt. Bereits in der Planungsphase müssen alle Projektbeteiligten übergreifend zusammenarbeiten.

Hans Christian Schröder(TÜV Süd Industrie Service)

Erschienen in Ausgabe: 04/2009