Alarmmanagement
Alarmmanagement bezeichnet das systematische Management von Alarmen in einem Prozessleitsystem, um die Gebrauchstauglichkeit für die Anlagenfahrer sicherzustellen. Ein Alarm wird dabei als ein Ereignis definiert, das eine unverzügliche Reaktion des Anlagenfahrers erfordert. In modernen Leitsystemen ist es sehr einfach, isolierte Einzelalarme zu konfigurieren. Häufig wird in Zweifelsfällen lieber ein Alarm zu viel als einer zu wenig konfiguriert. Bereits im ungestörten Normalbetrieb erzeugen viele Prozesse zahlreiche Alarme (Durchschnittswerte von über 2.000 Alarmen pro Tag und Anlagenfahrer sind keine Seltenheit).
Es ist leicht nachvollziehbar, dass eine solch hohe Grundlast an Alarmen (mehr als ein Alarm pro Minute) bei den Anlagenfahrern – die zumeist neben der Beobachtung des Alarmsystems noch viele andere Aufgaben haben – zu einer Desensibilisierung führt, so dass ein möglicherweise wichtiger Alarm in einer Masse unwichtiger Alarme leicht übersehen werden kann. Die Richtlinie EEMUA 191, die 1999 in Großbritannien publiziert wurde, hat sich inzwischen zu einem weltweit akzeptierten Quasistandard für Alarmmanagement entwickelt. Kernanliegen der EEMUA 191 ist es, das Alarmsystem zu einem möglichst hilfreichen Werkzeug für Anlagenfahrer zu machen. Da die menschliche Aufnahmefähigkeit für Informationen beschränkt ist, muss sichergestellt werden, dass sich die Alarmrate einer Anlage in zumutbaren Bereichen bewegt. EEMUA 191 nennt als groben Richtwert beispielsweise ein Alarm in zehn Minuten im Normalbetrieb. Typische Symptome für schlechtes Alarmmanagement sind:
- Alarme werden, ohne je aufgenommen worden zu sein, „blind“ quittiert.
- Alarmbildschirme werden weitgehend ignoriert.
- Alarmhupen werden außer Kraft gesetzt, da es sonst zu einer dauerhaften Lärmbelästigung käme.
Alarmflut
BearbeitenBei Prozessstörungen kommt es häufig zu einer Alarmflut, da eine Ursache eine Vielzahl von kausal miteinander verbundenen Alarmen auslösen kann. Es besteht die Gefahr, dass die Anlagenfahrer, die in solchen Situationen oft unter großem Stress stehen, von der Alarmflut überfordert werden.
Was schlechtes Alarmmanagement anrichten kann, zeigte die Explosion in der Raffinerie von Milford Haven im Jahr 1994. Bei diesem Unglück wurden 26 Personen zum Teil schwer verletzt, es entstand ein Schaden von ca. 70 Millionen Euro. Mängel im Alarmsystem waren eine wesentliche Ursache des Unglücks: So mussten die Anlagenfahrer in den letzten elf Minuten vor der Explosion auf 275 verschiedene Alarme reagieren. EEMUA 191 empfiehlt, dass in den ersten 10 Minuten nach einer Prozessstörung nicht mehr als 10 Alarme generiert werden sollten. Ein solcher Wert ist bei vielen Anlagen allerdings nur mit sehr hohem Aufwand erreichbar.
Alarmkonzept (engl. alarm philosophy)
BearbeitenFür jede Anlage sollte es ein schriftlich dokumentiertes Alarmkonzept geben, in dem beschrieben ist, was wann wie alarmiert wird. Das Dokument sollte eine Zuordnungsvorschrift für Alarmprioritäten enthalten, beispielsweise in Abhängigkeit vom potenziellen Schaden bei Nichtbeachtung und der für eine Reaktion zur Verfügung stehenden Zeit.
Alarmanalyse
BearbeitenEin wesentlicher erster Schritt des Alarmmanagements ist die Protokollierung aller Alarme in einer Datenbank und ihre statistische Auswertung. Auf der Grundlage der gewonnenen Kennwerte (durchschnittliche Alarmrate pro Anlagenfahrer, Alarmspitzenwerte u. a.) können die Qualität des Alarmsystems eingeschätzt und geeignete Maßnahmen begründet werden. Eine Alarmanalyse ist auch Grundlage einer effizienten Alarmreduzierung. Die Erfahrung zeigt, dass einige wenige, oft unwichtige Konfigurationen für einen Großteil der gemeldeten Alarme verantwortlich sind. Oft kann mit begrenztem Aufwand eine erhebliche Verbesserung des Alarmsystems erreicht werden.
Alarmreduzierung
BearbeitenAlarme ohne Wert für die Anlagenfahrer gibt es aus vielerlei Gründen, wie beispielsweise:
- Defekte oder verschmutzte Sensoren erzeugen fortlaufend Falschalarme;
- Alarme wurden in der Inbetriebnahmephase genutzt und später nie beseitigt;
- Schlecht eingestellte Regelkreise überschreiten periodisch die Alarmgrenzen;
- Ereignisse, die keine Reaktion des Anlagenfahrers erfordern, werden als Alarm gemeldet;
- Zu eng gesetzte Alarmgrenzen;
- Falsch gesetzte Alarmparameter (Hysterese, Filter).
Die Eliminierung solcher Alarme gestaltet sich dementsprechend von sehr einfach bis sehr aufwendig.
Alarmrationalisierung
BearbeitenEin Team, bei dem stets auch ein erfahrener Anlagenfahrer beteiligt sein sollte, gleicht Alarm für Alarm mit dem Alarmkonzept ab. Um ein späteres Änderungsmanagement zu erleichtern, sollte jede Entscheidung möglichst detailliert dokumentiert werden.
Fortgeschrittene Alarmierung
BearbeitenDas in EEMUA 191 beschriebene Konzept der Alarmanalyse und -reduzierung erlaubt es bei vielen Anlagen, die Qualität des Alarmsystems mit wenig Aufwand erheblich zu verbessern. Um aber das Problem der Alarmflut bei Prozessstörungen in den Griff zu bekommen, sind weitere (und häufig komplexe) Maßnahmen erforderlich. So müssen kausale Beziehungen zwischen Alarmen analysiert und Alarme vom aktuellen Zustand der Anlage abhängig gemacht werden.
Literatur
Bearbeiten- EEMUA 191 Alarm Systems – A Guide to Design, Management and Procurement (1999) ISBN 0-85931-076-0
- Advanced Control Room Alarm System: Requirements and Implementation Guidance (2005) Palo Alto, CA. EPRI report 1010076.
Weblinks
Bearbeiten- NA 102 Alarm Management ( vom 15. Dezember 2011 im Internet Archive), NAMUR 31. Oktober 2003 (PDF-Datei; 228 kB)
- VdS 2556 Sicherung von verfahrenstechnischen Anlagen mit Mitteln der Prozessleittechnik (PDF-Datei; 127 kB)
- Besserer Umgang mit Alarmen (PDF-Datei; 32 kB)
- ISA-SP18 – Alarm Systems Management and Design Guide ( vom 7. September 2012 im Internet Archive) (PDF-Datei; 122 kB)