Nicht selten arbeiten Anlagenbediener mit Systemen, in denen mehr als Tausend Alarme konfiguriert sind, von denen üblicherweise auch eine große Zahl aktiv anstehen. Das gilt vor allem während und nach Prozessstörungen oder Ausfällen. Bediener, die sich pro Stunde um Hunderte von Alarmen kümmern müssen, können kaum noch ihre eigentliche Aufgabe erfüllen. Es sind Fälle belegt, wie etwa die Explosion in der Raffinerie in Milford Haven (UK) im Jahre 1994, in denen unzureichend ausgelegte Alarmsysteme wesentlich dazu beitrugen, dass aus einem Grenzfall ein Störfall wurde. Das Abnormal Situation Management Consortium (ASM) wurde ursprünglich von mehreren Firmen etabliert, um gemeinsam das Wissen und die Technologie zum Alarm-Management voranzubringen. Die Mitglieder des Konsortiums sind seit über einem Jahrzehnt aktiv und haben dabei Richtlinien erarbeitet, die in allen Bereichen der Prozessindustrie anwendbar sind. Sie konnten durch ihre Arbeit belegen, dass eine verbesserte Alarmsituation die Effektivität des Bedieners erhöht und einen direkten Einfluss auf die Reduktion von Grenzfällen in Prozessen hat. Inzwischen kann man auf umfangreiche Publikationen mit Richtlinien und Empfehlungen zu den besten Methoden beim Management von Alarmen zurückgreifen. Die erste relevante Veröffentlichung berichtet über das Ergebnis einer Umfrage der britischen Health and Safety Executive (HSE) in 13 Betrieben der Prozessindustrie. Das Ergebnis belegt die damalige schlechte Arbeitsweise der Alarmsysteme in vielen Anlagen unterschiedlicher Industriebereiche. Als wesentliches Resultat wurde anschließend die Richtlinie No 191 der EEMUA (Engineering Equipment & Materials Users‘ Association) herausgegeben, die inzwischen als weitgehend anerkanntes Basisdokument bei der Einrichtung und Bewertung handhabbarer Alarmsysteme gilt. Das ASM Consortium unterstützt die Angaben im EEMUA-Dokument und belegt durch eigene Forschungsprojekte, dass die EEMUA-Vorgaben praxistauglich sind und zu bedeutenden Leistungsverbesserungen führen können. Ergänzend hat das Konsortium vor wenigen Monaten seine eigenen, in 2003 erstellten Richtlinien unter dem Titel „Effective Alarm Management Practices“ für die allgemeine Öffentlichkeit freigegeben. Die ASM-Richtlinien erweitern das EEMUA-Dokument um das „Warum“ und „Wie“ bei der Implementierung eines effektiven Alarmmanagements.
Gute Sicherheit – ein gutes Geschäft
Der Aspekt der Anlagensicherheit hat eine hohe und immer noch zunehmende Bedeutung. Die Kosten unzureichender Sicherheit sind inzwischen in allen Betreiberfirmen erkannt worden. Schlechtes Alarm-Management ist häufig ein entscheidender Faktor bei Grenz- und Störfällen. Der Störfall in der Milford-Haven-Raffinerie 1994 verursachte Kosten alleine durch Zerstörung der Einrichtungen in Höhe von mehr als 55Mio. Euro. Der jüngere Störfall in Texas City (2007) schlägt mit Kosten von ca. 1,5 Mrd. Euro zu Buche – wobei ein wesentlicher Anteil für die Entschädigung der betroffenen Bevölkerung aufzuwenden war. Dies belegt die Aussage, dass gute Sicherheit ein gutes Geschäft ist. Zudem ist in einigen Ländern eine wachsende Aufmerksamkeit der Sicherheitsbehörden gegenüber der Qualität und Leistungsfähigkeit der installierten Alarmsysteme erkennbar. Nicht zuletzt haben auch Versicherungsunternehmen ebenfalls den Beitrag eines guten Alarm-Managements zur Verbesserung der Sicherheit erkannt. Mehrere Produktionsbetriebe in unterschiedlichen Regionen berichten über reduzierte Versicherungsbeiträge, wenn der Betrieb ein qualifiziertes Alarm-Management belegen kann. Die untenstehende Tabelle listet drei häufige Probleme, zusammen mit empfohlenen Techniken und Grenzvorgaben aus den EEMUA-Empfehlungen, auf. Die nachfolgenden Abschnitte betrachten lediglich den Problembereich stehender Alarme. Die weiteren in der Tabelle aufgeführten Probleme des Alarm Managements wie häufige Alarme und vor allem Alarmschauer sind Thema separater Ausarbeitungen.
Ursachen von stehenden Alarmen
Das Problem „stehender Alarme“ ist am ehesten augenfällig. Selbst während ruhiger Betriebsphasen zeigt die Alarm-übersicht von Leitsystemen oft mehrere Seiten mit Alarmen, die bereits seit längerer Zeit anstehen. Anwenderbeispiele mit Alarmen über mehrere Monate oder sogar länger sind nicht unüblich. Zu den Gründen hierzu gehören:
- • Unzulänglich definierte Alarmgrenzen. Man findet beispielsweise manchmal Reglersollwerte, die höher liegen als die Grenze für den Hochalarm des Istwertes. In anderen Fällen, wenn die Anlage in der Nähe ihrer Alarmgrenzen betrieben wird, kommt es häufig zu kurzzeitigen Grenz-überschreitungen mit stehenden Alarmen, wenn der Istwert innerhalb seines Totbandes bleibt. • Alarme von nicht benutzten oder sogar abgebauten Einrichtungen. • Alarme in Anlagen mit unterschiedlichen Betriebszuständen – jedoch mit unveränderten Alarmgrenzen.
In einigen Anlagen passen Operator „routinemäßig“ die Alarmparameter an, um dieses Problem zu umgehen. Auch wenn diese Vorgehensweise verständlich erscheint, sollte sie nicht die Praxis sein. Die Anpassung der Alarmgrenzen erfordert einen gewissen Aufwand und kann zudem leicht den Schutzzweck aufheben, den Alarme eigentlich bieten sollten. Außerdem ist diese Vorgehensweise fehleranfällig. Die Anpassung von Alarmprioritäten ist ebenfalls problematisch. Es ist sehr einfach, eine Priorität „temporär“ so zu ändern, dass der Alarm nicht mehr angezeigt wird. Leicht wird jedoch das spätere Zurücksetzen zu der korrekten Priorität vergessen – das gilt vor allem dann, wenn ganze Gruppen von Alarmen häufig angepasst werden müssten. Die Deaktivierung von Alarmpunkten ist ebenfalls problematisch, da sie häufig alle Alarme eines Prozess-TAG‘s betrifft, und nicht nur den Verursacher-Alarm alleine. Die verschiedenen erwähnten Richtlinien zeigen einige Techniken auf, die dabei helfen, die Anzahl stehender Alarme sicher und effektiv zu reduzieren. So bringt etwa eine Alarm-Rationalisierung viele Vorteile. Details hierzu sind in EEMUA 191 angegeben. Ein wesentlicher Effekt ergibt sich durch die abgestimmte Definition der Alarmgrenzen, sodass Alarme während des Normalbetriebs nicht mehr vorhanden sein sollten. Weitere Vorteile leiten sich dadurch ab, dass die Möglichkeiten zur Nutzung effektiver Techniken wie status-basierte Alarmierung und Verschieben von Alarmen (Shelving) für die betrachtete Anlage im Vorfeld untersucht, aufgezeigt und von den betroffenen Bereichen genehmigt werden können. Wie angeführt, kann sich im Rahmen der Aktivitäten einer Alarm-Rationalisierung der Bedarf für eine status-bezogene Alarmierung herausstellen. Eine derartige Alarmfunktion sieht die Nutzung mehrer Datensätze mit festgelegten und abgespeicherten Alarmgrenzen (oder anderer Parameter) vor und kann sich dadurch den jeweiligen Betriebszuständen der Anlage schnell aber kontrolliert anpassen. Beispielsweise kann die Mischung von Stoffen für jedes Mischrezept einen eigenen Alarm-Datensatz verwenden und einspielen. Die Datensätze der Alarm-Parameter sind in einer Datenbasis abgelegt und werden bei Bedarf reproduzierbar an die prozessnahen Komponenten übertragen. Status-TAGs überwachen die Betriebsart und informieren gegebenenfalls den Operator, die Alarm-Parameter aus einem anderen Datensatz freizugeben. Status-basierte Alarmierung kann dabei eine breite Palette an möglichen Betriebszuständen wie etwa hohe, mittlere und niedrige Durchsatzraten, Normalbetrieb und Abfahrzustände oder Regeneration abdecken. Zur Illustration zeigt die Abbildung oben links die Alarmgrenzen eines Mengen-Reglers im Normalbetrieb. In der Abbildung daneben sind die entsprechenden Angaben für die Betriebsart mit hohem Durchsatz dargestellt. Wechselt der Anlagenfahrer von normal auf hoch werden zunächst die Hochalarme einiger TAGs aktiviert – einschließlich des hier gezeigten. Nach Anpassung der Alarmgrenzen (beispielsweise durch status-basierte Alarmierung) ist der Istwert-Alarm nicht mehr gültig und wird aufgehoben. Auch wenn die Aktivitäten der Rationalisierung zu sachgerecht definierten Alarmgrenzen führen, kann es Konstellationen geben, in denen Alarme über einen längeren Zeitraum vorliegen. Beispielsweise können sich durch eine Störung bei der Versorgung mit Hilfsmitteln (z. B. Kühlwasser) ungewollte Prozesszustände ergeben. Alarme können auch durch fehlerhafte und nicht kurzfristig reparierbare Instrumente auftreten – und in solchen Fällen länger anstehen. Derartige Alarme sind dem Bediener lange bekannt und müssen daher nicht unbedingt ständig in der primären Alarmübersicht angezeigt werden. Er kann sie ohne Sicherheitseinbußen temporär in eine separate Ablage verschieben, in der sie immer noch leicht einsehbar sind. Diese separate Ablage ist lediglich eine andere, dem Operator bekannte Alarmliste. Die Verwendung einer solchen Ablage verkürzt die primäre Alarmliste und macht sie leichter handhabbar. Das Risiko wird kleiner, wichtige Alarme zu übersehen, die durch solche unproblematisch zu verschiebende Alarme überdeckt würden.
Bleibende Herausforderung: Alarmschauer
Diese kurze Betrachtung legt einen Fokus auf das Problem der „stehenden“ Alarme. Viele Prozessanlagen in vielen Bereichen der Prozessindustrie sind jedoch von allen drei erwähnten gängigen Problemthemen betroffen, auch wenn gute Fortschritte bei der Verbesserung der Situation zu erkennen sind. Immer mehr Anlagen werden an oder nahe an den Zielmarken für stehende Alarme und für häufig wiederkehrende Alarme betrieben. Fortschritte bei dem Problem der Alarmschauer sind zurzeit dagegen kaum erkennbar, wie eine jüngste Studie des ASM Consortiums belegt. Effektive Handhabung von Alarmschauern ist die größte Herausforderung in vielen Anlagen. Die vorgegebenen Zielgrößen sind allerdings kaum in Frage zu stellen, da die Limitierungen durch den Faktor Mensch aufgeprägt sind.
• more@click-Code: PA110203
