Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Technische Regeln, TRGS

Zur aktuellen Fassung: =>

die TRGS 725 vom 21.01.2016 ist inhaltlich eine Neuregelung;

Red. Anmerkung: Die vorherige TRBS 3145/ TRGS 725 vom 14.06.2013 wurde durch die TRBS 3145/ TRGS 745 vom 02.02.2016 ersetzt

- Bek. d. BMAS v. 21.1.2016 - IIIb 3 - 35125 - 5 -

Gemäß § 20 Absatz 4 der Gefahrstoffverordnung macht das Bundesministerium für Arbeit und Soziales folgende Technische Regel für Gefahrstoffe bekannt:

• neue TRGS 725 "Gefährliche explosionsfähige Atmosphäre - Mess-, Steuer- und Regeleinrichtungen im Rahmen von Explosionsschutzmaßnahmen"

Die Technischen Regeln für Gefahrstoffe (TRGS) geben den Stand der Technik, Arbeitsmedizin und Arbeitshygiene sowie sonstige gesicherte arbeitswissenschaftliche Erkenntnisse für Tätigkeiten mit Gefahrstoffen, einschließlich deren Einstufung und Kennzeichnung wieder.

Sie werden vom

Ausschuss für Gefahrstoffe (AGS)

ermittelt bzw. angepasst und vom Bundesministerium für Arbeit und Soziales im Gemeinsamen Ministerialblatt bekannt gegeben.

Diese TRGS konkretisiert im Rahmen des Anwendungsbereichs die Anforderungen der der Gefahrstoffverordnung GefStoffV. Bei Einhaltung der Technischen Regel kann der Arbeitgeber insoweit davon ausgehen, dass die entsprechenden Anforderungen der Verordnungen erfüllt sind. Wählt der Arbeitgeber eine andere Lösung, muss er damit mindestens die gleiche Sicherheit und den gleichen Gesundheitsschutz für die Beschäftigten erreichen.

1 Anwendungsbereich

(1) Diese TRGS konkretisiert die Anforderungen an die Zuverlässigkeit von Mess-, Steuer-, und Regelungseinrichtungen (MSR-Einrichtungen) als Teil der in TRGS 722, TRBS 2152 Teil 3 bis und TRBS 2152 Teil 4 genannten Maßnahmen. Diese TRGS gilt für mechanische, pneumatische, hydraulische, elektrische, elektronische als auch programmierbare elektronische MSR-Einrichtungen.

(2) Macht der Arbeitgeber von der Möglichkeit Gebrauch, gemäß Anhang 1 Nummer 1.6 Absatz 3 GefStoffV von einer Zoneneinteilung abzusehen, sind grundsätzlich die gemäß dieser technischen Regel für die Zone 0 bzw. 20 angegebenen Schutzmaßnahmen zu treffen. Abweichungen hiervon sind zulässig, wenn diese in der Dokumentation der Gefährdungsbeurteilung nach § 6 Absatz 9 GefStoffV begründet festgelegt werden.

(3) Die Bewertung der Wirksamkeit von Maßnahmen nach TRGS 722, TR13S 2152 Teil 3 und TRBS 2152 Teil 4 ist nicht Bestandteil dieser TRGS.

(4) Die Bewertung von organisatorischen Maßnahmen wird in dieser TRGS nicht behandelt.

2 Begriffsbestimmungen

2.1 Betriebsbewährte MSR-Technik

Betriebsbewährte MSR-Technik liegt vor, wenn für die Funktionseinheiten ihre Eignung nach Anhang 2 für den Anwendungsfall nachgewiesen ist. Bei betriebsbewährten Funktionseinheiten hat sich in der Bewährungsphase gezeigt, dass eventuell vorhandene systematische Fehler weder in der Hardware noch in der Betriebssoftware die sicherheitstechnische Funktion der Funktionseinheit beeinträchtigen.

2.2 Bewährte Technik

Bewährte Technik liegt vor, wenn die grundlegenden und bewährten Sicherheitsprinzipien nach DIN EN IS013849- 2:2008 eingehalten werden.

2.3 Ex-Einrichtungen ¹⁷

Explosionsschutzeinrichtungen (Ex-Einrichtungen) führen die in der Gefährdungsbeurteilung festgelegten Sicherheitsfunktionen zum Explosionsschutz aus. Sie werden durch technische Maßnahmen nach TRGS 722, TRBS 2152 Teil 3 und TRBS 2152 Teil 4 erreicht, die ggf. durch organisatorische Maßnahmen ergänzt werden können. Sie dienen

1. zur Reduzierung der Eintrittswahrscheinlichkeit gefährlicher explosionsfähiger Gemische,
2. zur Reduzierung der Wahrscheinlichkeit für das Wirksamwerden von Zündquellen oder
3. zur Verringerung der Auswirkungen einer Explosion auf ein unbedenkliches Maß.

Kombinationen der Maßnahmen sind möglich. Einrichtungen zur Vermeidung gefährlicher explosionsfähiger Atmosphäre können sein z.B. Lüftungsanlagen, Inertisierungsanlagen, MSR-Einrichtungen zur Temperatureinhaltung oder Füllstandüberdeckung. Sie können die Wahrscheinlichkeit des Auftretens von gefährlicher explosionsfähiger Atmosphäre verringern oder vermeiden oder die Ausdehnung von Zonen reduzieren. Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV. Ex-Einrichtungen zur Reduzierung der Wahrscheinlichkeit für das Wirksamwerden von Zündquellen sind z.B. MSR-Einrichtungen zur Temperaturüberwachung eines Wälzlagers.

2.4 Ex-Vorrichtungen

Eine Ex-Vorrichtung im Sinne dieser TRGS besteht aus einer oder mehreren Ex-Einrichtungen und erforderlichenfalls deren Überwachung. Ex-Vorrichtungen können MSR-Einrichtungen beinhalten.

2.5 Fehlertoleranz (Hardwarefehlertoleranz, HFT)

Die Fehlertoleranz gibt an, mit wie vielen Fehlern die Ex-Einrichtung oder Überwachung noch sicher betrieben werden kann

2.6 Fehler, passiv

Ein unentdeckter gefährlicher Fehler, der die Sicherheitsfunktion (des betreffenden Kanals) bei Aktivierung der Funktion blockiert.

2.7 Funktionseinheit

Funktionseinheiten sind miteinander in Beziehung stehende Teile einer Ex-Einrichtung oder einer Überwachung. Funktionseinheiten können einfach oder komplex sein. Eine Erläuterung zeigt Tabelle 1.

Tabelle 1: Beispiele für einfache und komplexe Komponenten für MSR-Einrichtungen, aufgegliedert in Funktionseinheiten

Abbildung 1: Funktionseinheiten

2.8 Funktionseinheit, einfach

Eine einfache Funktionseinheit ist eine Funktionseinheit, deren Fehlerverhalten in einer Fehleranalyse eindeutig beschreibbar ist, wie z.B. mechanische, pneumatische, elektrische Bauelemente oder festverdrahtete Logiksysteme aus elektromechanischen Bauteilen. Die Ursache-Wirkungskette ist bei diesen Funktionseinheiten eindeutig bestimmbar. Eine einfache Funktionseinheit nach dieser TRGS entspricht dem Typ a nach der DIN EN 50495 (VDE 0170-18):2010. Beispiele für einfache Funktionseinheiten sind:

1. Schmelzeinsätze (wie in Flüssigkeitskupplungen benutzt),
2. Fliehkraftregler,
3. thermostatische Ventile,
4. Überdruckventile,
5. Temperatur-, Durchfluss-, Füllstandüberwachungseinrichtungen ohne elektronische Komponenten, die unmittelbar eine Abschaltung generieren.

2.9 Funktionseinheit, komplex

Eine komplexe Funktionseinheit ist eine Funktionseinheit, bei der die Sicherheitsfunktion von komplexen Technologien abhängt, und deren Fehlerverhalten nicht durch einfache Fehlerbetrachtungen, untersucht werden kann, wie z.B. bei parametrierbaren oder programmierbaren elektronischen Schaltungen. Eine komplexe Funktionseinheit nach dieser TRGS entspricht dem Typ B nach der DIN EN 50495 (VDE 017018):2010. Ein Beispiel für komplexe Funktionseinheiten sind Gaswarnanlagen.

2.10 Funktionseinheit, abhängig

Funktionseinheiten einer Sicherheitsfunktion sind abhängig, wenn bei Ausfall einer Funktionseinheit die Sicherheitsfunktion insgesamt ausfällt.

2.11 Funktionseinheit, unabhängig

Funktionseinheiten in einer Sicherheitsfunktion sind unabhängig, wenn bei ihrem Ausfall die Sicherheitsfunktion erhalten bleibt.

2.12 Klassifizierungsstufe

Grad der funktionalen Sicherheit einer Funktionseinheit. Für quantitative Beurteilungen charakterisiert die Klassifizierungsstufe die zulässige Ausfallwahrscheinlichkeit.

2.13 MSR-Einrichtungen

MSR-Einrichtungen sind Einrichtungen der Mess-, Steuer- und Regeltechnik. Im Sinne dieser TRGS gehören auch die Einrichtungen der Prozessleittechnik (PLT-Einrichtungen) zu den MSR-Einrichtungen.

2.14 Prozessfehlertoleranzzeit (PFT)

Die Prozessfehlertoleranzzeit (PFT) ist die Zeit, in der der Prozess nach einer Störung in den unsicheren Zustand übergeht.

2.15 Redundanz

Redundanz bedeutet, dass durch das mehrfache Vorhandensein von Funktionseinheiten, die für den störungsfreien Normalbetrieb nicht benötigt werden, die Verfügbarkeit erhöht wird. Redundanz kann homogen oder diversitär sein.

2.16 Redundanz, aktive

Aktive Redundanz bedeutet, dass mehrere Funktionseinheiten die Funktion zeitgleich parallel ausführen. Der gleichzeitige Ausfall beider Funktionseinheiten ist hinreichend unwahrscheinlich, d. h. Fehler gemeinsamer Ursache sind nach Maßgabe der technischen Vernunft ausgeschlossen. Als hinreichend unwahrscheinlich gilt ein Fehler gemeinsamer Ursache, wenn dieser in der Regel 10 % der gefährlichen Fehler nicht überschreitet.

2.17 Redundanz, passive

Passive Redundanz bedeutet, dass eine oder mehrere Funktionseinheiten parallel vorhanden sind, aber nicht gleichzeitig arbeiten. Die aktive Funktion wird überwacht und im Fehlerfall durch die Überwachung auf die parallel vorhandene Funktion umgeschaltet. Die Umschaltzeit einschließlich der Zeit, bis der die redundante Funktionseinheit wirksam wird, liegt innerhalb der Prozessfehlertoleranzzeit.

2.18 Reduzierungsstufen

Das erforderliche Maß an Sicherheit der Maßnahmen zur Vermeidung oder Einschränkung von gefährlicher explosionsfähiger Atmosphäre und der Zündquellenvermeidung wird in dieser TRGS durch Reduzierungsstufen ausgedrückt.

2.19 Überwachung

Eine Überwachung dient dazu, den Ausfall der Sicherheitsfunktion der Ex-Einrichtung rechtzeitig zu erkennen und den Prozess durch Einleitung wirksamer technischer oder organisatorischer Maßnahmen innerhalb der Prozessfehlertoleranzzeit (PFT) in den sicheren Zustand zurück zu führen.

2.20 Überwachung, unabhängige

Bei einer unabhängigen Überwachung werden Fehler gemeinsamer Ursache für die Überwachung und die durch sie überwachte Ex-Einrichtung ausgeschlossen.

2.21 Überwachung, abhängige

Eine abhängige Überwachung teilt sich gemeinsame Funktionseinheiten mit der Ex-Einrichtung, z.B. die Sensorik. Ein gefährlicher Fehler in der gemeinsamen Funktionseinheit führt gleichzeitig zum Ausfall der Ex-Einrichtung und der Überwachung.

2.22 Sicherheitsfunktion

Die Sicherheitsfunktion besteht darin, die in der Gefährdungsbeurteilung festgelegten Maßnahmen durch Ex-Vorrichtungen sicherzustellen oder aufrecht zu erhalten.

2.23 Störung/Fehler

Eine Störung oder ein Fehler liegt vor, wenn eine Funktionseinheit nicht die beabsichtigte Funktion erbringt.

2.24 Zuverlässigkeit

Zuverlässigkeit ist die Fähigkeit einer Einrichtung eine geforderte Funktion unter vorgegebenen Bedingungen und für ein vorgegebenes Zeitintervall auszuführen. Die Zuverlässigkeit von MSR-Einrichtungen mit Sicherheitsfunktion ergibt sich aus der zuverlässigen Funktion und der funktionalen Sicherheit. Die zuverlässige Funktion wird durch die Betriebsweise und die Beanspruchungswerte aus der Umgebung und dem Prozess, die Häufigkeit eines Eingriffs der Überwachung sowie durch die Anforderungen des Prozesses hinsichtlich der Schnelligkeit des Eingriffs (Prozessfehlertoleranzzeit) bestimmt.

3 Ermittlung der Anforderungen an Ex-Vorrichtungen

3.1 Grundsätze

(1) In der Gefährdungsbeurteilung zum Explosionsschutz nach § 6 GefStoffV werden Maßnahmen entsprechend TRGS 722, TRBS 2152 Teil 3 und TRBS 2152 Teil 4 zur Vermeidung oder Einschränkung gefährlicher explosionsfähiger Atmosphäre und Zündquellenvermeidung und zur Auswirkungsbegrenzung festgelegt. Das erforderliche Maß an Sicherheit der Maßnahmen zur Vermeidung oder Einschränkung von gefährlicher explosionsfähiger Atmosphäre und der Zündquellenvermeidung wird in dieser TRGS durch Reduzierungsstufen ausgedrückt. Die Ergebnisse der Gefährdungsbeurteilung sind zu dokumentieren.

(2) Die Zuverlässigkeit der Ex-Vorrichtung muss der geforderten Reduzierungsstufe entsprechen. Zur Bewertung der Ex-Vorrichtung kann diese in Funktionseinheiten unterteilt werden.

(3) Die Zuverlässigkeit der Funktionseinheiten wird mit Hilfe von Klassifizierungsstufen beschrieben und ermöglicht die Auswahl geeigneter Geräte und Verbindungsvorrichtungen.

(4) Aus der Kombination der Klassifizierungsstufen einzelner Funktionseinheiten ergibt sich die Klassifizierungsstufe für die Ex-Vorrichtung, welche der geforderten Reduzierungsstufe entsprechen muss.

Abbildung 2: Vorgehensweise der Gefährdungsbeurteilung

3.2 Gefährdungsbeurteilung ¹⁶

(1) Die Gefährdungsbeurteilung nach § 6 GefStoffV gibt vor, welche Maßnahmen ergriffen werden müssen, um die Wahrscheinlichkeit für das zeit gleiche Auftreten von gefährlicher explosionsfähiger Atmosphäre (Zoneneinteilung) und wirksamen Zündquellen (Zündquellenvermeidung) ausreichend sicher zu reduzieren oder um die Auswirkungen von Explosionen auf ein unbedenkliches Maß zu verringern.

(2) Maßnahmen gegen Explosionen sind als ausreichend sicher zu bewerten, wenn entweder das Explosionsereignis als sehr selten einzustufen ist oder wenn die Auswirkungen einer Explosion auf ein unbedenkliches Maß reduziert werden.

(3) Maßnahmen können sein:

1. Zonenreduzierung und Zündquellenvermeidung durch Ex-Vorrichtungen nach dieser TRGS
2. Installation von geeigneten Geräten und Schutzsystemen gemäß der Richtlinie 2014/34/EU
3. Begrenzung der Explosionsauswirkungen durch Ex-Vorrichtungen nach dieser TRGS
4. Organisatorische Maßnahmen z.B. in Ergänzung einer technischen Maßnahme.

Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV).

(4) Die Wirksamkeit der in TRGS 722, TRBS 2152 Teil 3 und TRBS 2152 Teil 4 genannten Maßnahmen wird vorausgesetzt. Eine Maßnahme ist wirksam, wenn die in der Gefährdungsbeurteilung festgelegten sicherheitstechnischen Parameter im Wirkbereich der Maßnahme eingehalten werden. Deren Bewertung ist nicht Bestandteil dieser TRGS. Eine geeignete konstruktive Ausführung der technischen Maßnahmen zum Explosionsschutz wird vorausgesetzt.

(5) Der Arbeitgeber hat die Betriebszustände der Anlage, für welche eine Ex-Vorrichtung vorgesehen wird, sowie die Grenzen einer Ex-Vorrichtung (räumlich und funktional) festzulegen. Dabei sind alle Aspekte, die die funktionale Sicherheit, die zuverlässige Funktion und die Wirksamkeit der Ex-Vorrichtung betreffen, zu berücksichtigen.

(6) Die Beurteilung der zuverlässigen Funktion der Ex-Vorrichtung muss

1. die bestimmungsgemäße Verwendung und
2. den zu erwartenden Fehlgebrauch (Fehlbedienung)

mit einschließen. Der Arbeitgeber hat dabei auch Veränderungen gegenüber den sicherheitsrelevanten Festlegungen, die ein Hersteller getroffen hat, zu berücksichtigen. Zur Beurteilung der zuverlässigen Funktion der MSR-Einrichtung sind die einschlägigen Regeln zu beachten.

(7) Die notwendige Zuverlässigkeit einer Ex-Vorrichtung nach Absatz 3 Nr. 1) ist abhängig von der Zoneneinteilung und der Wahrscheinlichkeit des Auftretens einer wirksamen Zündquelle. Dieser Abhängigkeit wird eine Wertigkeit zugeordnet und diese durch sogenannte Reduzierungsstufen dargestellt (siehe Tabelle 2). Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV).

Tabelle 2: Einfluss der Zoneneinteilung und Wahrscheinlichkeit des Auftretens einer wirksamen Zündquelle auf die erforderliche Anzahl von Reduzierungsstufen

3.3 Bewertung der Ex-Vorrichtung

(1) Der qualitative Zusammenhang zwischen der Zuverlässigkeit einer Ex-Vorrichtung und deren Ausfallwahrscheinlichkeit wird für diese TRGS im Folgenden definiert. Ein Ausfall ist

1. vorhersehbar, wenn mit dem Ausfall der Ex-Vorrichtungen üblicherweise zu rechnen ist. Vorhersehbare Ausfälle können auftreten und dürfen nicht häufig vorkommen.
2. selten, wenn ein vorhersehbarer Fehler nicht zu einem Ausfall der von der Ex-Vorrichtung ausgeführten Sicherheitsfunktion führt. Ein Fehler gilt als vorhersehbar, wenn er in der Praxis zu erwarten ist, z.B. ein verschleißbedingter Ausfall eines Ventilators oder ein Ausfall einer Lüftung durch verstopfte Filter.
3. sehr selten, wenn weder ein seltener noch ein vorhersehbarer Fehler zu einem Ausfall der von der Ex-Vorrichtung ausgeführten Sicherheitsfunktion führt. Ein Fehler gilt als selten, wenn z.B. zwei voneinander unabhängige vorhersehbare Fehler, die nur in Kombination miteinander die Funktion beeinträchtigen, gemeinsam auftreten. Die Zuverlässigkeit ist in diesem Fall dauerhaft sichergestellt. Ein Ausfall ist nach Maßgabe der technischen Vernunft nicht zu erwarten.

(2) Für die Bewertung der Ex-Vorrichtung kann diese in Funktionseinheiten unterteilt werden. Die Bewertung der Ex-Vorrichtung erfolgt dann nach den in Nummer 4 festgelegten Bewertungsmaßstäben. Ohne Unterteilung der Ex-Vorrichtung in Funktionseinheiten kann für diese lediglich ein vorhersehbares Ausfallverhalten angenommen werden.

(3) Die folgende Tabelle 3 beschreibt den Zusammenhang zwischen der Zuverlässigkeit der Ex-Vorrichtung und der erreichbaren Reduzierungsstufen qualitativ.

Tabelle 3: Erzielbare Anzahl von Reduzierungsstufen für Ex-Vorrichtungen (Wertigkeit der Ex-Vorrichtung)

(4) Die Bewertung des Ausfallverhaltens von Funktionseinheiten der MSR-Einrichtungen wird üblicherweise durch den Hersteller nach den einschlägigen Herstellungsnormen vorgenommen, sodass in der Regel keine pauschale Bewertung nach Absatz 2 erfolgt. Wird bei MSR-Einrichtungen ein vorhersehbares Ausfallverhalten pauschal unterstellt kann Tabelle 4 verwendet werden.

(5) Nicht-MSR-Einrichtungen als Bestandteil der Ex-Vorrichtung werden analog den qualitativen Beschreibungen des Ausfallverhaltens in Absatz 2 beurteilt und nach Tabelle 4 einer Klassifizierungsstufe zugeordnet.

Tabelle 4: Erzielbare Klassifizierungsstufe von MSR- und Nicht-MSR-Einrichtungen

(6) Nachdem das Ausfallverhalten der Funktionseinheiten von MSR- und Nicht-MSR-Einrichtungen bewertet wurde und diese in Klassifizierungsstufen eingeordnet wurden, ist die Architektur der Ex-Vorrichtung zu bestimmen. Die Architektur kann beispielsweise grafisch durch ein Blockdiagramm dargestellt werden. Unter Berücksichtigung der Architektur kann nach Bewertungsgrundsätzen gemäß Nummer 4 die Klassifizierungsstufe der Ex-Vorrichtung als Ganzes bestimmt werden.

(7) Wenn die geforderte Zuverlässigkeit der Ex-Vorrichtung durch die Ex-Einrichtung alleine nicht erreicht wird, kann diese durch eine weitere Ex-Einrichtung oder durch eine Überwachung ergänzt werden.

(8) In der Gefährdungsbeurteilung ist festzulegen, ob eine Überwachung der Ex-Einrichtung erforderlich ist.

4 Ex-Vorrichtungen als Maßnahmen der Zonenreduzierung/ Zündquellenvermeidung

4.1 Verfahrensweise zur Beurteilung des Ausfallverhaltens von Ex-Vorrichtungen

(1) In einem ersten Schritt wird die Sicherheitsfunktion der Ex-Vorrichtung festgelegt. Gegebenenfalls kann eine Ex-Vorrichtung mehrere Sicherheitsfunktionen beinhalten. Jede einzelne Sicherheitsfunktion stellt eine Ex-Einrichtung dar.

(2) Das Ausfallverhalten der Ex-Einrichtung ist insbesondere von der konstruktiven Auslegung bestimmt, wird aber auch von anderen Einflussgrößen, wie Verfahrensweisen, prozesstechnischen Eigenschaften oder organisatorischen Maßnahmen beeinflusst. Die Beurteilung der Auswirkung dieser Einflussgrößen dient als Basis für die vollständige Beurteilung der Ex-Einrichtung. (Geeignete Verfahren zur Beurteilung des Ausfallverhaltens von Ex-Einrichtungen hinsichtlich dieser Einflussgrößen können beispielsweise Ursache-Wirkungs-Analyse, PAAG-Verfahren (PAAG = Prognose von Abweichungen, Auffinden der Ursachen, Abschätzen der Auswirkungen, Gegenmaßnahmen) oder HAZOP (HAZOP = Hazardous Operability Study) sein.)

(3) Zur Beurteilung des Ausfallverhaltens der Ex-Einrichtung wird diese in sinnvolle Funktionseinheiten zergliedert. Die Anzahl der Funktionseinheiten soll die Zahl fünf nicht überschreiten. Ist die qualitative Bewertung einer Funktionseinheit ohne weitere Detaillierung nicht möglich, so kann diese Funktionseinheit wiederum in weitere Funktionseinheiten zergliedert werden (Gliederungsebene), deren Anzahl fünf nicht überschreiten soll. Jede Gliederungsebene ist für sich zu beurteilen. Die Anzahl der Gliederungsebenen ist auf maximal fünf zu beschränken. (Die Methode führt für eine zu große Anzahl von Funktionseinheiten und Gliederungsebenen bei lediglich qualitativer Beschreibung der Funktionseinheiten zu falschen Ergebnissen, daher wird deren Anzahl beschränkt.)

(4) Jede Funktionseinheit wird hinsichtlich ihrer Abhängigkeit zu anderen Funktionseinheiten bewertet und entsprechend Tabelle 4 einer Klassifizierungsstufe zugeordnet.

(5) Funktionseinheiten sind abhängig voneinander, wenn der Ausfall einer Funktionseinheit zum Ausfall der Ex-Einrichtung führt.

(6) Sicherheitstechnisch voneinander abhängige Funktionseinheiten sind in Reihe geschaltet. Die Klassifizierungsstufen der einzelnen Funktionseinheiten werden zu einer Klassifizierungsstufe der Ex-Einrichtung zusammengefasst. Die niedrigste Klassifizierungsstufe der in Reihe verschalteten Funktionseinheiten bestimmt die Klassifizierungsstufe der Reihe.

(7) Die Zuverlässigkeit der Ex-Einrichtung kann durch Redundanz von Funktionseinheiten (Parallelschaltung im Blockdiagram, siehe Abbildungen 3, 4, 5 und 6) erhöht werden. Der Ausfall der Redundanzen muss erkennbar sein und vor Erreichen eines unsicheren Zustands sind geeignete Maßnahmen zu treffen, um die Sicherheit zu gewährleisten.

(8) Sicherheitstechnisch voneinander unabhängige und redundante Funktionseinheiten sind parallel geschaltet. Deren Klassifizierungsstufen addieren sich (siehe Tabelle 5).

Tabelle 5: Resultierende Klassifizierungsstufe bei redundanten Funktionseinheiten, abhängig von der Klassifizierungsstufe

Beispiel 1: Ex-Einrichtung der Klassifizierungsstufe K1

Die Funktionseinheiten a, b und c haben die in den Blöcken eingetragene Klassifizierungsstufe (Abbildung 3) und sind funktional voneinander abhängig (jedes Element ist notwendig, damit die Sicherheitsfunktion ausgeführt wird). Die Ex-Einrichtung hat nach Absatz 6 eine Klassifizierungsstufe von Kl.

Abbildung 3: Ex-Einrichtung der Klassifizierungsstufe K1; Reihenschaltung der Funktionseinheiten a (K2), b (K1) und c (K1)

Beispiel 2: Ex-Einrichtung der Klassifizierungsstufe K1 in K2 überführen

Wenn die Ex-Einrichtung der Abbildung 3 die Klassifizierungsstufe K2 erfüllen soll, müssen die Funktionselemente b und c jedes für sich die Klassifizierungsstufe K2 erfüllen. Dies ist möglich durch Verwendung von Funktionselementen mit einem besseren Ausfallverhalten als "vorhersehbar" oder indem zu den Elementen b und c jeweils ein redundantes funktionsidentisches Element geschaltet wird oder indem zu den Elementen b und c ein gemeinsames Element parallel geschaltet wird, welches die Funktion der Elemente b und c übernimmt. Letzterer Fall ist in der Abbildung 4 dargestellt und kann wie in Abbildung 5 und 6 zusammengefasst werden. Die Zusammenfassungen von Funktionseinheiten verdeutlichen die Anwendung der Tabelle 5. (Nach Absatz 6 erfüllt die Ex-Einrichtung die Klassifizierungsstufe K2.)

Abbildung 4: Ex-Einrichtung der Klassifizierungsstufe K2; Reihenschaltung der Funktionseinheit a (K2) mit Parallelschaltung der Funktionseinheiten b - c (K1) und d (K1) als zusätzliche Maßnahme in einer aktiven Redundanz (zu bc)

Abbildung 5: Ex-Einrichtung der Abbildung 4 mit der Zusammenfassung der Funktionseinheiten b (K1) und c (KI) zu einer gemeinsamen Funktionseinheit (b + c) der Klassifizierungsstufe K1

Abbildung 6: Ex-Einrichtung der Abbildung 4 mit der Zusammenfassung der Funktionseinheiten (b + c) (K1) und d (K1) nach Tabelle 5 zu einer gemeinsamen Funktionseinheit (b + c)//d mit der Klassifizierungsstufe K2

(9) Besteht die Ex-Vorrichtung nur aus einer einzelnen Ex-Einrichtung entspricht deren Klassifizierungsstufe der Ex-Vorrichtung.

(10) Besteht die Ex-Vorrichtung aus mehreren unabhängigen Ex-Einrichtungen addieren sich deren Klassifizierungsstufen zu einer resultierenden Klassifizierungsstufe entsprechend Tabelle 5.

(11) Aus der resultierenden Klassifizierungsstufe wird die Reduzierungsstufe der Ex-Vorrichtung nach Tabelle 6 bestimmt.

Tabelle 6: Gegenüberstellung der resultierenden Klassifizierungsstufen mit der Reduzierungsstufe der Ex-Vorrichtung

4.2 Verfahrensweise bei der Beurteilung des Ausfallverhaltens der Ex-Einrichtung ¹⁶

(1) Für die Gefährdungsbeurteilung ist es sinnvoll die Ex-Einrichtungen zur Zonenreduzierung zunächst und - falls notwendig - erst danach die Ex-Einrichtungen zur Vermeidung von Zündquellen zu betrachten. Beide Ex-Einrichtungen müssen getrennt voneinander bewertet werden. Die Beurteilungsgrundlagen der Nummern 4.4 und 4.5 sind nur anwendbar, wenn das Auftreten gefährliche explosionsfähiger Gemische und das Wirksamwerden von Zündquellen voneinander unabhängig sind.

(2) Die Fälle, in denen keine Unabhängigkeit zwischen dem Auftreten der gefährlichen explosionsfähigen Atmosphäre und der Zündquelle gegeben ist, erfordern eine gesonderte Betrachtung.

(3) Ex-Einrichtungen zur Vermeidung gefährlicher explosionsfähiger Atmosphäre und Ex-Einrichtungen zur Zündquellenvermeidung können Funktionseinheiten einer gemeinsamen Ex-Vorrichtung sein (siehe Nummer 4.6).

4.3 Verfahrensweise bei der Beurteilung des Ausfallverhaltens der Überwachung

(I) Überwachungen sind Teil einer Sicherheitsfunktion. Sie gewährleisten, dass die Sicherheitsfunktion der Ex-Einrichtung aufrechterhalten oder eine andere Sicherheitsfunktion vor Erreichen eines unsicheren Zustands wirksam wird. Diese kann z B die Alarmierung, die Umschaltung auf einen anderen Lüfter, die Unterbrechung des Freisetzungsprozesses, z.B. des Massenstromes, oder die Abschaltung von Zündquellen sein.

(2) Die notwendigen Funktionseinheiten der Überwachung (Sensorik, Logik, Aktorik) sind in Reihe verschaltet.

(3) Ergibt sich aus der Gefährdungsbeurteilung die Notwendigkeit einer Überwachung, muss diese grundsätzlich unabhängig von der Ex-Einrichtung sein. Abweichungen hiervon sind zulässig, wenn dies in der Gefährdungsbeurteilung nach § 6 Absatz 9 GefstoffV ( Explosionsschutzdokument) begründet wird.

(4) Das Blockdiagramm der Ex-Vorrichtung für eine Überwachung mit Schaltfunktion besteht aus parallelen Ex-Einrichtungen oder Funktionseinheiten. Die Überwachung ist als Funktionseinheit in Reihe zu der von ihr aktivierten Ex-Einrichtung (Funktionseinheit) enthalten und liegt parallel zur überwachten Ex-Einrichtung (siehe Abbildung 7).

Abbildung 7: Eine Ex-Vorrichtung bestehend aus zwei Ex-Einrichtungen in einer passiven Redundanz

Die Ex-Einrichtung bestehend aus der Überwachung und der Funktionseinheit d überwacht die andere Ex-Einrichtung und übernimmt bei deren Ausfall die gleiche oder eine andere Sicherheitsfunktion. Die Überwachung in der Abbildung 7 ist unabhängig von der Ex-Einrichtung mit den Funktionselementen a, b und c. Überwachungen können auch eigenständige Sicherheitsfunktionen übernehmen, z.B. Gaswarneinrichtungen.

(5) Für die sicherheitstechnische Auslegung einer unabhängigen Überwachung, die bei Ausfall der Sicherheitsfunktion nur alarmiert, ist eine Ausführung in bewährter Technik mit allgemeinen Anforderungen nach Anhang 1 einschließlich regelmäßiger Prüfung ausreichend.

(6) Eine abhängige Überwachung nutzt Funktionseinheiten der Ex-Einrichtung (z.B. Sensorik oder Aktorik). Die Überwachung liegt im Blockschaltbild in Reihe zu den Funktionseinheiten der Ex-Einrichtung.

(7) Im Falle der abhängigen Überwachung sind höhere Anforderungen an die Fehlersicherheit der abhängigen Teile oder an die Prüffrist zu stellen. Die abhängige Überwachung als Ganzes oder die Funktionseinheiten, für welche eine Abhängigkeit besteht, müssen mindestens in einer Klassifizierungsstufe höher ausgeführt sein als die notwendige Reduzierungsstufe der Vorrichtung. Alternativ ist die Prüffrist so zu wählen, dass der Ausfall der Überwachung so rechtzeitig erkannt wird, dass Maßnahmen zur Aufrechterhaltung der Sicherheit getroffen werden können.

(8) Bei einer abhängigen Überwachung mit Schaltfunktion besteht das Blockdiagramm der Ex-Vorrichtung aus parallelen Ex-Einrichtungen oder Funktionseinheiten, zu deren Gesamtheit die Überwachung mit Schaltfunktion oder die abhängigen Funktionseinheiten in Reihe liegt (siehe Abbildung 8).

Abbildung 8: Eine Ex-Vorrichtung bestehend aus zwei Ex-Einrichtungen in einer passiven Redundanz mit einer abhängigen Überwachung (Ü) mit Schaltfunktion

4.4 Ex-Vorrichtungen zur Zonenvermeidung und -reduzierung ¹⁷

(1) Die Maßnahme besteht aus einer Ex-Einrichtung zur Zonenvermeidung oder reduzierung und, falls erforderlich, deren Überwachung. Ex-Einrichtungen können auch Maßnahmen zur Reduzierung der Ausdehnung von Zonen darstellen, z.B. bei Lüftungsanlagen. Ist der Ausfall der Ex-Einrichtung als sehr selten zu betrachten, ist eine Überwachung der Ex-Einrichtung nicht erforderlich.

(2) Wird die Anzahl der erforderlichen Reduzierungsstufen in Bezug zu den vorhandenen wirksamen Zündquellen gemäß Tabelle 2 durch die Ex-Vorrichtung zur Zonenreduzierung nicht erreicht, so verbleibt eine Zone, für die weitere Maßnahmen getroffen werden müssen (siehe Tabelle 7).

(3) Falls eine Zone verbleibt und wirksame Zündquellen nicht durch MSR-Einrichtungen ausreichend sicher zu verhindern sind (z.B. bei heißen Oberflächen), müssen entweder die Maßnahmen zur Zonenreduzierung hinsichtlich des Ausfallverhaltens verbessert, andere Maßnahmen zur Zündquellenvermeidung durchgeführt oder Maßnahmen des konstruktiven Explosionsschutzes ergriffen werden.

(4) Die Ex-Einrichtung zur Zonenreduzierung muss in Abhängigkeit des Ergebnisses der Gefährdungsbeurteilung überwacht werden, damit deren Ausfall erkannt wird und kurzfristig Maßnahmen eingeleitet werden können. Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV).

Tabelle 7: Bestimmung der resultierenden Zone in Abhängigkeit vom Ausfallverhalten der Ex-Vorrichtung zur Zonenreduzierung

4.5 Ex-Vorrichtungen zur Zündquellenvermeidung

(1) Die Maßnahme besteht aus einer Ex-Einrichtung zur Zündquellenvermeidung und falls erforderlich deren Überwachung. Eine Überwachung der Ex-Einrichtung ist nicht erforderlich, sofern der Ausfall der Ex-Einrichtung als sehr selten betrachtet wird. (Für Geräte im Sinne der Richtlinie 2014/34/EU wird die Zündschutzart, z.B. Überdruck-Kapselung oder Zündquellenüberwachung ("b"), als Ex-Einrichtung betrachtet. Abhängig von der Konstruktion und Gerätekategorie können zusätzliche Überwachungen erforderlich sein.)

(2) Für die funktionale Sicherheit der Ex-Vorrichtung muss die Fehlersicherheit das gleiche Niveau aufweisen wie vergleichbare Sicherheits-, Kontroll- oder Regelvorrichtungen im Sinne der Richtlinie 2014/34/EU für die entsprechende Gerätekategorie. Andernfalls muss die Sicherheit auf andere Art und Weise hergestellt werden.

(3) Die Tabelle 8 beschreibt die Vorgehensweise zur Festlegung einer Klassifizierungsstufe für Überwachungen zur Vermeidung einer Zündquelle.

Tabelle 8: Klassifizierung der Überwachung einer Ex-Vorrichtung zur Vermeidung einer Zündquelle

4.6 Ex-Vorrichtungen zur Zonenreduzierung in Kombination mit Überwachungen zur Vermeidung von Zündquellen

(1) Wird nach Ausfall der Ex-Vorrichtung zur Zonenreduzierung durch eine unabhängige Überwachung eine Zündquellenabschaltung vorgenommen, so gilt für die Bestimmung der erforderlichen Klassifizierungsstufe dieser Überwachung die Tabelle. Die durch die Ex-Einrichtung zur Zonenreduzierung erreichte resultierende Zone ist die vorhandene Zone in Tabelle 8. Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV.

(2) Falls die Ex-Einrichtung zur Zonenreduzierung und die Ex-Einrichtung zur Zündquellenabschaltung beide für ihre Sicherheitsfunktion eine Überwachung benötigen, werden in der Praxis oft gemeinsame Funktionseinheiten eingesetzt, sodass eine Abhängigkeit vorliegt. Die Beurteilung muss diese Abhängigkeit berücksichtigen, indem z.B. zunächst wie unter Absatz 1 die resultierende Zone festgelegt wird, mit der in Tabelle 8 die Festlegung der Anforderungen an die Überwachung erfolgt. Die nach Tabelle 8 ermittelte Klassifizierungsstufe muss anschließend für die abhängigen Funktionseinheiten um eine Stufe erhöht werden.

(3) Für die abhängigen Funktionseinheiten kann alternativ das Verfahren des Blockschaltbildes angewendet werden, welches die Abhängigkeit dadurch darstellt, dass die gemeinsame Überwachung in Reihe zu den beiden parallelen Ex-Einrichtungen liegt (s. Abbildung 8).

5 Ex-Vorrichtungen zur Reduzierung der Auswirkungen einer Explosion

(1) Ex-Vorrichtungen zur Reduzierung der Auswirkungen einer Explosion können z.B. Schutzsysteme im Sinne der TRBS 2152 Teil 4 sein. Für diese Ex-Vorrichtungen können Überwachungen erforderlich sein.

(2) Wenn zur Funktion des Schutzsystems eine Überwachung erforderlich ist und im Rahmen der Gefährdungsbeurteilung oder sicherheitstechnischen Bewertung nichts anderes festgelegt wird, muss die Überwachung Ein-Fehlersicher sein (HFT = 1) und die Klassifizierungsstufe K2 erfüllen. (Basis für diese Betrachtung ist, dass das Explosionsschutzkonzept für eine Anlage nicht nur auf konstruktiven Explosionsschutzmaßnahmen beruht, sondern immer zusätzlich risikomindernde technische und organisatorische Explosionsschutzmaßnahmen des vorbeugenden Explosionsschutzes ergriffen werden, die einen bedeutenden Beitrag zur Risikominderung darstellen. Weiterhin wird vorausgesetzt, dass bei Versagen der Überwachung auch das Schutzsystem komplett versagt.)

6 Umsetzung der Klassifizierungsstufen in ein Konzept der funktionalen Sicherheit

(1) In den Nummern 4 und 5 wurde aufgrund der Gefährdungsbeurteilung nach Kapitel 3 die Zuverlässigkeit einer Ex-Vorrichtung einschließlich der ihr zugeordneten Nicht-MSR-Einrichtungen über die qualitative Ausfallwahrscheinlichkeit bestimmt und einer Klassifizierungsstufe zugeordnet. Für MSR-Einrichtungen sollen entweder vorliegende Bewertungen der Zuverlässigkeit nach Herstellernormen verwendet oder eine Bewertung der Betriebsbewährung nach Anhang 2 durch den Arbeitgeber durchgeführt werden. Den unterschiedlichen Zuverlässigkeitskennwerten nach Herstellernormen oder Arbeitgeber-Aussagen zur Betriebsbewährung werden in dieser Nummer Klassifizierungsstufen zugeordnet.

(2) MSR-Einrichtungen sind je nach Erfordernis in verschiedenen Technologien (elektrisch, mechanisch, pneumatisch, hydraulisch oder elektronisch) ausgeführt. MSR-Einrichtungen können daher im Ganzen oder in Teilen aus einfachen oder komplexen Funktionseinheiten bestehen.

(3) Die funktionale Sicherheit der Funktionseinheiten wird durch Fehlervermeidung oder Fehlerbeherrschung (automatische oder organisatorische Einleitung von Gegenmaßnahmen) unter Beachtung aller Betriebsbedingungen und vorgesehenen Wartungs- oder Prüfungsmaßnahmen sichergestellt. Dazu müssen die allgemeinen Anforderungen nach Anhang 1 unabhängig von der Klassifizierungsstufe erfüllt werden.

(4) Der Zusammenhang zwischen funktionaler Sicherheit und Klassifizierungsstufen wird in den Tabellen 9 bis 13 und in Anhang 2 beschrieben.

(5) Sollen keine hinsichtlich der funktionalen Sicherheit bewerteten Funktionseinheiten Verwendung finden, so kann z.B. durch die Verwendung bewährter Bauteile nach DIN EN ISO 13849-2:2008 sowie ggf. Redundanz die geforderte Klassifizierungsstufe erreicht werden (siehe Tabelle 9).

Tabelle 9: Anforderungen an die Funktionale Sicherheit in Abhängigkeit von der Klassifizierungsstufe

(6) Liegen vom Hersteller Bewertungen der funktionalen Sicherheit entsprechend der DIN EN 61508:2010, DIN EN 61511:2004, DIN EN 62061 (VDE 0113-50):2013 oder DIN EN 50495:2010 vor, so erfolgt die Zuordnung des Safety Integrity Level (SIL oder SIL_CL.) zu der Klassifizierungsstufe entsprechend Tabelle 10. SIL_CL, ist die SIL-Anspruchsgrenze bzw. SIL-Claim-Limit (in Anlehnung zu DIN EN 62061 (VDE 0113-50):2013). SIL_CL. ist als maximaler SIL definiert, der für eine Funktionseinheit in Bezug auf strukturelle Einschränkwagen und systematische Fehlerintegrität in Anspruch genommen werden kann. Die Funktionseinheiten, aus denen das System besteht, das die Sicherheitsfunktion realisiert, müssen über eine entsprechende SIL-Eignung (SIL_CL) verfügen.

Tabelle 10: Zuordnung des SIL zu der Klassifizierungsstufe

(7) Die Bestimmung des SIL für eine festgelegte Architektur der MSR-Einrichtung erfolgt nach den Methoden und Regeln der DIN EN 50495 (VDE 0170-18):2010. Der SIL der gesamten Kette entspricht der resultierenden Klassifizierungsstufe entsprechend Tabelle 10.

(8) Liegen vom Hersteller Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend DIN EN ISO 13849:2008 bzw. DIN EN 954:1997 vor, so erfolgt die Zuordnung der Zuverlässigkeitskenngrößen der Normen zu den Klassifizierungsstufen entsprechend Tabelle 11.

Tabelle 11: Zuordnung des Performance Levels (PL) nach DIN EN ISO 13849-1:2008 und der Kategorien nach DIN EN ISO 13849-1:2006 bzw. DIN EN 954:1997 zu den Klassifizierungsstufen

(9) Die Bestimmung des PL für eine festgelegte Architektur der MSR-Einrichtung erfolgt nach den Methoden und Regeln der DIN EN ISO 13849:2008. Der PL der gesamten Kette entspricht der resultierenden Klassifizierungsstufe entsprechend Tabelle 11.

(10) Liegen vom Hersteller Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend DIN EN 13463- 6:2005 vor, so erfolgt die Zuordnung der Zuverlässigkeitskenngrößen der Normen zu den Klassifizierungsstufen entsprechend Tabelle 12.

Tabelle 12: Zuordnung der Ignition Protection Level (IPL) für mechanische Bauteile nach der DIN EN 13463-6 zu den Klassifizierungsstufen

(11) Liegen vom Arbeitgeber Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend Anhang 2 zur Betriebsbewährung vor, so erfolgt die Zuordnung zu den Klassifizierungsstufe entsprechend Tabelle 13.

Tabelle 13: Funktionale Sicherheit von betriebsbewährten Funktionseinheiten in Abhängigkeit von der Klassifizierungsstufe

(12) Sind komplexe Funktionseinheiten nicht nach Anwendungsnormen durch den Hersteller oder als fail safe klassifiziert und liegt für sie keine Betriebsbewährung nach Anhang 2 vor, ist eine Ein7elfallanalyse notwendig.

7 Prüfung der MSR-Einrichtung mit Sicherheitsfunktion

(1) Für die Durchführung der Prüfung von MSR-Einrichtungen mit Sicherheitsfunktion ist die Betriebssicherheitsverordnung und die TRBS 1201 Teil 1 zu beachten.

(2) MSR-Einrichtungen mit Sicherheitsfunktion sind vor Inbetriebnahme, nach Änderung und wiederkehrend zu prüfen. Vor Inbetriebnahme und nach Änderung muss die Anwendersoftware auf Richtigkeit und richtige Umsetzung in das Programm geprüft werden. Hinweise hierzu können den allgemeinen Anforderungen ira Anhang 1 entnommen werden.

(3) Für redundante Funktionseinheiten gilt, dass ein Ausfall einer Redundanz durch einen passiven Fehler durch Prüfung oder Überwachung erkannt werden muss.

(4) Die Prüftiefe hängt von der gewählten Klassifizierungsstufe und Architektur der MSR-Einrichtung mit Sicherheitsfunktion ab und muss die Prüfung der sicheren Funktion beinhalten.

(5) Die Prüffristen und die Prüftiefe sind unter Berücksichtigung der Ergebnisse der Gefährdungsbeurteilung nach § 3 der Betriebssicherheitsverordnung festzulegen. In der Regel ist eine Prüffrist von zwölf Monaten ausreichend. Einflüsse haben z.B.:

1. Herstellerangaben der verwendeten Komponenten,
2. die verwendete Technologie, z.B. VPS, PLS/SPS, SSPS, sowie deren Software,
3. festgelegte Anforderungen (z.B. Betriebsbewährung, SIL, Performance Level, Wartungs- und Inspektionspläne etc.),
4. die Meantimeto-failure (MTTF),
5. Management der funktionalen Sicherheit.

.

1 Allgemeine Anforderungen für alle Klassifizierungsstufen ¹⁷

(1) Falls für die ordnungsgemäße Funktion der Überwachung das Vorhandensein oder die Vorhaltung von Hilfsenergien (z.B. elektrische Energie) oder Hilfsmedien (z.B. Inertgase oder Druckluft) erforderlich sind, so ist bei Ausfall derselben die dafür festgelegte Sicherheitsfunktion auszuführen. Es ist z.B. eine Alarmierung auszulösen, oder die Hilfsenergie/-medien müssen redundant sein.

(2) Überwachungen dürfen nach Auslösung nicht automatisch zurückgesetzt werden, es sei denn in der Gefährdungsbeurteilung ist etwas anderes festgelegt.

(3) Sofern manuelle Absperreinrichtungen an Prozessanschlüssen von Sicherheitseinrichtungen vorhanden sind, muss deren Fehlstellung erkannt werden und zu Maßnahmen führen oder der Stellungszustand muss leicht erkennbar und gegen unbeabsichtigtes Schließen gesichert sein, z.B. durch Sperrhülsen, Kette und Schloss oder durch Entfernen von Handrädern.

(4) Überwachungen müssen grundsätzlich unabhängig von betrieblich erforderlichen Mess-, Steuer- und Regeleinrichtungen funktionieren.

(5) Zwischen Überwachungen und Betriebseinrichtungen ohne Sicherheitsfunktion, wie z.B. Visualisierungseinrichtungen, ist grundsätzlich Rückkopplungsfreiheit sicherzustellen. Die Überwachung muss von MSR-Betriebseinrichtungen insoweit unabhängig sein, dass bei Ausfällen von Betriebseinrichtungen die Funktion der Überwachung erhalten bleibt (z.B. dürfen Anregesignale der Überwachung zur Verwendung im Regelkreis von MSR-Betriebseinrichtungen nur rückwirkungsfrei ausgekoppelt werden). Andernfalls ist von einer Abhängigkeit auszugehen und Nummer 4.3 Absatz 7 ist zu beachten. Das Signal zur Auslösung der Sicherheitsfunktion muss stets Vorrang vor den Signalen der Betriebseinrichtung haben.

(6) Für einfache Systeme kann in den folgenden Fällen die Klassifizierungsstufe K1 durch bewährte Technik mit regelmäßiger Prüfung in Verbindung mit den allgemeinen Anforderungen nach diesem Anhang erreicht werden:

1. Überwachung betrieblicher Zündquellen,
2. Überwachung von Maßnahmen zur Vermeidung explosionsfähiger Atmosphäre.

(7) Komplexe Systeme können nur verwendet werden, wenn diese durch den Hersteller oder hinsichtlich der Betriebsbewährung durch den Arbeitgeber bewertet sind.

(8) Für komplexe Systeme, die programmierbar sind, müssen die Anforderungen der DIN EN 50495 (VDE 0170- 18):2010, Abschnitt 5.3.3 bei der Erstellung der Anwendersoftware beachtet werden. Dabei gilt insbesondere:

1. Die Anwendersoftware ist mit einem eindeutigen Stand zu dokumentieren. Die Übereinstimmung zwischen Dokumentation und Anwendersoftware ist nachzuweisen (z.B. durch Signaturen, Versionsnummern).
2. Die wesentlichen Inhalte der Dokumentation sind:
   1. Programmdokumentation,
   2. Spezifikation der Schutzfunktionen (Protokoll der Sicherheitsbetrachtung),
   3. Information über Systemparametrierung/Konfiguration.

(9) Prozessleitsysteme (PLS). können abweichend von Absatz (7) und Absatz (8) als komplexe Systeme für die Klassifizierungsstufe K1 eingesetzt werden, wenn für diese die folgenden Bedingungen erfüllt sind:

1. Der PLS-Hersteller betreibt zum Zeitpunkt der Herstellung ein Qualitätssicherungssystem.
2. Der PLS-Hersteller betreibt ein Änderungsmanagement für die Soft- und Hardware, z.B. gemäß DIN EN 50495 (VDE 0170-18):2010 oder DIN EN 62061 (VDE 0113-50):2013.
3. PLS-Systeme sind in bewährter Technik ausgeführt, wenn sie sich in Standardanwendungen des Arbeitgebers oder vergleichbaren Anwendungen bewährt haben und einem Freigabeverfahren unterzogen wurden.
4. Das PLS hat eine dokumentierte Spezifikation (Lastenheft) und muss auch für eine Verwendung in kontinuierlich betriebenen Anlagen der Prozessindustrie geeignet sein.
5. Die Hardware ist vor Inbetriebnahme einer dokumentierten Funktionsprüfung zu unterziehen. Die Software ist auf Plausibilität zu prüfen.
6. Der Arbeitgeber verfügt über ein Änderungsmanagement für alle Änderungen in der Hard- und Software mit Freigabe zur Änderung sowie genehmigter Spezifikation und anschließender dokumentierter Prüfung.
7. Das für die Instandhaltung und Änderungen eingesetzte Personal hat eine geeignete Qualifikation. Diese beinhaltet technisches Wissen, Ausbildung und Erfahrung bezogen auf
   1. die verfahrenstechnische Anwendung,
   2. die eingesetzte PLS-Technologie,
   3. Sensoren und Aktoren.
8. Zwischen betrieblichen Einrichtungen und Überwachungen besteht eine hinreichende Unabhängigkeit.
   1. Funktional zusammenhängende Betriebsfunktion und Sicherheitsfunktion sollen nicht auf gleiche Eingangs- und Ausgangskarten liegen. Die Realisierung von Sicherheitsfunktionen im Automatisierungssystem ist grundsätzlich mit separaten Modulen übersichtlich durchzuführen.
   2. Funktionen von Überwachungen müssen gegenüber Betriebseinrichtungen stets Vorrang haben und sind als solche in der Funktionsspezifikation detailliert festzulegen.
9. Nutzung vorhandener Fail-Safe-Eigenschaften (z.B. Ruhesignalprinzip, sicherer Zustand bei Ausfall der Spannungsversorgung).

(10) Prozessleitsysteme dürfen keine Funktion von Gaswarneinrichtungen mit automatischer Auslösung von Notfunktionen nach Nummer 2.5.4 der TRGS 722 wahrnehmen, es sei denn, sie sind nach den Normen für Gaswarnanlagen ausgelegt und geprüft. Die Anforderungen für den Einsatz von Gaswarneinrichtungen sind in Nummer 2.5 der TRGS 722 beschrieben.

(11) Für die Klassifizierungsstufe K2 bis K3 gilt, dass ein passiver Fehler innerhalb einer Zeitspanne erkannt und beseitigt werden muss, in der vernünftigerweise nicht mit einem weiteren Fehler gerechnet werden muss, der in Kombination mit dem passiven Fehler zu einem unsicheren Zustand führt.

(12) Bei softwaregesteuerten Geräten (z.B. Frequenzumrichter oder Stellungsregler) müssen sicherheitstechnische Schalthandlungen grundsätzlich ohne deren Softwaresteuerung direkt auf das entsprechende Stellglied einwirken, es sei denn, es liegt der Nachweis der erforderlichen funktionalen Sicherheit vor. Abweichungen hiervon sind zulässig, wenn dies in der Gefährdungsbeurteilung nach § 6 Absatz 9 GefstoffV ( Explosionsschutzdokument) begründet wird.

2 Zusatzmaßnahmen

(1) Über die allgemeinen Anforderungen hinaus sind, wenn im Einzelnen gefordert, die folgenden Zusatzmaßnahmen einzuhalten:

1. Einhaltung der grundlegenden und bewährten Sicherheitsprinzipien nach DIN EN ISO 13849-2:2008, insbesondere
   1. Verwendung bewährter und zuverlässiger Installationstechnik,
   2. geeignete Auswahl, Kombination, Anordnungen, Zusammenbau und Einbau der Bauteile durch Berücksichtigung der Anwendungshinweise der Hersteller sowie von Erfahrungen mit ähnlichen Bauteilen,
2. übersichtlicher und einfacher Aufbau der Überwachung. Verringerung der Anzahl von Bauteilen,
3. Begrenzung von Fehlerauswirkungen durch z.B.
   1. hochohmige Entkopplung oder
   2. Kurzschlussfestigkeit oder
   3. galvanische Trennung,
4. Anwendung des Ruhestrom- bzw. Ruhesignalprinzips für Signalleitungen,
5. Verhinderung von Grenzwertveränderungen durch nicht autorisierte Personen,
6. Toleranz der Überwachung gegen Abweichungen der Hilfsenergieversorgung (z.B. Steuerluft, elektrische Versorgung usw.); Abweichungen über die für die Versorgung der Geräte zulässigen Grenzwerte hinaus dürfen keinen schädlichen Fehler in der Überwachung zur Folge haben z.B. durch
   1. entsprechende Eigenschaften der Geräte selbst oder
   2. Sicherstellung der Hilfsenergieversorgung durch z.B. Redundanzen oder
   3. automatische Überwachung der Hilfsenergieversorgung mit Melden und Auslösen der Schutzfunktion,
7. Vermeidung von Fehlern gemeinsamer Ursache in redundanten Ex-Einrichtungen,
8. Wiederkehrende Prüfungen in Abhängigkeit von der Klassifizierungsstufe nach den Festlegungen der Hersteller und/oder den Erfahrungen des Arbeitgebers (Mit einer Verkürzung der Prüfabstände kann eine höhere funktionale Sicherheit erreicht werden.).

(2) Bei anderen Klassifizierungsstufen als K1 sind zur Erfüllung der erforderlichen Fehlersicherheit, in Abhängigkeit von einer Fehlerbetrachtung, weitergehende Maßnahmen notwendig, z.B.

1. MSR-Einrichtungen zur automatischen Funktionsüberwachung (z.B. Laufzeit- oder Stellungsüberwachung),
2. Plausibilitätsprüfung,
3. Schritt- und Zeitüberwachung oder
4. Erkennung eines Kurzschlusses oder einer Unterbrechung.

.

(1) Die Betriebsbewährung muss für die Hardware, die Systemsoftware und, soweit erforderlich, auch für die Anwendungssoftware gegeben sein. Mögliche systematische Fehler haben bei solchen Geräten keine sicherheitsrelevante Auswirkung gezeigt. Die Betriebsbewährung der Hardware hängt von den Prozessgrößen und Stoffeigenschaften ab, denen die Hardware ausgesetzt ist sowie von den Betriebsbedingungen und muss in jedem Einzelfall geprüft werden.

(2) Für die Feststellung der Betriebsbewährung eines Geräts für einen bestimmten Einsatzfall ist der Arbeitgeber verantwortlich.

(3) Für die Beurteilung der Betriebsbewährung sind die folgenden Informationen erforderlich:

1. Störstatistik über die Ausfälle dieser Komponente,
2. Dokumentation der Anforderungen an die Komponente für diesen Einsatz (Datenblatt, Stellenblatt),
3. Verwendung von Komponenten, bei denen Prinzipien in der Herstellung angewendet wurden, die für sicherheitsbezogene Anwendungen geeignet sind (genormte und geprüfte Eigenschaften von Komponenten).

(4) Die Bewährung einer Komponente ist anwendungsbezogen und nur im Einzelfall auf Basis einer Laborprüfung zu akzeptieren

(5) Als betriebsbewährte Komponenten gelten Komponenten, für die folgende Voraussetzungen erfüllt sind:

1. unveränderte Spezifikation und
2. zehn Systeme in unterschiedlichen Anwendungen und
3. 105 Betriebsstunden, jedoch mindestens ein Jahr Betriebsdauer und
4. keine bzw. keine sicherheitsrelevanten systematischen Fehler.

(6) Softwaremodule können als betriebsbewährt gelten, wenn sie Anforderungen nach Absatz 3 und 5 erfüllen.

(7) Anwendersoftware gilt als betriebsbewährt, wenn

1. zur Realisierung Softwaremodule nach Absatz 6 verwendet werden und
2. die Sicherheitsfunktionen hinsichtlich sicherheitsrelevanten systematischen Fehler geprüft wurde.

.

Das folgende einfache Beispiel erläutert die unter Nummer 4.1 bis 4.4 beschriebene Vorgehensweise. Die Sicherheitsfunktion der Ex-Vorrichtung ist die Vermeidung von explosionsfähiger Atmosphäre durch Lüftung.

Die hier exemplarisch angegebenen Einstufungen des Ausfallverhaltens sowie die Abgrenzung der Funktionseinheiten sind für das vorliegende Beispiel willkürlich gewählt und sind vor dem Hintergrund der jeweiligen Anwendung zu ermitteln. S. ist z.B. der Ausfall einer Energieversorgung entgegen der Einstufung des Beispiels üblicherweise als vorhersehbar einzustufen. Von einem verbesserten Ausfallverhalten kann nur unter Berücksichtigung zusätzlicher Maßnahmen ausgegangen werden, die im Einzelfall zu bewerten sind. Dies kann z.B. das Vorliegen eines besonders gesicherten Netzes oder eine zusätzliche unabhängige, parallel einspeisende Energieversorgung sein.

Abbildung 9: Einfache Lüftungsanlage mit den Funktionseinheiten Energieversorgung (1), Ventilator mit Antrieb (2) und Kanäle (3) mit Stellklappe und Alarmierung des Ausfalls

Tabelle 14: Unterteilung der Ex-Einrichtung in Funktionseinheiten

Funktional liegt für alle Funktionseinheiten der Ex-Einrichtung des Beispiels eine Reihenschaltung vor. Dies bedeutet, dass die schlechteste Bewertung in der Kette die Gesamtbewertung bestimmt. Damit ergibt sich für die Ex-Einrichtung eine Klassifizierungsstufe von K1. Mit der Klassifizierungsstufe K1 ergibt sich entsprechend Tabelle 6 eine Reduzierungsstufe von 1.

Abbildung 10: Wirkschaltbild des Beispiels der Abbildung 9 der Ex-Einrichtung Lüftung

Die Überwachung trägt in dem vorliegenden Beispiel nicht zur Sicherheitsfunktion bei und beeinflusst deshalb nicht das Ausfallverhalten der Ex-Einrichtung.

Hinweis: Die Wirksamkeit der Lüftung zur Zonenreduzierung ist in der Gefährdungsbeurteilung zu bewerten und gegebenenfalls regelmäßig zu überprüfen.

.

Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen; DIN EN ISO 13849:2008

Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen; DIN EN SO 13849: 2006

Nichtelektrische Geräte für den Einsatz in explosionsgefährdeten Bereichen - Teil 6: Schutz durch Zündquellenüberwachung "b"; DIN EN 13463-6:2005

Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze; DIN EN 954:1997

Sicherheitseinrichtungen für den sicheren Betrieb von Geräten im Hinblick auf Explosionsgefahren; DIN EN 50495 (VDE 0170-18):2010

Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/ programmierbarer elektronischer Systeme - Teil 1: Allgemeine Anforderungen (IEC 61508-1:2010); DIN EN 61508 (VDE0810):2010

Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie - Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware (IEC 61511- 1:2003 + Corrigendum 2004);;DIN EN 61511:2004

Sicherheit von Maschinen - Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme (IEC 62061:2005 + A1:2012); DIN EN 62061 (VDE 0113- 50):2013

ENDE