docEffektives Alarm-Management in Produktionsprozessen
download 
Report Transcription
Effektives Alarm-Management in Produktionsprozessen
Journal Industrie und Unternehmen Effektives Alarm-Management in Produktionsprozessen Das wachsende Interesse und die zunehmenden Aktivitäten zum Thema Alarm-Management belegen, dass das darin enthaltene Potenzial zur Verbesserung der betrieblichen Leistungsfähigkeit erkannt und vermehrt abgerufen wird. Allerdings steht dieser Prozess erst am Anfang einer breiteren Realisierung und ist noch lange nicht gängige Praxis. Neben der Freisetzung der erforderlichen Ressourcen ist die Systematik in Konzeption und Vorgehensweise eine wesentliche Voraussetzung für den Erfolg eines Projektes zur Optimierung des Alarm-Managements. Dieser Beitrag zeigt die vorhandene Problematik sowie Aspekte zur Strukturierung und zur konsistenten Bearbeitung auf. Situation der Alarmsysteme Bei der Führung von Produktionsprozessen werden Alarme zur Information der Bediener über eingetretene Zustände und zur Auslösung zeitgerechter Aktionen verwendet. Jede heute betriebene Produktionsanlage verfügt in irgendeiner Form über ein Alarmsystem. Es ist Teil eines Prozessleitsystems oder eines anderen prozessorbasierten Systems zur Überwachung und Steuerung der Produktion. Sicherheitsgerichtete Alarme, oft auch als „kritische Alarme“ bezeichnet, werden dabei in den hochverfügbaren Komponenten spezifischer Sicherheitssteuerungen implementiert. Im Gegensatz zur Leittechnik, die sich in den letzten 30 Jahren vom pneumatischen Einzelregler zu integrierten Architekturen mit u. U. multivariabler, modellbasierter Prozessführung signifikant weiter entwickelt hat, ist dies für die Fortschritte von Alarmsystemen nicht annähernd in vergleichbarem Ausmaß gegeben. In größeren Anlagen trifft man inzwischen nicht selten auf mehrere Tausend konfigu- 34 rierte Alarmparameter. Das bedingt zwangsläufig die Gefahr einer Häufung aktiver Alarme. Anlagen mit 20–60 Alarmen pro Stunde auch während des normalen Prozessbetriebs sind nicht selten. Die nachträgliche Auswertung typischer Störsituationen belegt vor allem eine drastische Zunahme der Alarme schon in den Minuten vor dem Störereignis. In dieser Situation müssen Bediener ihre Konzentration nahezu ausschließlich zur Behandlung von Alarmen aufwenden. Spielraum für eine proaktive Überwachung und Führung der Anlage ist damit nicht mehr gegeben. Während einer Störsituation überschreiten die Alarmraten nicht selten den Wert von 30 Alarmen pro Minute. Dieser als „Alarmschauer“ bezeichnete Zustand kann sich über einen längeren Zeitraum hinziehen. Mittlerweile ist anerkannt, dass ein Operator auf derartige Alarmraten nicht angemessen reagieren kann. Wichtige Alarme drohen daher in der Alarmflut unterzugehen. Bekannte Störfälle belegen die nicht erfolgte Reaktion auf Alarme oder die fehlerhafte Zuordnung zu ihren Ursachen und erforderlichen Aktionen aufgrund zu vieler Ereignismeldungen. Allein die dadurch bedingte Zerstörung an Einrichtungen kann, auch ohne Berücksichtigung des zusätzlichen Produktionsausfalls, Verluste in Millionenhöhe bedeuten. Nicht in allen Anlagen ist ein unzureichendes Alarmsystem anzutreffen. Analysen in gut eingestellten Systemen weisen Werte von ein oder zwei Alarmen pro Stunde aus. Andererseits findet man Betriebe, die dem Alarmsystem selbst in mehr als zehn Jahren Produktionsablauf wenig Aufmerksamkeit gewidmet haben. Für diese Einordnung ist weder die Größe noch der Typ (z. B. Batch, Konti) einer Anlage relevant, sondern die gelebte Praxis während Projektierung und Betrieb. Erst in letzter Zeit wird die Erkenntnis, dass eine frühzeitig abgesprochene systematische Alarmphilosophie sowie eine nutzergerechte Bedienkonzeption für ein optimales AlarmManagement entscheidend sind, auch in Projekten umgesetzt. Bezugsstandards Im Jahre 1990 schlossen sich in den USA Vertreter von 25 Prozessbetreibern zu einer Alarm Management Task Force (AMTF) zusammen. Daraus ging 1994 das ASM (Abnormal Situation Management) Consortium hervor, das zur Erstellung der viel zitierten EEMUARichtlinie [1] sowohl finanziell als auch inhaltlich mit beigetragen hat. Das EEMUA-Papier (Engineering Equipment and Material Users Association) ist gegenwärtig weltweit die erste Referenz zum Thema Alarm-Management und wird vor allem bezüglich der angegebenen Vergleichsdaten herangezogen. Eine weitere allgemein verwendete Referenzunterlage wurde von der HSE (Health and Safety Executive) in Großbritannien herausgegeben [2]. In Nor- wegen hat das Norwegian Petroleum Directorate ein ähnliches Dokument erstellt [3], das aber auch auf EEMUA Bezug nimmt. Ein umfassendes Basisdokument zu den Aspekten des Alarm-Managements mit Leitsystemen wurde von einem Operator Interface Workshop der Honeywell Users Group erarbeitet [4]. Weitere Aktivitäten im Bereich Prozesssicherheit, wie z. B. die Seveso II-Direktive [5] der Europäischen Union, nehmen Einfluss auf Sicherheitsaspekte zur alarmgestützten Reduktion von Risiken. Andere Sicherheitsstandards beziehen sich auf den Einsatz von Rechnern als Schutzsysteme [6] [7], wobei eine klare Abgrenzung der sicherheitsgerichteten Alarme erfolgt. Die Mehrzahl der im Prozess konfigurierten Alarme ist demnach nicht sicherheitsrelevant. Das „Alarm-Problem“ Alarme, ursprünglich gedacht zur Unterstützung des Bedieners beim Betrieb der Anlage, Tabelle 1: Stufen einer Alarm-Performance. Überlast Ständig hohe Alarmrate mit starker Beeinträchtigung der Effizienz während Prozessstörungen. Auch im Normalbetrieb ist das Alarmsystem schwierig zu handhaben und wird daher während Störungen praktisch ignoriert. Reaktiv Die Spitzen der Alarmrate während Störungen sind immer noch nicht handhabbar. Das Alarmsystem ist während längerer Zeiträume kein Hilfsmittel für die Bediener. Stabil Im Normalbetrieb ein gut definiertes System, aber weniger nützlich während Störungen. Verglichen mit dem Status „Reaktiv“ zeigen sich bessere mittlere und maximale Alarmraten. Die Alarme in Störsituationen sind unter systematischer Kontrolle. Probleme gibt es noch bezüglich der Alarmrate in Grenzfällen. Robust Mittlere und maximale Alarmraten sind für die planbaren Betriebssituationen akzeptabel. Techniken der dynamischen, betriebsbedingten Anpassung werden angewendet. Die Bediener vertrauen dem System. Sie erhalten die notwendige Zeit, auftretende Alarme zu analysieren und zu bearbeiten. Prediktiv Das Alarmsystem entspricht EEMUA-Vorgaben. Es ist stabil und liefert dem Bediener zum richtigen Zeitpunkt die benötigten Informationen. Die Alarme erkennen Probleme bevor sie auftreten und verhindern dadurch Prozessstörungen oder deren Einfluss auf die Produktion. 47 (2005) Heft 2 atp Journal Industrie und Unternehmen Abgleich Re-Design Management der Alarm-Datenbasis Tools → Abweichungs Managemt. → Produktionsvarianten → MOC → Limitführung Alarm-Analyse Zustand Häufigkeit Abhängigkeiten Dokumentation Dyn. Alarmdaten-Anpassung Projektkonzept, ==> Alarm-Datenbasis PLS Systemkonzept, Bedienung, Handhabung AlarmPhilosophie (per Anwender, Anlage, Projekt) Alarmreduktion Bedienphilosophie PLS - Systemfunktionen Funktionsparameter Bediengrafiken Leittechnik Planung Bild 1: Alarm-Management-Funktionsmodell. entwickeln sich teilweise zu einem zusätzlichen Hindernis für eine zielgerichtete, effektive Bedienung. Die mit den Mitteln moderner Leittechnik relativ leicht einzurichtenden und erweiterbaren Alarmpunkte fördern u. U. eine unreflektierte Zunahme derartiger Parameter und in der Folge eine nicht vorgesehene Beanspruchung des Bedieners. Die Daten eines Alarmsystems werden bisher nicht so sorgfältig geplant wie andere Elemente eines Automationsprojektes. Das mag darin begründet sein, dass die betriebliche Notwendigkeit und die ökonomischen Effekte erst bei genauerer Betrachtung erkennbar sind. Allerdings bietet dies nachträglich selbst in laufenden Anlagen die Chance, durch Einbringen von Sachverstand und bewährten Praktiken noch erhebliche Verbesserungen zu erzielen. Marktstudien zeigen auf, dass eine Investition in Abnormal Situation Management einen höheren finanziellen Rücklauf abwirft als eine vergleichbare Investition in ein Advanced Control-Projekt. Häufig sind die Effekte dabei allerdings nur mit Hilfe von Annahmen quantifizierbar. Sie ergeben sich aus erhöhter Anlagen-Produktivität, der Vermeidung von Verlusten aus Grenz- und Störfällen sowie einer der auftretenden Alarmrate adäquaten Anzahl an Operatoren. 36 Die Auswertung zahlreicher Alarmdaten aus unterschiedlichen Systemen zeigt auf, dass die Probleme mehrschichtig und überlappend auftreten. Es lassen sich jedoch typische Problembereiche kategorisieren: • Redundante Alarme • ständig anstehende Alarme, oft bedingt durch fehlende Anpassung an veränderte Betriebszustände • Flatter-Alarme • Alarmflut Die Kategorien haben unterschiedliche Ursachen und erzeugen unterschiedliche Effekte, ermöglichen aber zumindest zum Teil gemeinsame Lösungsansätze. Vor allem wenn Anlagen an ihre Kapazitätsgrenzen gefahren werden, ist die optimale Adressierung der Problemkategorien mit zusätzlich eindeutiger Bedienerführung notwendig. Ein guter Startpunkt zur Verbesserung der Alarmsituation ist die Analyse aufgezeichneter Alarmdaten. Damit lässt sich das in einer Anlage vorhandene Problem oft eingrenzen oder präzisieren. Der erste Fokus auf die Bearbeitung der am häufigsten auftretenden Alarmpunkte kann schnell zu signifikanten Verbesserungen, vor allem zu einer Reduktion der Flatter-Alarme führen. Allerdings wird mit diesen Mitteln das Problem der Alarmflut nicht adressiert. Eine Publikation aus dem Jahre 2002 [8] schlägt eine 5stufige Klassifizierung für den Zustand eines Alarmsystems vor (Tabelle 1). Die überwiegende Zahl aktuell betriebener Anlagen dürfte sich demnach in den Stufen Überlast und Reaktiv wiederfinden. Funktionsmodell Alarm-Management Effektives Alarm-Management spiegelt das Zusammenspiel von Alarmsystem, Leitsystem und Bediener wieder. Basis ist eine durchdachte und mit allen involvierten Betriebsbereichen abgestimmte Alarmphilosophie sowie eine gute Kenntnis des Prozesses. Hinzu kommt eine Konzeption der Vorgehensweise, die den gesamten Lebenszyklus des Alarm-Management-Projektes einschließt. Die Zuordnung der verschiedenen, aus Systemhardware, Systemfirmware, Applikationssoftware sowie Planung und Projektierung bestehenden Elemente des Alarmsystems ist in dem nachfolgenden hierarchischen Funktionsmodell grafisch dargestellt. Auf der untersten Ebene erfolgt eine Trennung in die Bereiche Planung und Leittechnik, da hier grundlegende Funktionen unabhängig voneinander bereitgestellt oder erarbeitet werden. Die Planung definiert eine nach festgelegten Regeln und Mechanismen abgestimmte Alarmphilosophie, die zumindest für das betreffende Projekt Allgemeingültigkeit haben sollte, sinnvollerweise aber für das gesamte Werk oder Unternehmen die Grundlage der Alarmkonzeption darstellt. Im nachfolgenden Kapitel sind beispielhaft Elemente und Inhalte einer möglichen Alarmphilosophie wiedergegeben. Der zweite Bereich der Basisebene des Funktionsmodells, die Firmware der eingesetzten Leittechnik, liefert den Funktionsvorrat des Systems für eine projektspezifische Alarmkonzeption. Seitens des PLS-Lieferanten sollten, unter bester Kenntnis der Systemmöglichkeiten, zusätzlich Vorschläge zu einem schlüssigen Systemkonzept mit optimaler Projektierung von Funktion, Bedienung und Handhabung eingebracht werden. Unter Nutzung der grundlegenden Alarmphilosophie so- Sicherheit Umwelt Produktionsverluste Event Typen Verlust von Einrichtungen Skalierung der Folgen Uneffektiver Betrieb Folgen Reaktion sofort (< 5 min) bald (5–15 min) später (> 15 min) gering moderat gross extrem Reaktionszeit Bild 2: Kriterien einer Philosophie-Matrix (Quelle: Honeywell). 47 (2005) Heft 2 atp Industrie und Unternehmen Journal wie der vom eingesetzten Leitsystem angebotenen Möglichkeiten werden die Inhalte der Alarmdatenbasis für ein spezifisches Projekt erarbeitet und implementiert. Dabei gilt es, die Notwendigkeit und die erforderlichen Aktionen für jeden Alarmparameter zu überdenken und zu dokumentieren. Ebenfalls sollten Aspekte der Alarmreduktion für die konkreten Prozessgegebenheiten einfließen. Je nach veränderlichen Betriebszuständen des Prozesses kann eine dynamische Anpassung der Alarmdaten zusätzlich konzipiert und in den verfügbaren Komponenten des Alarmsystems abgelegt sein. Sinnvolle Ergänzung finden diese projektierten Daten durch Werkzeuge zur nachträglichen Analyse und Darstellung (Grafik, Tabelle, Report) der im Leitsystem festgehaltenen Alarmund Ereignishistorie. Es ist zu erwarten, dass derartige Werkzeuge zunehmend zum direkten Funktionsvorrat eines Leitsystems gehören werden. Gegenwärtig kommt für diese Aufgabe häufiger noch separate, über gängige Kommunikationsschnittstellen angebundene Applikationssoftware zum Einsatz. Eine weitere Applikation kann die Verwaltung der Alarmdaten eines Projektes (Abgleich Planungszustand – Istzustand) sowie die Einspielung zustandsabhängiger Alarmvorgaben übernehmen. Dabei können Erkenntnisse aus der Alarm- und Ereignisanalyse in die Anpassung der Planungsdaten einfließen. Bei konsequenter Anwendung übernimmt eine derartige Software das Management der gesamten Alarmkonzeption eines Betriebes als zentrales Element der Vorgabe und Dokumentation. Alarmphilosophie Wie bereits angeführt, ist die Erstellung einer projekt-, anlagen- oder firmenweiten Alarmphilosophie von grundlegender Bedeutung für die Gestaltung eines effektiven Alarmsystems. Sie ist damit als „Master-Plan“ der Alarmprojektierung anzusehen. Die Ziele des Alarmsys- atp 47 (2005) Heft 2 Sicherheit – – Springleranlage ausser Betrieb Unfallpotenzial vorhanden Umwelt – geringe Umweltabgabe signifikante Umweltabgabe größere Umweltabgabe Produktionsverluste geringerer Wirkungsgrad Geräte-Ausfall möglich Geräte-Ausfall wahrscheinlich längere Ausfallzeit Verlust von Einrichtungen Pumpenzerst. (Ersatz vorhand.) Pumpenzerst. (kein Ersatz) Zerstörung wesentl. Einricht. krit. Einrichtung zerstört Uneffektiver Betrieb < € 50k € 50k–100k > € 100k – Folgen gering moderat gross extrem sofort (< 5 min) High High Emergency kritisch bald (5–15 min) Low High Emergency kritisch später (> 15 min) Low Low High kritisch Reaktion Bild 3: Projektbeispiel einer Philosophie-Matrix (Quelle: Honeywell). tems und die allgemeinen Festlegungen zur Detailrealisierung werden projektneutral erarbeitet. Die grafische Darstellung in Bild 2 gibt mögliche grundlegende Aspekte und Abhängigkeiten in Form einer Matrix wieder. Hierzu gehören die Typen möglicher Ereignisse, die Skalierung der Folgen bei Grenzfällen und die erforderliche Reaktionszeit je nach Einstufung der Folgen. Die Kriterien in der Grafik sind Beispiele für Einstufungen. Diese Kriterien gilt es in jedem Unternehmen mit allen Beteiligten zu erörtern und nach Möglichkeit allgemeingültig festzulegen. Sie bilden die Basis der weiteren Alarmdefinitionen in einem Betrieb. Die beispielhafte Konkretisierung der Kategoriefelder für ein spezifisches Projekt gibt Bild 3 wieder. Die Matrix zeigt die Ereignistypen und das präzise Ausmaß der Folgen für jeden Typ. Entsprechend den Folgen und der notwendigen Reaktionszeit ergibt sich die Alarmpriorität im unteren Teil der Matrix. Es sei nochmals festgehalten, dass die Erarbeitung in Form einer solchen Matrix, deren inhaltliche Kategorien sowie die konkreten Einträge eine mögliche Methode zur Erarbeitung der Alarmphilosophie darstellt. Andere Vorgehensweisen oder Darstellungen sind ebenso möglich, so lange das Ziel einheitlich verwendbarer Vorgaben für die Alarm-Datenbasis in konkreten Projekten eingehalten wird. Methodische Vorgehensweise, Alarmkonzeption von Alarmen in Grenzsituationen – nicht entsprechend beachtet wird. Schritt 2: Rationalisierung der Alarm-Spezifikation Diese Aktivität enthält die Bearbeitung der detaillierten In diesem Abschnitt sind einzelne Schritte einer methodischen Vorgehensweise zur Verbesserung der Alarmsituation in einer vorhandenen Anlage aufgeführt. Die Angaben sind aber mit geringfügigen Anpassungen direkt übertragbar zur Auslegung optimierter Alarmsysteme in neu zu planenden Anlagen. Der angegebene Schritt 2 (Rationalisierung) ist von herausragender Bedeutung für die signifikante Verbesserung der Alarmsituation. Teil dieses Schrittes ist die zuvor beschriebene Festlegung einer konsistenten Alarmphilosophie. Schritt 1: Analyse und Bearbeitung der häufigsten Alarme (auch „Bad Actors“ genannt) In vielen Betrieben wird diese Aktivität zu Beginn einer Alarmverbesserung eingebracht, um eine schnelle Reduktion der Anzahl aktivierter Alarme zu erreichen. Dies kann typischerweise der erste Schritt einer umfangreicheren Rationalisierung sein. In der Praxis kommen allerdings viele Projekte nicht über dieses Stadium hinaus. Das wesentliche Manko dabei ist, dass das eigentlich relevante Problem – die Flut 37 Journal Industrie und Unternehmen Tabelle 2: Alarmsystem Referenzdaten. liebigen Zeitraum nicht effektiv bearbeiten kann. Situation Bezugswert Mittlere Alarmrate im normalen Betriebszustand < 1 pro 10 Minuten Schulung Alarmrate 10 Minuten nach Anlagenstörung < 10 Mittlere Anzahl anstehender Alarme < 10 Mittlere Anzahl unterdrückter Alarme < 30 Die alarmbezogene Schulung des Anlagenpersonals ist vornehmlich aus zwei Gründen relevant: • Alarm-Management ist im Allgemeinen kein Bestandteil der Ingenieurausbildung an Hochschulen. Damit ein Team, das sich mit der Verbesserung des Alarmzustandes befasst, nicht Zeit und finanzielle Mittel für bereits vorhandene Erkenntnisse verbraucht, ist die Schulung etablierter Techniken und deren Anwendung empfehlenswert. • Bediener haben sich oft an den Zustand gewöhnt, dass ein wesentlicher Teil ihrer Zeit für die Bearbeitung auftretender Alarme zu verwenden ist. Sinkt die Alarmrate auf Grund gezielter Verbesserungen, müssen die Details des neu eingestellten Systems geschult werden. Die Unterweisung sollte dabei das Verständnis fördern, dass ein effizienter Betrieb nur durch eine proaktive Überwachung und Führung der Anlage gegeben ist. Alarmkonfiguration auf Basis einer abgestimmten Alarmphilosophie. Damit können Alarme • zum Teil eliminiert werden (z. B. wenn tatsächlich keine Operatoraktion erforderlich ist), • in ihrer Detailspezifikation angepasst werden (z. B. Alarmtyp, Grenzwerte und oder Totbänder), • in ihren Prioritäten angepasst werden. Vor einer Alarm-Rationalisierung ist eine interne Schulung zu Praktiken des guten AlarmManagements angebracht. Schritt 3: Management der Alarm-Datenbasis, zustandsabhängige Alarmierung Die zustandsabhängige Verwaltung der Alarm-Datenbasis speichert die konfigurierten Parameter in einer relationalen Datenbank und vergleicht diese mit dem jeweils aktuellen Systemstatus. Bei Differenzen können nach individueller Freigabe gezielte Abgleiche eingeleitet werden.„Schleichende“ Änderungen der Auslegungsbasis lassen sich somit verhindern. In Anlagen mit mehreren Tausend Alarmen kann das ansonsten zu einem ungewollten Dauerzustand führen. Das Zurücksetzen erfolgt beispielsweise als Teil des Schichtwechsels in einer Anlage. Der nachfolgende Operator kann sicher sein, dass die Parameter der ursprünglichen Auslegung entsprechen – mit Ausnahme einer begrenzten Liste zugelassener Abweichungen. Applikationssoftware zur Stützung dieser Funktion findet vermehrt Eingang bei Anwendern mit größeren und komplexen Datenmengen. Diese Software kann zusätzlich zur Festlegung und Verwaltung mehrerer 38 Master-Datenbasen für verschiedene Anlagenzustände benutzt werden. Damit wird eine gezielte und kontrollierte Aktivierung von Alarmparametern z. B. bei verändertem Durchsatz oder wechselnden äußeren Bedingungen ermöglicht. Schritt 4: Verbesserte Bedienerumgebung und Schulung der Anwender Umfangreiche Erfahrungen belegen den Einfluss zusätzlicher Faktoren auf die Leistungsfähigkeit eines Alarmsystems. Eine wesentliche Größe ist dabei die bedienergerechte Gestaltung von Prozessgrafiken einschließlich einer transparenten Konzeption u. a. für die Bedienung von Alarmen in Grafiken. Hier helfen Richtlinien von Standardisierungsgruppen [9] und Anwenderkonsortien [10], die vor allem die Bedienbarkeit über einen längeren Zeitraum ohne ermüdende Bildüberlastungen im Fokus haben. Bedienerschulung, Systemunterstützung, Messwartengestaltung und Organisation der Abläufe im Team sind weitere Einflussfaktoren auf ein optimales Alarmsystem in einem effektiven Betrieb. Referenzwerte Tabelle 2 enthält einige von EEMUA und anderen Publikationen empfohlene Referenzdaten für Alarmsysteme. Dabei wird die Vorgabe von weniger als zehn Alarmen in den ersten zehn Minuten nach einer größeren Anlagenstörung auch von erfahrenen Praktikern als herausfordernd eingeschätzt. Diese Rate basiert jedoch auf der Erkenntnis, dass ein Bediener mehr als einen Alarm pro Minute über einen be- Zusammenfassung Folgende wesentlichen Aussagen lassen sich zusammenfassen: Die Mehrzahl der Alarmsysteme in aktuell betriebenen Anlagen weisen noch Defizite auf. Unzureichendes Alarm-Management verursacht signifikante Kosten. Diese werden wesentlich beeinflusst durch Aufwendungen für Sicherheit und Umwelt sowie durch die negativen Effekte aus beschädigten Einrichtungen und aus Produktionsverlusten. Die Erkenntnisse aus ausgewerteten Grenzfällen haben die Bereitschaft zu Investitionen in ein verbessertes Alarm-Management beschleunigt. Die Nutzung anerkannter Methoden und Bezugswerte („Best Practices“) trägt zur verbesserten Performance eines Alarmsystems merklich bei. Werkzeuge zum Management der Alarm-Datenbasis helfen, die in Alarmsystemen auftretenden temporären Anpassungen effektiv in den Griff zu bekommen. Referenzen: [1] „Alarm Systems: A Guide to Design, Management and Procurement“, EEMUA Publication No 191. [2] The HSE guidance note „Better Alarm Handling“, HSE Information sheet CHIS6, UK Health and Safety Executive. [3] „Principles for alarm system design“, Norwegian Pertroleum Directorate, Publication YA-711, February 2001. [4] „Alarm Management Philosophy for Screen-based Control Systems“, Honeywell European User's Group, Operator Interface Workshop; July 1998. [5] European Union Seveso II Directive (concerning „Safety Cases“ for hazardous plants). [6] IEC 61508, „Functional Safety of Electrical, Electronic & Programmable Electronic SafetyRelated Systems“. [7] ANSI/ISA-S84.01, „Application of Safety Instrumented Systems for the Process Industries“. [8] „Horses for Courses – A Vision for Alarm Management“, Donald Campbell-Brown, Proc. IBC Conferences „Alarm systems“, IBC, London, June 2002 [9] VDI/VDE 3699, Prozessführung mit Bildschirmen. [10] ASM Consortium Guidelines, „Effective Operator Display Design“, Juni 2002. Peter Andow und Herbert Fittler Honeywell Process Solutions Adressen: Peter Andow, Honeywell Process Solutions, 2 Venture Road, Chilworth Science Park, Southampton, SO16 7NP, (UK), E-Mail: peter.andow@honeywell. com Herbert Fittler, Honeywell Process Solutions, Heinrich-Hertz-Str. 40, D-40699 Erkrath, E-Mail: [email protected] 47 (2005) Heft 2 atp
