Was nützt ein SIL-Zertifkat für Steuerungskomponenten?

Als Alternative zu redundanter Anlagentechnik in Sicherheitstreppenhäusern werden für die in Fluchtwegen nötigen Differenzdruckanlagen immer häufiger Steuerungskomponenten angeboten, für die eine Ausfallwahrscheinlichkeit nach DIN EN 62061 und dem Sicherheitsintegritätslevel (SIL) ermittelt wurde. Lässt sich damit aber die geforderte redundante Ausführung einer Differenzdrucklage umgehen, um Kosten zu sparen? Die Antwort ist aus technischer und rechtlicher Sicht ein klares Nein. Aber es gibt durchaus Alternativen, um kompromisslose Sicherheit und Wirtschaftlichkeit in Übereinstimmung zu bringen.

Vom Maschinen- bis zum Automobilbau wurden vor Jahren sicherheitsrelevante Funktionen mechanisch abgesichert. Der Endschalter zusätzlich zur Lichtschranke an einer Maschinentür ist ein Beispiel dafür. Durch zunehmende Prozessautomation und Digitalisierung werden Menschenleben heute jedoch ganz selbstverständlich elektronischen Steuerungen mit unzähligen Sensoren und Aktoren anvertraut. Das Cockpit eines Flugzeugs macht das besonders deutlich. Ein nächster Schritt sollen autonom fahrende Autos sein.

Um elektronische Steuer- und Regelkreise gegen Funktionsausfall abzusichern, sind wesentliche Qualitätsrichtlinien entwickelt worden. International hat sich die IEC 61508 durchgesetzt, die auch in Europa übernommen wurde (DIN EN 61508) und als Stand der Technik gilt. Ziel der Norm ist in erster Linie, den Ausfall sicherheitsrelevanter Bauteile zu vermeiden. Da ein Restrisiko jedoch nie auszuschließen ist, wird außerdem die Ausfallwahrscheinlichkeit von Bauteilen eingeschätzt und ihre Folgen für die Funktion des Gesamtsystems bewertet. Sollte beispielsweise ein sicherheitsrelevanter Sensor ausfallen, wird als Reaktion darauf ein sicherer Anlagenzustand definiert, in den das System wechseln muss, damit keine Gefahr für Leib und Leben, die Umwelt und nachrangig auch für Sachwerte entsteht. Lässt sich dieses Prinzip auch auf Differenzdruckanlagen anwenden, die im Brandfall Flucht- und Rettungswege in einem Gebäude rauchfrei halten?

Ob SIL-zertifizierte Produkte redundante Anlagentechnik ersetzen können, ist zum einen aus technischer und zum anderen aus normativer Sicht zu klären. Für die technische Beurteilung ist es wichtig, die Funktion einer Differenzdruckanlage – oft auch Überdruck- oder Rauchdruckanlage genannt – kurz zu untersuchen: Detektiert eine Brandmeldeanlage ein Feuer, werden die entsprechenden Brandschutzklappen angesteuert, um den Gefahrenbereich abzuschotten, und es wird der Alarm ausgelöst. Gleichzeitig erzeugt die Differenzdruckanlage im Sicherheitstreppenraum einen Überdruck, damit aus dem Brandraum kein Rauch ins Treppenhaus strömt, wenn flüchtende Personen die Türen öffnen. Dazu führen Ventilatoren dem Treppenhaus von außen Luft zu. So bleibt der Weg über alle Stockwerke hinweg passierbar – sowohl für die Evakuierung als auch den Feuerwehrangriff.

Damit die Personen – selbst Kinder – die Fluchttüren gegen den Überdruck im Treppenraum leicht öffnen können, darf allerdings die Druckdifferenz maximal 50 Pascal betragen, beziehungsweise es dürfen auf der Tür maximal 100 Nm lasten. So schreiben es sowohl die DIN EN 12101-6 als auch die Muster-Hochhaus-Richtlinie (MHHR, Fassung 18. April 2008) vor. Definiert werden hier außerdem Strömungsgeschwindigkeiten: Die Luft muss an einer geöffneten Fluchttür aus dem Sicherheitstreppenraum in Richtung Brandraum mit mindestens 0,75 Metern pro Sekunde strömen (beziehungsweise mit 2,0 Metern pro Sekunde, wenn im weiteren Brandverlauf der Rauchdruck steigt).

Diese Vorgaben hat die Differenzdruckanlage trotz sich ständig verändernder Druckverhältnisse im Treppenraum zu erfüllen. Denn je nachdem, wie viele Etagen- sowie Eingangstüren geöffnet werden und wie groß der jeweilige Öffnungswinkel ist, entweicht mehr oder weniger Luft aus dem Treppenraum in die Etagen. Also muss das zugeführte Luftvolumen dynamisch angepasst werden. Die DIN EN 12101-6 gibt eine maximale Reaktionszeit von drei Sekunden vor, um 90 % der Sollluftmenge wiederherzustellen.

Bei elektronisch gesteuerten Differenzdruckanlagen misst hierzu ein Drucksensor im Sicherheitstreppenraum den Differenzdruck. Entsprechend des Messwertes wird ein Ventilator mit EC-Motor oder AC-Motor mit Frequenzumformer drehzahlgeregelt, um situationsabhängig das jeweils benötigte Luftvolumen in den Sicherheitstreppenraum zu fördern.

Was würde jedoch in einem Brandfall passieren, wenn der Drucksensor, der Ventilator oder die Steuerung ausfällt? Die Folge wäre das Totalversagen des Sicherungssystems. Aus diesem Grund schreibt die MHHR vor: „Ist nur ein innenliegender Sicherheitstreppenraum vorhanden, müssen bei Ausfall der für die Aufrechterhaltung des Überdrucks erforderlichen Geräte betriebsbereite Ersatzgeräte deren Funktion übernehmen“ (Abs. 6.2.1).

Dem folgend verlangt somit das Baurecht der Bundesländer die redundante Ausführung einer Differenzdruckanlage. An der zuvor beschriebenen Funktionsanalyse wird deutlich, warum SIL-zertifizierte Bauteile oder Steuerungen die Verpflichtung einer redundanten Ausführung nicht aufheben können: Bei einer Differenzdruckanlage lässt sich kein sicherer Anlagenzustand definieren, in den das System bei dem Ausfall von Komponenten wechseln kann. Es muss gewährleistet sein, dass stets das passende Luftvolumen gefördert wird. Ein statischer Funktionserhalt einer Differenzdruckanlage nach dem SIL-Prinzip ist nicht möglich. Daher ist eine Bauteilzertifizierung nach SIL de facto wertlos.

Die vom Gesetzgeber geforderte Redundanz einer Überdruckanlage lässt sich dennoch wirtschaftlich optimieren. Zum Beispiel, indem nur die Komponenten der dynamisch arbeitenden Differenzdruckanlage zweifach installiert werden. Funktionen des technischen Brandschutzes, für die ein sicherer Anlagenzustand bei einem Bauteilausfall zu definieren ist, können jedoch einfach ausgeführt werden.

Das lässt sich realisieren, indem beispielsweise der Steuerschrank einer Überdruckanlage nur die statischen Funktionen abdeckt. Dazu zählt unter anderem die Ansteuerung von Brandschutzklappen, die der Abschottung dienen. Im Brandfall gibt es hier nur einen sicheren Zustand: Die Klappe muss geschlossen sein. Kommt hierzu kein Signal vom Steuerschrank, weil dieser ausgefallen ist, lässt sich die Schutzfunktion über kompensierende Sicherungsmaßnahmen direkt an der Klappe absichern. Werden also die für den Funktionserhalt maßgeblichen logischen und technischen Bauteile (Regel- und Antriebseinheit plus Sensorik) von den statischen Funktionsbauteilen (Schaltschrank) separiert, so lässt sich die redundante Ausführung auf genau die Bauteile beschränken, die bei einem Ausfall die sichere Funktion der Anlage verhindern würden.

Bei einer solchen Anlagenkonzeption ist zum Beispiel keine Doppelung der Schaltschränke erforderlich. Und da allein der Schaltschrank einer Differenzdruckanlage bis zu 40 % der Kosten ausmachen kann, ergibt sich daraus ein großes Einsparungspotenzial.

Ein Lösungskonzept, das der Hersteller Systemair verfolgt, liegt in der redundanten Ausführung der Sensorik im Sicherheitstreppenraum sowie der Ventilatoren einschließlich der dazugehörigen Regel- und Antriebseinheiten. Diese Sensoren und Aktoren bilden über funktionserhaltende Leitungen einen eigenständigen MSR-Kreis. Selbst wenn Bauteile oder sogar der gesamte Schaltschrank ausfallen sollte, bliebe so die Funktion der Differenzdruckanlage voll erhalten. Das gilt auch bei dem Szenario, dass ein Drucksensor oder eine Ventilatoreinheit ausfällt.

Die Beschränkung der Redundanz auf Anlagenteile, für die ein Versagen ausgeschlossen sein muss, entspricht den Vorgaben des Gesetzgebers gemäß den Hochhaus-Richtlinien der Bundesländer. Gleichzeitig lassen sich dadurch unter sicherheitstechnischen und rechtlichen Gesichtspunkten machbare Einsparungspotenziale ausschöpfen.

Reiner Kelch