Funktionale Sicherheit – SIL - Auma.com
Funktionale Sicherheit – SIL - Auma.com Funktionale Sicherheit – SIL - Auma.com
Funktionale Sicherheit – SIL Risikoreduzierung mit elektrischen Stellantrieben Information
- Seite 2 und 3: AUMA - Spezialist in Sachen Stellan
- Seite 4 und 5: Fragen zur Sicherheit von modernen
- Seite 6 und 7: Die Normen DIN EN 61508 und DIN EN
- Seite 8 und 9: Was ist eine Sicherheitsfunktion? S
- Seite 10 und 11: Die wichtigsten Sicherheitskennzahl
- Seite 12 und 13: Ein Sicherheits-Integritätslevel w
- Seite 14 und 15: SIL-Fähigkeit der AUMA Produkte Wa
- Seite 16 und 17: Wer die integrierte Steuerung AC .2
- Seite 18 und 19: Funktionen des SIL-Moduls Konfigura
- Seite 20 und 21: Um eine fundierte und nachvollziehb
- Seite 22 und 23: Ermittlung der Sicherheitskennzahle
- Seite 24 und 25: Sicherheitskennzahlen für ausgewä
- Seite 26 und 27: Weiterführende Informationen Diese
- Seite 28: AUMA Riester GmbH & Co. KG Postfach
<strong>Funktionale</strong> <strong>Sicherheit</strong> <strong>–</strong> <strong>SIL</strong><br />
Risikoreduzierung mit elektrischen Stellantrieben<br />
Information
AUMA - Spezialist in Sachen Stellantrieb<br />
AUMA ist einer der weltweit führenden Hersteller von<br />
elektrischen Stellantrieben, Antriebssteuerungen und<br />
Armaturengetrieben zur Automatisierung von Industriearmaturen.<br />
AUMA verfügt über mehr als 45 Jahre Erfahrung<br />
in Entwicklung und Herstellung von elektrischen Dreh- und<br />
Schwenkantrieben. AUMA fertigt seine Produkte in den<br />
Werken Müllheim und Ostfildern in Deutschland. Für Servicedienstleistungen<br />
wurden drei Service-Center in Köln,<br />
Magdeburg und München eingerichtet. Weltweit beschäftigt<br />
AUMA 2 200 Mitarbeiter.<br />
AUMA automatisiert Armaturen<br />
AUMA wird mit einer Vielzahl von Anforderungen aus<br />
unterschiedlichen Einsatzgebieten und aus allen Regionen<br />
dieser Welt konfrontiert <strong>–</strong> das ist unser tägliches Geschäft.<br />
Das modulare AUMA Konstruktionsprinzip ist die Grundlage<br />
einer langfristig ausgerichteten Produktpolitik und<br />
bietet die nötige Flexibilität, den Stellantrieb kundenspezifisch<br />
zu fertigen.<br />
2 |<br />
Weltweit präsent<br />
Dafür muss man seine Märkte kennen. Globales Denken<br />
bedeutet sich regional zu engagieren. Ein dichtes weltweites<br />
Verkaufs- und Servicenetzwerk bietet jedem Kunden<br />
einen kompetenten Ansprechpartner in Reichweite.<br />
Alles aus einer Hand<br />
Von der Produktentwicklung, über die Gerätetests bis<br />
hin zur Endabnahme gibt es bei AUMA durchgängige Herstellungs-<br />
und Qualitätssicherungsprozesse, die beständig<br />
optimiert werden.<br />
AUMA hat sich seit 1964 in der Stellantriebswelt einen<br />
hervorragenden Markennamen geschaffen. Zuverlässigkeit<br />
und Innovation sind Begriffe, die mit AUMA in Verbindung<br />
gebracht werden. Dies verdankt AUMA vor allem seinen<br />
engagierten Mitarbeitern, die mit Begeisterung an der<br />
Zukunft des Stellantriebs arbeiten.
2012.06.13<br />
Inhalt<br />
AUMA - Spezialist in Sachen Stellantrieb 2<br />
Über diese Broschüre 3<br />
Risikoreduzierung durch <strong>Funktionale</strong> <strong>Sicherheit</strong> 4<br />
Die Normen DIN EN 61508 und DIN EN 61511 6<br />
Wie wird <strong>Funktionale</strong> <strong>Sicherheit</strong> erreicht? 7<br />
Was ist eine <strong>Sicherheit</strong>sfunktion? 8<br />
Was ist ein sicherheitstechnisches System? 9<br />
Die wichtigsten <strong>Sicherheit</strong>skennzahlen 10<br />
Ermittlung der <strong>SIL</strong>-Fähigkeit 12<br />
Verbesserung der <strong>SIL</strong>-Fähigkeit 13<br />
<strong>SIL</strong>-Fähigkeit der AUMA Produkte 14<br />
<strong>SIL</strong> 2/<strong>SIL</strong> 3 für integrierte Steuerung AC .2<br />
in Ausführung <strong>SIL</strong> 16<br />
Funktionen des <strong>SIL</strong>-Moduls 18<br />
Über diese Broschüre<br />
<strong>Funktionale</strong> <strong>Sicherheit</strong> und <strong>SIL</strong> sind Stichworte, die<br />
im Zusammenhang mit der <strong>Sicherheit</strong> von technischen<br />
Anlagen immer häufiger fallen <strong>–</strong> nicht zuletzt durch das<br />
Inkrafttreten neuer internationaler Normen.<br />
Auch AUMA Stellantriebe werden in sicherheitskritischen<br />
Anwendungen eingesetzt und tragen zum sicheren<br />
Betrieb technischer Anlagen bei. Deshalb ist <strong>Funktionale</strong><br />
<strong>Sicherheit</strong> auch für uns ein wichtiges Thema.<br />
Diese Broschüre gibt einen Überblick darüber, was<br />
<strong>Funktionale</strong> <strong>Sicherheit</strong> für AUMA Stellantriebe und Steuerungen<br />
bedeutet. Neben einer grundlegenden Einführung<br />
in das Thema <strong>Funktionale</strong> <strong>Sicherheit</strong> finden Sie detaillierte<br />
Informationen über die <strong>SIL</strong>-Fähigkeit der AUMA Produkte.<br />
Aktuelle Informationen über die AUMA Produkte finden<br />
Sie jederzeit auch im Internet unter www.auma.<strong>com</strong>. Alle<br />
Unterlagen stehen Ihnen dort zum Download zur Verfügung.<br />
Ermittlung der <strong>Sicherheit</strong>skennzahlen für<br />
AUMA Produkte 20<br />
<strong>Sicherheit</strong>skennzahlen für ausgewählte AUMA Produkte 25<br />
Weiterführende Informationen 26<br />
Index 27<br />
| 3
Fragen zur <strong>Sicherheit</strong> von modernen Industrieanlagen<br />
gewinnen immer mehr an Bedeutung, insbesondere bei<br />
Anlagen mit hohem Gefahrenpotenzial im Öl- und Gas-<br />
Bereich, in der chemischen Industrie oder in Kraftwerken.<br />
Zur Überwachung von Prozessen, von denen eine<br />
Gefahr für Mensch und Umwelt ausgeht, werden heute<br />
zunehmend moderne <strong>Sicherheit</strong>ssysteme eingesetzt, die<br />
bei einem Störfall eingreifen. Solche Systeme schalten zum<br />
Beispiel im Notfall eine Anlage ab, stoppen die Zufuhr<br />
gefährlicher Stoffe, sorgen für Kühlung oder öffnen Überdruckventile.<br />
Um die Gefahren, die von einer Anlage ausgehen, zu<br />
reduzieren, müssen diese Systeme ihre <strong>Sicherheit</strong>sfunktion<br />
im Notfall zuverlässig ausführen und dürfen nicht ausfallen.<br />
Wie aber können Anlagenbetreiber und Gerätehersteller<br />
sicherstellen, dass die eingesetzten Systeme „sicher“ arbeiten<br />
und die nötigen Anforderungen erfüllen? Wie können<br />
Ausfallrisiken beurteilt werden?<br />
Hier geben die Normen zur <strong>Funktionale</strong>n <strong>Sicherheit</strong><br />
DIN EN 61508 und DIN EN 61511 eine Antwort. Sie<br />
beschreiben erstmals Methoden, um die Ausfallrisiken von<br />
modernen, oft softwaregesteuerten Systemen zu beurteilen<br />
und Maßnahmen zur Risikoreduzierung zu bestimmen.<br />
Risikoreduzierung durch <strong>Funktionale</strong> <strong>Sicherheit</strong><br />
4 |<br />
Was ist <strong>Funktionale</strong> <strong>Sicherheit</strong>?<br />
<strong>Funktionale</strong> <strong>Sicherheit</strong> nach der DIN EN 61508 bezieht<br />
sich auf Systeme, die <strong>Sicherheit</strong>sfunktionen ausführen<br />
und deren Ausfall ein erhebliches Risiko für Mensch und<br />
Umwelt darstellt.<br />
Um <strong>Funktionale</strong> <strong>Sicherheit</strong> zu erreichen, muss eine<br />
<strong>Sicherheit</strong>sfunktion bei einem Störfall dafür sorgen, dass<br />
eine technische Anlage in einen sicheren Zustand geführt<br />
wird oder in einem sicheren Zustand bleibt.<br />
Es geht also nicht um die grundsätzlichen Gefahren<br />
eines Produkts oder einer Anlage, wie zum Beispiel<br />
rotierende Teile, sondern um die Gefahren, die auf Grund<br />
eines Ausfalls einer <strong>Sicherheit</strong>sfunktion von einer Anlage<br />
ausgehen können.<br />
Ziel der <strong>Funktionale</strong>n <strong>Sicherheit</strong> ist es, die Wahrscheinlichkeit<br />
gefährlicher Ausfälle und damit auch die Risiken<br />
für Mensch und Umwelt auf ein vertretbares Maß zu<br />
reduzieren.<br />
Insgesamt leistet die <strong>Funktionale</strong> <strong>Sicherheit</strong> <strong>–</strong><br />
gemeinsam mit weiteren Maßnahmen, wie zum Beispiel<br />
dem Brandschutz, der elektrischen <strong>Sicherheit</strong> oder dem<br />
Explosionsschutz <strong>–</strong> einen wichtigen Beitrag zur Gesamtsicherheit<br />
einer Anlage.
Was ist <strong>SIL</strong>?<br />
<strong>SIL</strong> ist ein Begriff, der mit der <strong>Funktionale</strong>n <strong>Sicherheit</strong> in<br />
enger Verbindung steht. <strong>SIL</strong> steht für <strong>Sicherheit</strong>s-Integritätslevel<br />
(engl. Safety Integrity Level) und ist eine Maßeinheit<br />
für die Risikoreduzierung bei <strong>Sicherheit</strong>sfunktionen.<br />
Je größer die Gefahren sind, die von einem Prozess oder<br />
einer Anlage ausgehen, desto höher sind die Anforderungen<br />
an die Zuverlässigkeit der <strong>Sicherheit</strong>sfunktionen.<br />
Die DIN EN 61508 definiert vier verschiedene <strong>Sicherheit</strong>sanforderungsstufen,<br />
<strong>SIL</strong> 1 bis <strong>SIL</strong> 4.<br />
<strong>SIL</strong> 4 stellt dabei die höchsten Anforderungen an die<br />
<strong>Sicherheit</strong>, <strong>SIL</strong> 1 die niedrigsten. Für jeden dieser Level sind<br />
verschiedene Ausfallwahrscheinlichkeiten definiert, die<br />
eine <strong>Sicherheit</strong>sfunktion nicht überschreiten darf.<br />
Welcher <strong>SIL</strong> erforderlich ist, kann anhand einer Risikobeurteilung<br />
ermittelt werden.<br />
Welche Rolle spielt AUMA?<br />
AUMA Produkte werden als Komponenten in Systemen<br />
eingesetzt, die <strong>Sicherheit</strong>sfunktionen ausführen. Daher<br />
haben wir <strong>–</strong> in Zusammenarbeit mit unabhängigen Prüfinstituten<br />
wie EXIDA und TÜV <strong>–</strong> untersucht, für welchen <strong>SIL</strong><br />
unsere Stellantriebe, Steuerungen und Getriebe geeignet<br />
sind.<br />
Anhand der dabei ermittelten <strong>Sicherheit</strong>skennzahlen<br />
können Anlagenplaner die passenden Geräte für die jeweiligen<br />
<strong>Sicherheit</strong>sanforderungen auswählen.<br />
| 5
Die Normen DIN EN 61508 und DIN EN 61511<br />
Die Ursprünge<br />
Es waren Industrieunfälle mit verheerenden Folgen, wie<br />
der Dioxin-Unfall von Seveso 1976 oder das Unglück im<br />
indischen Bhopal 1984, die weltweit Normungsprozesse<br />
zur <strong>Sicherheit</strong> von technischen Anlagen in Gang setzten.<br />
So entstand zum Beispiel auf EU-Ebene zunächst die<br />
Seveso I- und später die Seveso II-Richtlinie 96/82/EG zur<br />
Beherrschung der Gefahren bei Unfällen mit gefährlichen<br />
Stoffen. Mit diesen Richtlinien wurde der Schutz von<br />
Mensch, Umwelt und Sachwerten als oberstes Ziel festgeschrieben.<br />
Zudem wurden konkrete Vorgaben für Anlagen<br />
mit hohem Gefahrenpotenzial erlassen.<br />
Um diese Richtlinien umzusetzen, entstanden in der<br />
Folge zunächst nationale Normen zur <strong>Funktionale</strong>n <strong>Sicherheit</strong>.<br />
Seit 1998 steht mit der IEC 61508 hier erstmals eine<br />
international gültige Norm zur Verfügung. Die DIN EN<br />
61508 ist die entsprechende seit 2002 in Deutschland<br />
geltende Norm.<br />
DIN EN 61508<br />
Die DIN EN 61508 (bzw. im internationalen Bereich die<br />
IEC 61508) ist die weltweit gültige Norm zur <strong>Funktionale</strong>n<br />
<strong>Sicherheit</strong> von elektrischen, elektronischen oder programmierbar<br />
elektronischen Systemen (E/E/PES), die <strong>Sicherheit</strong>sfunktionen<br />
ausführen. Die Normanforderungen werden<br />
<strong>–</strong> wo zutreffend <strong>–</strong> auch auf andere, zum Beispiel mechanische<br />
Komponenten übertragen.<br />
Die Norm richtet sich sowohl an Anlagenplaner und<br />
Anlagenbetreiber als auch an Gerätehersteller.<br />
Sie dient als anwendungsunabhängige Basisnorm<br />
und wird ergänzt durch weitere, anwendungsspezifische<br />
Normen, zum Beispiel die DIN EN 61511 für die Prozessindustrie.<br />
Konzept der Risikominderung<br />
Ziel ist es, die Risiken von Prozessen und Anlagen<br />
durch den Einsatz von sicherheitsbezogenen Systemen zu<br />
reduzieren. Die Norm geht grundsätzlich davon aus, dass<br />
es nicht möglich ist, jegliche Risiken auszuschließen. Sie<br />
bietet jedoch Methoden zur Risikoanalyse, zur Risikominderung<br />
und zur Quantifizierung des Restrisikos.<br />
Anforderungen an sicherheitsbezogene Systeme<br />
Die Norm beschreibt die Anforderungen an sicherheitsbezogene<br />
Systeme bzw. an die <strong>Sicherheit</strong>sfunktionen und<br />
definiert <strong>Sicherheit</strong>s-Integritätslevel (<strong>SIL</strong>). Daraus werden<br />
entsprechende <strong>SIL</strong>-Anforderungen an die eingesetzten<br />
Systemkomponenten abgeleitet.<br />
6 |<br />
Berücksichtigung des Lebenszyklus<br />
Um die Ausfallrisiken zu minimieren, wird der gesamte<br />
<strong>Sicherheit</strong>slebenszyklus der Komponenten berücksichtigt,<br />
von der Spezifikation über die Realisierung bis hin zur<br />
Außerbetriebsetzung.<br />
DIN EN 61511<br />
Diese Norm beinhaltet die anwendungsspezifische<br />
Umsetzung der DIN EN 61508 speziell für die Prozessindustrie.<br />
Sie definiert die Anforderungen an sicherheitsbezogene<br />
Systeme, die in prozesstechnischen Anlagen zur<br />
Risikominderung eingesetzt werden.<br />
Sie richtet sich in erster Linie an Anlagenplaner und<br />
Anlagenbetreiber.<br />
Geltungsbereich der Normen<br />
Die Normen DIN EN 61508 und 61511 sind in der<br />
Europäischen Union bisher nicht verpflichtend, da sie nicht<br />
unter einer EU-Richtlinie harmonisiert sind. Dennoch ist<br />
ihre Einhaltung für Anlagenbetreiber und Gerätehersteller<br />
vorteilhaft:<br />
■ Bei Anlagen und Systemen, von denen Gefahren für<br />
Mensch und Umwelt ausgehen, wird die Methodik<br />
der <strong>Funktionale</strong>n <strong>Sicherheit</strong> heutzutage als „Stand der<br />
Technik“ angesehen und daher gefordert.<br />
■ Die Normen können zur Erfüllung grundlegender<br />
Anforderungen aus EU-Richtlinien verwendet werden,<br />
wenn aus einer harmonisierten Europäischen Norm<br />
auf sie verwiesen wird oder wenn keine harmonisierte<br />
Norm für den Anwendungsbereich besteht.<br />
■ Die Einhaltung der Normen DIN EN 61508 und 61511<br />
wird unter anderem von Behörden und Versicherungen<br />
zunehmend als Nachweis für eine Risikoanalyse<br />
mit ausreichender Reduzierung des Risikos vertraglich<br />
gefordert.<br />
■ Anlagenbetreiber und Gerätehersteller haben bei<br />
Produkten mit <strong>SIL</strong>-Zulassung die Gewissheit, dass die<br />
Produkte nach internationalen Standards beurteilt<br />
wurden und den ermittelten <strong>Sicherheit</strong>s-Integritätslevel<br />
erreichen.
Wie wird <strong>Funktionale</strong> <strong>Sicherheit</strong> erreicht?<br />
Um <strong>Funktionale</strong> <strong>Sicherheit</strong> zu erreichen, müssen<br />
zunächst einmal die Risiken analysiert werden, die von<br />
einer Anlage oder einem Prozess ausgehen.<br />
Hier bieten die Normen DIN EN 61508 und 61511 eine<br />
anerkannte Methode zur Risikobeurteilung. Durch eine<br />
differenzierte sicherheitstechnische Beurteilung werden<br />
diejenigen Prozesse identifiziert, von denen tatsächlich<br />
eine Gefahr ausgeht. So können Maßnahmen zur Risikoreduzierung<br />
gezielt dort eingesetzt werden, wo sie wirklich<br />
nötig sind.<br />
<strong>Sicherheit</strong>stechnische Beurteilung<br />
Welche Prozesse sind gefährlich?<br />
Zunächst wird untersucht, von welchen Prozessen einer<br />
Anlage Gefahren für Mensch und Umwelt ausgehen.<br />
Üblicherweise sind dies nur wenige Prozesse. Zum<br />
Beispiel werden Basisprozesse für die Prozessregelung, die<br />
keine Schutzfunktion besitzen, nicht betrachtet.<br />
Festlegung der <strong>SIL</strong> Anforderungen<br />
Für jeden der gefahrbringenden Prozesse wird dann<br />
untersucht, wie groß Gefahr und Schadensausmaß infolge<br />
einer Fehlfunktion sein können.<br />
Risikograph für eine sicherheitstechnische Beurteilung nach<br />
DIN EN 61508/61511<br />
Ausgangspunkt<br />
für die<br />
Abschätzung der<br />
Risikominderung<br />
C1<br />
C2<br />
C3<br />
C4<br />
F1<br />
F2<br />
F1<br />
F2<br />
P1<br />
P2<br />
P1<br />
P2<br />
W3 W2 W1<br />
<strong>–</strong><br />
<strong>SIL</strong> 1<br />
<strong>SIL</strong> 1<br />
<strong>SIL</strong> 2<br />
<strong>SIL</strong> 3<br />
<strong>SIL</strong> 3<br />
<strong>SIL</strong> 4<br />
<strong>–</strong><br />
<strong>–</strong><br />
<strong>–</strong><br />
<strong>SIL</strong> 1<br />
<strong>SIL</strong> 1<br />
<strong>SIL</strong> 2<br />
<strong>SIL</strong> 3<br />
<strong>SIL</strong> 3<br />
<strong>SIL</strong> 4<br />
Zur Beurteilung kann ein Risikograph wie unten dargestellt<br />
zu Hilfe genommen werden. Je nach Größe der<br />
Gefahr und Eintrittswahrscheinlichkeit wird festgelegt,<br />
ob ein Prozess durch eine <strong>Sicherheit</strong>sfunktion abgesichert<br />
werden muss und welchen <strong>Sicherheit</strong>s-Integritätslevel (<strong>SIL</strong>)<br />
diese <strong>Sicherheit</strong>sfunktion erreichen muss.<br />
Auswahl geeigneter Komponenten<br />
Entsprechend des erforderlichen <strong>SIL</strong> werden die Komponenten<br />
zur Realisierung der <strong>Sicherheit</strong>sfunktion ausgewählt.<br />
Um dies zu vereinfachen, lassen Gerätehersteller wie<br />
AUMA ihre Produkte auf ihre Eignung für die verschiedenen<br />
<strong>Sicherheit</strong>s-Integritätslevel prüfen.<br />
Überprüfung der <strong>SIL</strong> Anforderungen<br />
Anhand von <strong>Sicherheit</strong>skennzahlen der eingesetzten<br />
Geräte wird für jede <strong>Sicherheit</strong>sfunktion überprüft, ob sie<br />
den geforderten <strong>SIL</strong> erreicht. Ist dies nicht der Fall, müssen<br />
zusätzliche Maßnahmen ergriffen werden.<br />
<strong>–</strong><br />
<strong>–</strong><br />
<strong>–</strong><br />
<strong>SIL</strong> 1<br />
<strong>SIL</strong> 1<br />
<strong>SIL</strong> 2<br />
<strong>SIL</strong> 3<br />
<strong>SIL</strong> 3<br />
Schadensausmaß<br />
C1 Leichte Verletzung einer Person oder<br />
kleinere schädliche Umwelteinfl üsse<br />
C2 Schwere irreversible Verletzungen oder<br />
Tod einer Person<br />
C3 Tod mehrerer Personen<br />
C4 Tod sehr vieler Personen<br />
Gefahrenabwendung<br />
F1 Möglich unter bestimmten Bedingungen<br />
F2 Kaum möglich<br />
Aufenthaltsdauer einer Person<br />
im gefährdeten Bereich<br />
P1 Selten bis häufi g<br />
P2 Häufi g bis dauernd<br />
Eintrittswahrscheinlichkeit<br />
W1 Sehr gering<br />
W2 Gering<br />
W3 Relativ Hoch<br />
Geforderter <strong>Sicherheit</strong>s-<br />
Integritätslevel<br />
<strong>SIL</strong> 1 Niedrigste <strong>Sicherheit</strong>sanforderung<br />
<strong>SIL</strong> 4 Höchste <strong>Sicherheit</strong>sanforderung<br />
| 7
Was ist eine <strong>Sicherheit</strong>sfunktion?<br />
<strong>Sicherheit</strong>sfunktionen sind Schutzmaßnahmen, die nur<br />
im Störfall aktiviert werden und dann verhindern, dass<br />
Personen, Umwelt und Sachwerte zu Schaden kommen.<br />
<strong>Funktionale</strong> <strong>Sicherheit</strong> wird erreicht, wenn <strong>Sicherheit</strong>sfunktionen<br />
in einer solchen Situation zuverlässig arbeiten.<br />
Typische <strong>Sicherheit</strong>sfunktionen sind zum Beispiel eine<br />
Notausschaltung oder die Drucküberwachung eines Kessels.<br />
Im Armaturenbereich sind in erster Linie die folgenden<br />
<strong>Sicherheit</strong>sfunktionen von Bedeutung:<br />
■ Sicheres Öffnen<br />
■ Sicheres Schließen<br />
■ Sicherer Stillstand/Stopp<br />
■ Sichere Endlagenrückmeldung<br />
8 |<br />
Sicheres Öffnen am Beispiel eines<br />
Überdruckventils<br />
Bei einem überdruckgefährdeten Kessel ist als <strong>Sicherheit</strong>sfunktion<br />
das Öffnen eines Überdruckventils vorgesehen.<br />
Ein Sensor überprüft kontinuierlich den Druck im<br />
Kessel. Wenn der Druck im System unzulässig groß wird,<br />
geht die <strong>Sicherheit</strong>s-SPS von einem Fehler im System aus<br />
und gibt dem Antrieb das Signal zu öffnen, um den Kessel<br />
sicher zu entlasten.<br />
Sicherer Stopp am Beispiel einer Schleuse<br />
Befindet sich ein Schiff zwischen den geöffneten<br />
Schleusentoren, kann mit der <strong>Sicherheit</strong>sfunktion Sicherer<br />
Stopp das Schließen der Schleuse zuverlässig angehalten<br />
werden.<br />
Die <strong>Sicherheit</strong>sfunktion Sicherer Stopp kann auch als<br />
Verriegelungsfunktion verwendet werden. In dem Fall kann<br />
die Schleuse nur geschlossen werden, wenn das Signal<br />
„Sicherer Stopp“ nicht anliegt.
Komponenten eines typischen<br />
sicherheitstechnischen Systems<br />
■ Sensor [1]<br />
■ <strong>Sicherheit</strong>s-SPS [2]<br />
■ Aktor [3]<br />
bestehend aus Antrieb und<br />
Armatur<br />
[1]<br />
Was ist ein sicherheitstechnisches System?<br />
Eine <strong>Sicherheit</strong>sfunktion wird durch die Komponenten<br />
eines sogenannten sicherheitstechnischen Systems (engl.<br />
Safety Instrumented System, SIS) realisiert. Ein solches<br />
System besteht ganz allgemein aus den Bestandteilen<br />
Sensor, übergeordnete <strong>Sicherheit</strong>s-Steuerung und Aktor.<br />
Im Armaturenbereich besteht der Aktor aus den Komponenten<br />
Antrieb und Armatur.<br />
Bei der Beurteilung, ob eine <strong>Sicherheit</strong>sfunktion den<br />
geforderten <strong>SIL</strong> erreicht, müssen die <strong>Sicherheit</strong>skennzahlen<br />
aller Einzelkomponenten des sicherheitstechnischen Systems<br />
berücksichtigt werden (siehe auch Seite 12).<br />
[2]<br />
[3]<br />
| 9
Die wichtigsten <strong>Sicherheit</strong>skennzahlen<br />
Bei der Gefahrenbeurteilung eines Prozesses wird für<br />
jede <strong>Sicherheit</strong>sfunktion bestimmt, welchen <strong>SIL</strong> sie erfüllen<br />
muss. Danach werden dann geeignete Geräte zur Realisierung<br />
der <strong>Sicherheit</strong>sfunktion ausgewählt.<br />
Mittlere Ausfallwahrscheinlichkeit (PFD-Wert)<br />
Der PFD Wert (Average Probability of Dangerous<br />
avg<br />
Failure on Demand) beschreibt die mittlere Wahrscheinlichkeit,<br />
dass die <strong>Sicherheit</strong>sfunktion bei Anforderung nicht<br />
ausgeführt werden kann.<br />
In der DIN EN 61508 ist für jeden der vier <strong>Sicherheit</strong>s-<br />
Integritätslevel ein zulässiger Bereich für die Ausfallwahrscheinlichkeit<br />
festgelegt.<br />
<strong>SIL</strong> 1 stellt die niedrigste <strong>Sicherheit</strong>sstufe dar, <strong>SIL</strong> 4 die<br />
höchste. Je höher die <strong>Sicherheit</strong>sstufe, desto geringer darf<br />
die Wahrscheinlichkeit sein, dass die <strong>Sicherheit</strong>sfunktion<br />
bei Anforderung ausfällt.<br />
Nicht nur die Größe des Risikos im Störfall spielt eine<br />
Rolle für die <strong>Sicherheit</strong> eines Systems. Entscheidend ist<br />
auch die Häufigkeit, mit der ein Störfall erwartet und somit<br />
die entsprechende <strong>Sicherheit</strong>sfunktion angefordert wird.<br />
Die DIN EN 61508 unterscheidet dazu die Betriebsarten<br />
Low Demand und High Demand (oder Continuous) Mode.<br />
Low Demand Mode<br />
Betriebsart mit niedriger Anforderungshäufigkeit, bei<br />
der die <strong>Sicherheit</strong>sfunktion nicht häufiger als einmal pro<br />
Jahr angefordert wird. Dies trifft typischerweise auf <strong>Sicherheit</strong>sfunktionen<br />
für die Prozessindustrie zu, die Stellantriebe<br />
einsetzen.<br />
Betrachtet wird hierbei nur die <strong>Sicherheit</strong>sfunktion. Ein<br />
Antrieb, der sowohl für eine <strong>Sicherheit</strong>sfunktion als auch<br />
zum „normalen“ Öffnen und Schließen eingesetzt wird,<br />
darf im Normalbetrieb durchaus häufiger eine Armatur<br />
öffnen und schließen. Ein Störfall in der Anlage, der das<br />
sichere Schließen der Armatur erfordert, darf jedoch nicht<br />
öfter als einmal pro Jahr erwartet werden.<br />
10 |<br />
Um die <strong>SIL</strong>-Fähigkeit eines Gerätes ermitteln zu können,<br />
verwenden die Normen DIN EN 61508 und 61511 die<br />
Methoden der Wahrscheinlichkeitsrechnung.<br />
Die wichtigsten <strong>Sicherheit</strong>skennzahlen werden im Folgenden<br />
erläutert.<br />
High Demand Mode (oder Continuous Mode)<br />
Betriebsart mit hoher bzw. kontinuierlicher Anforderungsrate,<br />
bei der die <strong>Sicherheit</strong>sfunktion entweder<br />
kontinuierlich arbeitet oder häufiger als einmal pro Jahr<br />
angefordert wird.<br />
Bei dieser Betriebsart wird als Maß für die <strong>Sicherheit</strong> die<br />
Ausfallwahrscheinlichkeit pro Stunde berechnet und als<br />
PFH-Wert angegeben (Probability of Failure per Hour).<br />
Erlaubte PFD-Werte für Low Demand Mode<br />
<strong>Sicherheit</strong>s-<br />
Integritätslevel<br />
Erlaubter PFD avg Wert<br />
(Low Demand)<br />
Theoretisch erlaubte<br />
Ausfälle bei Anforderung<br />
der <strong>Sicherheit</strong>sfunktion<br />
<strong>SIL</strong> 1 ≥ 10 -2 bis < 10 -1 Ein erlaubter gefährlicher<br />
Ausfall in 10 Jahren<br />
<strong>SIL</strong> 2 ≥ 10 -3 bis < 10 -2 Ein erlaubter gefährlicher<br />
Ausfall in 100 Jahren<br />
<strong>SIL</strong> 3 ≥ 10 -4 bis < 10 -3 Ein erlaubter gefährlicher<br />
Ausfall in 1 000 Jahren<br />
<strong>SIL</strong> 4 ≥10 -5 bis < 10 -4 Ein erlaubter gefährlicher<br />
Ausfall in 10 000 Jahren<br />
Die PFD-Werte werden zunächst für jede Komponente<br />
eines sicherheitstechnischen Systems einzeln berechnet.<br />
Ein <strong>Sicherheit</strong>s-Integritätslevel beschreibt jedoch eine<br />
Eigenschaft einer gesamten <strong>Sicherheit</strong>sfunktion und nicht<br />
die einer Einzelkomponente. Daher muss aus den PFD-<br />
Werten der Einzelkomponenten der Gesamt-PFD-Wert für<br />
die <strong>Sicherheit</strong>sfunktion berechnet werden.
Ausfallraten <br />
Für die <strong>Sicherheit</strong> eines Systems ist die Analyse möglicher<br />
Fehlerquellen von entscheidender Bedeutung.<br />
Bei der Betrachtung der Ausfallraten wird unterschieden,<br />
welche Fehler gefährlich und welche ungefährlich<br />
sind, also keinen Einfluss auf das korrekte Ausführen der<br />
<strong>Sicherheit</strong>sfunktion haben. Zudem wird untersucht, ob<br />
Fehler diagnostiziert werden können.<br />
Anteil Sicherer Fehler (SFF)<br />
Der SFF-Wert (Safe Failure Fraction) beschreibt den prozentualen<br />
Anteil ungefährlichen Fehler an der Gesamtfehlerzahl.<br />
Fehler sind ungefährlich, wenn sie das System nicht<br />
in einen gefährlichen Zustand versetzen können.<br />
Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit<br />
eines gefährlichen Systemausfalls. Ein Wert<br />
von beispielsweise 62 % bedeutet, dass 62 von 100<br />
Fehlern keine Auswirkung auf die sichere Funktion des<br />
Systems haben.<br />
Hardwarefehlertoleranz (HFT)<br />
Die HFT (Hardware Fault Tolerance) ist die Fähigkeit<br />
einer Funktionseinheit, eine geforderte <strong>Sicherheit</strong>sfunktion<br />
bei Bestehen von Fehlern oder Abweichungen weiter<br />
auszuführen.<br />
Eine Hardwarefehlertoleranz von N bedeutet, dass<br />
N + 1 Fehler zu einem Ausfall der <strong>Sicherheit</strong>sfunktion führen<br />
kann. Ist die Hardwarefehlertoleranz zum Beispiel Null,<br />
kann bereits ein Fehler zu einem Ausfall der <strong>Sicherheit</strong>sfunktion<br />
führen.<br />
Die HFT lässt sich in der Regel durch einen redundanten<br />
Systemaufbau erhöhen (siehe auch Seite 13).<br />
Gerätetyp<br />
Die DIN EN 61508 unterscheidet zwischen einfachen<br />
und komplexen Geräten.<br />
Einfache Geräte <strong>–</strong> Typ A<br />
Typ A Geräte sind „einfache“ Geräte, bei denen das<br />
Ausfallverhalten der Bauteile vollständig bekannt ist.<br />
Sie enthalten z.B. Relais, Widerstände und Transistoren,<br />
jedoch keine komplexen elektronischen Bauelemente wie<br />
z.B. Mikrocontroller.<br />
Komplexe Geräte <strong>–</strong> Typ B<br />
Typ B Geräte sind „komplexe“ Geräte, die elektronische<br />
Bauelemente wie Mikrocontroller, Mikroprozessoren und<br />
ASICs enthalten. Bei diesen Bauelementen und insbesondere<br />
bei softwaregesteuerten Funktionen ist es schwierig,<br />
alle Fehler vollständig zu bestimmen.<br />
Je komplexer die Geräte desto höher die<br />
Anforderungen<br />
Wie aus den folgenden beiden Tabellen ersichtlich wird,<br />
gelten für Typ B Geräte deutlich höhere Anforderungen als<br />
für Typ A Geräte.<br />
SFF und HFT für Typ A Geräte<br />
SFF (Anteil Sicherer<br />
HFT (Hardwarefehlertoleranz)<br />
Fehler)<br />
0 1 2<br />
< 60 % <strong>SIL</strong> 1 <strong>SIL</strong> 2 <strong>SIL</strong> 3<br />
60 % bis < 90 % <strong>SIL</strong> 2 <strong>SIL</strong> 3 <strong>SIL</strong> 4<br />
90 % bis < 99 % <strong>SIL</strong> 3 <strong>SIL</strong> 4 <strong>SIL</strong> 4<br />
≥ 99 % <strong>SIL</strong> 3 <strong>SIL</strong> 4 <strong>SIL</strong> 4<br />
SFF und HFT für Typ B Geräte<br />
SFF (Anteil Sicherer<br />
HFT (Hardwarefehlertoleranz)<br />
Fehler)<br />
0 1 2<br />
< 60 % nicht erlaubt <strong>SIL</strong> 1 <strong>SIL</strong> 2<br />
60 % bis < 90 % <strong>SIL</strong> 1 <strong>SIL</strong> 2 <strong>SIL</strong> 3<br />
90 % bis < 99 % <strong>SIL</strong> 2 <strong>SIL</strong> 3 <strong>SIL</strong> 4<br />
≥ 99 % <strong>SIL</strong> 3 <strong>SIL</strong> 4 <strong>SIL</strong> 4<br />
Mittlere Betriebsdauer zwischen Ausfällen<br />
(MTBF)<br />
Die mittlere Betriebsdauer zwischen Ausfällen (Mean<br />
Time Between Failures) in Jahren beschreibt die theoretische<br />
Betriebszeit zwischen zwei aufeinander folgenden<br />
Ausfällen und ist ein Maß für die Zuverlässigkeit. Sie ist<br />
nicht mit der Lebensdauer oder der Gebrauchsdauer eines<br />
Systems zu verwechseln.<br />
| 11
Ein <strong>Sicherheit</strong>s-Integritätslevel wird immer für die<br />
gesamte <strong>Sicherheit</strong>sfunktion gefordert. Deshalb reicht es<br />
nicht aus, nur die PFD-Werte für die einzelnen Komponenten<br />
zu betrachten.<br />
Ermittlung der <strong>SIL</strong>-Fähigkeit<br />
Berechnung des Gesamt-PFD-Wertes einer <strong>Sicherheit</strong>sfunktion<br />
PFD-Wert<br />
Sensor<br />
PFD = 3,63 x 10-3 = <strong>SIL</strong> 2<br />
12 |<br />
PFD-Wert<br />
<strong>Sicherheit</strong>s-SPS<br />
PFD = 1,84 x 10-3 = <strong>SIL</strong> 2<br />
+ +<br />
PFD-Wert<br />
Antrieb<br />
PFD = 2,28 x 10-3 = <strong>SIL</strong> 2<br />
<strong>SIL</strong>-Fähigkeit einer <strong>Sicherheit</strong>sfunktion<br />
Zur Ermittlung der <strong>SIL</strong>-Fähigkeit einer <strong>Sicherheit</strong>sfunktion<br />
müssen die PFD-Werte der einzelnen Komponenten<br />
addiert werden. Der so berechnete Gesamt-PFD-Wert der<br />
<strong>Sicherheit</strong>sfunktion wird dann mit der erlaubten Gesamtausfallwahrscheinlichkeit<br />
für den geforderten <strong>SIL</strong> verglichen.<br />
So zeigt die unten stehende Abbildung, dass zum<br />
Beispiel die ausschließliche Verwendung von <strong>SIL</strong> 2-fähigen<br />
Komponenten noch keine Garantie dafür ist, dass<br />
die <strong>Sicherheit</strong>sfunktion als Ganzes ebenfalls <strong>SIL</strong> 2 erfüllt.<br />
<strong>SIL</strong> 2 ist nur dann gegeben, wenn der PFD-Wert für alle<br />
Komponenten zusammen innerhalb des für <strong>SIL</strong> 2 erlaubten<br />
Bereiches liegt.<br />
PFD-Wert<br />
Armatur<br />
PFD = 2,92 x 10-3 = <strong>SIL</strong> 2<br />
+ =<br />
Gesamt-PFD-Wert<br />
<strong>Sicherheit</strong>sfunktion<br />
PFD = 1,07 x 10-2 = <strong>SIL</strong> 1
Zeigen die Berechnungen, dass mit den ausgewählten<br />
Hardwarekomponenten der geforderte <strong>SIL</strong> nicht erreicht<br />
wird, lässt sich die <strong>SIL</strong>-Fähigkeit durch Maßnahmen wie<br />
zusätzliche Diagnose oder Redundanz verbessern.<br />
Partial Valve Stroke Test (PVST)<br />
Mit Hilfe des Partial Valve Stroke Tests wird in regelmäßigen<br />
Abständen die Funktion des Gerätes geprüft. Der<br />
Antrieb bzw. die Armatur fährt einen definierten Weg<br />
vor und wieder zurück. Damit wird geprüft, ob sich der<br />
Antrieb tatsächlich bewegt.<br />
Der PVST ist eine anerkannte Methode, die Verfügbarkeit<br />
von Einzelkomponenten einer <strong>Sicherheit</strong>sfunktion zu<br />
erhöhen. Durch die vorbeugende Diagnose lassen sich<br />
einige sicherheitsrelevante Fehler ausschließen; die Ausfallwahrscheinlichkeit<br />
nimmt ab.<br />
Wiederholungsprüfung (Proof Test)<br />
Hier handelt es sich um eine umfangreiche Systemüberprüfung.<br />
Wird das Intervall zwischen zwei solcher Prüfungen<br />
von zum Beispiel zwei Jahren auf ein Jahr verkürzt,<br />
kann sich die <strong>SIL</strong>-Fähigkeit verbessern, da bis dahin unerkannte<br />
Fehler aufgedeckt werden können.<br />
Verbesserung der <strong>SIL</strong>-Fähigkeit<br />
Redundanz<br />
Auch mit einem redundanten Systemaufbau lässt sich<br />
die Wahrscheinlichkeit erhöhen, dass eine <strong>Sicherheit</strong>sfunktion<br />
im Notfall ausgeführt werden kann. Dabei werden<br />
zwei oder mehr Geräte eines sicherheitstechnischen Systems<br />
redundant betrieben.<br />
Je nach <strong>Sicherheit</strong>sanforderung sind verschiedene MooN<br />
(„M out of N“) Konfigurationen sinnvoll. Bei einer 1oo2<br />
(„one out of two“) Konfiguration genügt zum Beispiel<br />
eines von zwei Geräten, um die <strong>Sicherheit</strong>sfunktion auszuführen.<br />
Bei einer 2oo3 („two out of three“) Konfiguration<br />
müssen zwei von drei Geräten korrekt arbeiten. Wie die<br />
konkrete Anordnung der Geräte aussieht, hängt auch von<br />
der geforderten <strong>Sicherheit</strong>sfunktion ab. Dies wird in den<br />
unten gezeigten Abbildungen für Sicheres Öffnen und<br />
Sicheres Schließen deutlich.<br />
Ein redundanter Systemaufbau kann die Hardwarefehlertoleranz<br />
und damit auch die <strong>SIL</strong>-Fähigkeit erhöhen.<br />
Für <strong>SIL</strong> 3 Anwendungen ist nach der DIN EN 61511<br />
Redundanz sogar zwingend vorgeschrieben.<br />
[1] Redundantes System für Sicheres Öffnen [2] Redundantes System für Sicheres Schließen<br />
| 13
<strong>SIL</strong>-Fähigkeit der AUMA Produkte<br />
Was unsere Kunden bewegt, das bewegt auch uns. Für<br />
Anlagenplaner und Anlagenbetreiber ist es von zentraler<br />
Bedeutung, geeignete Komponenten für die jeweiligen<br />
<strong>Sicherheit</strong>sanforderungen einzusetzen. Um unsere Kunden<br />
bei der Auswahl der Komponenten optimal zu unterstützen,<br />
haben wir in einem umfangreichen Verfahren die<br />
<strong>Sicherheit</strong>skennzahlen und damit die <strong>SIL</strong>-Fähigkeit der<br />
AUMA Stellantriebe, Steuerungen und Getriebe ermittelt.<br />
Beurteilte <strong>Sicherheit</strong>sfunktionen<br />
Die <strong>Sicherheit</strong>skennzahlen und damit auch die <strong>SIL</strong>-Fähigkeit<br />
sind abhängig von der <strong>Sicherheit</strong>sfunktion, die das<br />
Gerät im Notfall ausführt, um die Anlage in einen sicheren<br />
Zustand zu bringen.<br />
Da Stellantriebe vor allem dem automatisierten Öffnen<br />
und Schließen von Armaturen dienen, bewegen sich auch<br />
die <strong>Sicherheit</strong>sfunktionen der AUMA Antriebe innerhalb<br />
dieses Bereichs.<br />
Sicheres Öffnen/Sicheres Schließen<br />
Hier fährt der Antrieb bei Anforderung der <strong>Sicherheit</strong>sfunktion<br />
in Richtung Endlage AUF oder Endlage ZU.<br />
Eine Übersicht über alle bewerteten AUMA Produkte<br />
finden Sie auf Seite 23.<br />
Detaillierte <strong>Sicherheit</strong>skennzahlen für ausgewählte<br />
Antriebe finden Sie auf Seite 25.<br />
14 |<br />
Sicheres Öffnen/Sicheres Schließen mit<br />
Partial Valve Stroke Test (PVST)<br />
Als zusätzliche Diagnosemaßnahme wird ein Partial<br />
Valve Stroke Test in regelmäßigen Abständen durchgeführt,<br />
um die Funktion des Antriebs zu überprüfen und so<br />
die Wahrscheinlichkeit zu erhöhen, Ausfälle rechtzeitig zu<br />
entdecken. Dadurch lassen sich die <strong>Sicherheit</strong>skennzahlen<br />
verbessern.<br />
Sicherer Stillstand/Sicherer Stopp<br />
Der Motor des Antriebs wird bei Anforderung der<br />
<strong>Sicherheit</strong>sfunktion gestoppt. Ein unerwünschtes Anfahren<br />
des Motors wird verhindert.<br />
Sichere Endlagenrückmeldung<br />
Hier wird über die elektromechanische Steuereinheit<br />
eine sichere Meldung ausgegeben, sobald eine der Endlagen<br />
AUF oder ZU oder das Abschaltdrehmoment erreicht<br />
sind. Dies ist zwar keine <strong>Sicherheit</strong>sfunktion im Sinne der<br />
Norm, doch hat es sich in der Praxis als bedeutsam erwiesen,<br />
auch für diese Funktion <strong>Sicherheit</strong>skennzahlen zur<br />
Verfügung zu stellen.<br />
AUMA Antriebe ohne integrierte Steuerung<br />
Bei dieser Ausführung müssen die steuerungstechnischen<br />
Funktionen vom Kunden zur Verfügung<br />
gestellt werden.<br />
Beurteilt wurden die Antriebe SA .1, SA .2 und<br />
SG .1 sowie jeweils die Versionen für Regelbetrieb<br />
und Explosionsschutz. Die Antriebe werden als Typ<br />
A Geräte eingestuft. Die <strong>SIL</strong>-Fähigkeit ist abhängig<br />
vom Antrieb und von der <strong>Sicherheit</strong>sfunktion. SA .2<br />
Antriebe beispielsweise sind für alle <strong>Sicherheit</strong>sfunktionen<br />
<strong>SIL</strong> 2-fähig. <strong>SIL</strong> 3 lässt sich durch redundanten<br />
Systemaufbau erreichen.
AUMA Antriebe mit integrierter<br />
Steuerung AM<br />
Die AM als „einfache“ Steuerung mit diskretem<br />
Schaltungsaufbau und ohne komplexe elektrische<br />
Bauteile wird als Typ A Gerät eingestuft.<br />
Bewertet wurden die Antriebe SA .1, SA .2<br />
und SG .1. Die <strong>SIL</strong>-Fähigkeit ist abhängig von der<br />
<strong>Sicherheit</strong>sfunktion und von der Ausführung des<br />
Schaltplans.<br />
Die Die SA .2 Antriebe mit integrierter Steuerung<br />
AM sind in den betrachteten Ausführungen durchgängig<br />
<strong>SIL</strong> 2-fähig. <strong>SIL</strong> 3 lässt sich durch redundanten<br />
Systemaufbau erreichen.<br />
Die <strong>Sicherheit</strong>sfunktionen Sicheres Öffnen/<br />
Sicheres Schließen können wahlweise über die<br />
Standard-Eingänge für Öffnen und Schließen<br />
realisiert werden oder über einen separaten NOT- NOT-<br />
Eingang.<br />
AUMA Antriebe mit integrierter Steuerung<br />
AC .2 in Ausführung <strong>SIL</strong><br />
Mit der integrierten Steuerung AC .2 in Ausführung<br />
<strong>SIL</strong> steht eine moderne Steuerung für <strong>SIL</strong><br />
2-Anwendungen zur Verfügung. Durch redundanten<br />
Systemaufbau lässt sich auch <strong>SIL</strong> 3 erreichten.<br />
Ausführliche Ausführliche Informationen zur AC .2 in AusAusführungführungg <strong>SIL</strong> <strong>SIL</strong> finden Sie auf den folgenden g Seiten.<br />
AUMA Antriebe mit integrierter Steuerung<br />
AC .1<br />
Die integrierte Steuerung AC .1 mit ihrer<br />
modernen Elektronik und komplexen elektrischen<br />
Bauteilen wird als Typ B Gerät eingestuft und unterliegt<br />
damit höheren Normanforderungen. Bewertet<br />
wurden die Antriebe SA .1 und SG .1.<br />
Die Antriebe mit integrierter Steuerung AC .1<br />
sind in den betrachteten Ausführungen durchgängig<br />
<strong>SIL</strong> 1-fähig.<br />
Auch bei der AC .1 .1 können die <strong>Sicherheit</strong>sfunktionen<br />
Sicheres Öffnen/Sicheres Schließen<br />
wahlweise über Standard-Eingänge oder über einen<br />
separaten NOT-Eingang realisiert werden. Zum<br />
Beispiel kann die Ansteuerung im Normalbetrieb<br />
mittels Feldbus über die Standard-Feldbussignale<br />
erfolgen, während die <strong>Sicherheit</strong>sfunktion direkt<br />
über den NOT-Eingang ausgeführt wird.<br />
AUMA Getriebe<br />
Für die AUMA Getriebe GS und GF wurden<br />
ebenfalls die <strong>Sicherheit</strong>skennzahlen bestimmt.<br />
Die betrachteten Getriebe sind durchgängig <strong>SIL</strong><br />
2-fähig.<br />
| 15
Wer die integrierte Steuerung AC .2 kennt, schätzt ihre<br />
Vielfalt an Funktionen und Einstellmöglichkeiten. Ihre frei<br />
konfigurierbaren parallelen und Feldbus-Schnittstellen<br />
ermöglichen die einfache Einbindung in moderne Leitsysteme.<br />
Die AC .2 ist die ideale Steuerung für komplexe<br />
Steuer- und Regelfunktionen. Zusätzliche Diagnosefunktionen<br />
sorgen zudem für erhöhte <strong>Sicherheit</strong> und Verfügbarkeit<br />
des Antriebs. Hierzu zählen zum Beispiel die<br />
Betriebsdatenerfassung mit zeitgestempeltem Ereignisprotokoll,<br />
die kontinuierliche Erfassung von Temperaturen und<br />
Vibrationen im Antrieb und die Überwachung von Lebensdauerfaktoren.<br />
Um diese Funktionen auch für <strong>SIL</strong> 2- und <strong>SIL</strong> 3-Anwendungen<br />
nutzbar zu machen, hat AUMA ein spezielles <strong>SIL</strong>-<br />
Modul für die AC .2 entwickelt.<br />
16 |<br />
Das <strong>SIL</strong>-Modul<br />
Beim <strong>SIL</strong>-Modul handelt es sich um eine zusätzliche<br />
Platine, die für die Ausführung von <strong>Sicherheit</strong>sfunktionen<br />
zuständig ist. Diese Platine wird in den integrierten Steuerungen<br />
AC .2 und ACEx .2 eingesetzt.<br />
Kommt es zu einem Notfall und wird daher eine <strong>Sicherheit</strong>sfunktion<br />
angefordert, so wird die Standardlogik der<br />
AC .2 überbrückt und die <strong>Sicherheit</strong>sfunktion über das<br />
<strong>SIL</strong>-Modul ausgeführt.<br />
Auf dem <strong>SIL</strong>-Modul werden nur vergleichsweise einfache<br />
Bauelemente wie Transistoren, Widerstände und<br />
Kondensatoren eingesetzt, deren Ausfallraten vollständig<br />
bekannt sind. Deshalb gilt die AC .2 in Ausführung <strong>SIL</strong> als<br />
einfaches Typ A Gerät. Die ermittelten <strong>Sicherheit</strong>skennzahlen<br />
erlauben den Einsatz in <strong>SIL</strong> 2- und, in redundanter<br />
Ausführung (1oo2), in <strong>SIL</strong> 3-Anwendungen.<br />
<strong>SIL</strong> 2/<strong>SIL</strong> 3 für integrierte Steuerung AC .2 in Ausführung <strong>SIL</strong><br />
Integrierte Steuerung AC .2 und <strong>SIL</strong>-Modul
Vorrang für die <strong>Sicherheit</strong>sfunktion<br />
Ein System mit einer AC .2 in Ausführung <strong>SIL</strong> vereint die<br />
Funktionen von zwei Steuerungen. Zum einen können die<br />
Standardfunktionen der AC .2 für den „Normalbetrieb“<br />
verwendet werden. Zum anderen werden über das integrierte<br />
<strong>SIL</strong>-Modul die <strong>Sicherheit</strong>sfunktionen ausgeführt.<br />
Die <strong>Sicherheit</strong>sfunktionen haben dabei immer Vorrang<br />
vor dem Normalbetrieb. Dies wird dadurch gewährleistet,<br />
dass bei Anforderung einer <strong>Sicherheit</strong>sfunktion die<br />
Standardlogik der Steuerung durch eine Bypass-Schaltung<br />
umgangen wird.<br />
Signalverarbeitung rarbeitung bei der integrierten Steuerung g AC .2 iin<br />
iin<br />
Ausführung <strong>SIL</strong><br />
Steuerung AC .2 in<br />
Ausführung <strong>SIL</strong><br />
Signale einer „sicheren“ SPS<br />
<strong>Sicherheit</strong>sfunktionen Sicheres Öffnen,<br />
Sicheres Schließen, Sicherer Stopp<br />
Antrieb SA .2<br />
Die folgende Abbildung zeigt einen typischen Aufbau<br />
für ein System mit AC .2 in Ausführung <strong>SIL</strong>. Die AC .2 wird<br />
über zwei übergeordnete Steuerungen (SPS) angesteuert,<br />
eine „sichere“, also eine <strong>SIL</strong>-zugelassene SPS und eine<br />
„unsichere“ SPS.<br />
Der Normalbetrieb wird über die Befehle der unsicheren<br />
SPS gesteuert und durch die Standardlogik der AC .2<br />
verarbeitet.<br />
Bei einem Notfall wird der Normalbetrieb unterbrochen,<br />
und die Signale der sicheren SPS steuern den Antrieb über<br />
das integrierte <strong>SIL</strong>-Modul.<br />
Wird ein Antrieb mit AC .2 in Ausführung <strong>SIL</strong> als reines<br />
<strong>Sicherheit</strong>ssystem genutzt, kann die Ansteuerung über die<br />
unsichere SPS entfallen.<br />
<strong>SIL</strong>-Modul Standardlogik AC .2<br />
Leistungsteil für Motorsteuersignal<br />
Schütz oder Thyristor<br />
Motor des Antriebs<br />
Signale einer „unsicheren“ SPS/<br />
Signale der Ortssteuerstelle<br />
Normalbetrieb Fahre AUF, Fahre ZU, HALT<br />
| 17
Funktionen des <strong>SIL</strong>-Moduls<br />
Konfigurationsmöglichkeiten<br />
Die AC .2 in Ausführung <strong>SIL</strong> zeichnet sich durch eine<br />
Vielfalt an Konfigurationsmöglichkeiten aus. Im Werk wird<br />
bereits entsprechend der Kundenwünsche voreingestellt,<br />
welche <strong>Sicherheit</strong>sfunktion ausgeführt und wann eine<br />
Abschaltung der Fahrt erfolgen soll. Diese Einstellung<br />
erfolgt über DIP-Schalter auf dem <strong>SIL</strong>-Modul.<br />
<strong>Sicherheit</strong>sfunktionen<br />
Die folgenden <strong>Sicherheit</strong>sfunktionen können mit Hilfe<br />
der AC .2 in Ausführung <strong>SIL</strong> realisiert werden:<br />
■ Sicheres Öffnen/Schließen<br />
(Safe ESD, Emergency Shut Down)<br />
Der Stellantrieb fährt in die konfigurierte Richtung AUF<br />
bzw. ZU. Für zusätzliche <strong>Sicherheit</strong> ist der Signaleingang<br />
redundant ausgeführt.<br />
■ Sicherer Stopp (Safe Stop)<br />
Bei dieser <strong>Sicherheit</strong>sfunktion wird ein Fahrbefehl der<br />
unsicheren SPS in Richtung AUF oder ZU nur dann<br />
ausgeführt, wenn ein zusätzliches Freigabesignal des<br />
<strong>SIL</strong>-Moduls anliegt.<br />
Falls das Freigabesignal fehlt, wird eine Fahrt in<br />
Richtung AUF bzw. ZU gestoppt oder erst gar nicht<br />
gestartet.<br />
■ Sicheres Öffnen/Schließen kombiniert mit Sicherem<br />
Stopp<br />
In diesem Fall besitzt die Funktion Sicheres Öffnen/<br />
Sicheres Schließen die höhere Priorität.<br />
Zusätzlich ist über den Stellantrieb die sichere Endlagenrückmeldung<br />
möglich.<br />
18 |<br />
Abschaltkriterien<br />
Wie für den Normalbetrieb kann auch für die <strong>Sicherheit</strong>sfunktionen<br />
festgelegt werden, in welchen Fällen<br />
der Antrieb abschaltet. Während im Normalbetrieb die<br />
Abschaltkriterien den Schutz von Armatur und Antrieb<br />
gewährleisten, kann es im Anforderungsfall einer <strong>Sicherheit</strong>sfunktion<br />
jedoch vorrangig sein, die Armatur unbedingt<br />
zu öffnen bzw. zu schließen. Ein Schaden am Antrieb<br />
oder an der Armatur wird dann gegebenenfalls in Kauf<br />
genommen.<br />
Insgesamt stehen für <strong>Sicherheit</strong>sfunktionen die folgenden<br />
Abschaltkriterien zur Verfügung:<br />
■ Wegabhängige Abschaltung<br />
Sobald der eingestellte Schaltpunkt in der Endlage<br />
AUF oder ZU erreicht wird, schaltet die Steuerung des<br />
Antriebs ab. Tritt während der Fahrt ein überhöhtes<br />
Drehmoment auf, zum Beispiel durch einen in der<br />
Armatur eingeklemmten Gegenstand, wird der Antrieb<br />
zum Schutz der Armatur abgeschaltet, bevor die Endlage<br />
erreicht wird.<br />
■ Abschaltung in der Weg-Endlage<br />
Der Stellantrieb stoppt erst, wenn die Endlage AUF<br />
oder ZU erreicht ist, unabhängig vom ausgeübten<br />
Drehmoment.<br />
■ Abschaltung in der Drehmoment-Endlage<br />
Der Stellantrieb stoppt erst beim Erreichen des eingestellten<br />
Endlagendrehmoments, unabhängig vom<br />
zurückgelegten Weg.<br />
■ Keine Abschaltung<br />
Hier werden Drehmoment- und Wegschalter überbrückt,<br />
um die Armatur unbedingt zu öffnen bzw. zu<br />
schließen. Um ein Verbrennen des Motors zu verhindern,<br />
empfehlen wir in diesem Fall, die AC .2 in Ausführung<br />
<strong>SIL</strong> mit Thermoschutzfunktion zu verwenden.
Laufüberwachung des Antriebs<br />
Über eine elektromechanische Laufüberwachung des<br />
Antriebs kann mit Hilfe des <strong>SIL</strong>-Moduls die Zuverlässigkeit<br />
des Systems überprüft werden. Wird ein Fahrbefehl<br />
ausgegeben, ohne dass der Antrieb daraufhin nach einer<br />
vordefinierten Zeit anfährt, aktiviert das <strong>SIL</strong>-Modul die <strong>SIL</strong>-<br />
Sammelfehlermeldung.<br />
Diese Laufüberwachung ist auch im Normalbetrieb aktiv.<br />
Sichere Ein- und Ausgänge<br />
Das <strong>SIL</strong>-Modul stellt drei sichere Eingänge und zwei<br />
sichere Ausgänge zur Verfügung:<br />
■ 1 redundant ausgeführter Eingang für Sicheres Öffnen/<br />
Sicheres Schließen (es kann entweder Öffnen oder<br />
Schließen konfiguriert werden)<br />
■ 1 Eingang für Sicheren Stopp bzw. Freigabe in Richtung<br />
AUF<br />
■ 1 Eingang für Sicheren Stopp bzw. Freigabe in Richtung<br />
ZU<br />
■ 1 Ausgang zur Meldung eines <strong>SIL</strong>-Sammelfehlers<br />
■ 1 Ausgang zur Meldung „System bereit“<br />
Unterstützendes Display<br />
Informationen über den Status des <strong>SIL</strong>-Moduls, wie<br />
zum Beispiel das Ausführen einer <strong>Sicherheit</strong>sfunktion oder<br />
das Anstehen der <strong>SIL</strong>-Sammelfehlermeldung, werden mit<br />
entsprechenden Symbolen und Texten auf dem Display der<br />
AC .2 angezeigt.<br />
| 19
Um eine fundierte und nachvollziehbare Aussage über<br />
die <strong>SIL</strong>-Fähigkeit der AUMA Geräte machen zu können,<br />
wurden <strong>Sicherheit</strong>skennzahlen ermittelt.<br />
Die Normen DIN EN 61508 und 61511 sehen dazu zwei,<br />
teilweise verschiedene Verfahren vor: die Hardware-Beurteilung<br />
und die vollständige Bewertung.<br />
Bereits existierende Geräte hat AUMA anhand einer<br />
Hardware-Beurteilung bewerten lassen. Dazu zählen die<br />
Stellantriebe SA und SG, die integrierten Steuerungen AM<br />
und AC .1 und die Getriebe GS und GF.<br />
Die Entwicklung der integrierten Steuerung AC .2 in<br />
Ausführung <strong>SIL</strong> dagegen ist vollständig bewertet. Dabei<br />
werden nicht nur zufällige sondern auch systematische<br />
Fehler in allen Phasen des Produktlebenszyklus betrachtet,<br />
von der Spezifikation bis hin zur Außerbetriebsetzung des<br />
Produkts.<br />
20 |<br />
Bestehende Produkte<br />
Zur Bewertung bereits bestehender Komponenten sehen<br />
die Normen DIN EN 61508 und 61511 eine Eignungsaussage<br />
auf der Basis einer Hardware-Beurteilung eines<br />
Gerätes vor.<br />
Für die einzelnen Komponenten werden <strong>Sicherheit</strong>skennzahlen<br />
ermittelt, anhand derer die <strong>SIL</strong>-Einstufung<br />
vorgenommen werden kann.<br />
Als Grundlage für die Hardware-Beurteilung wurden für<br />
AUMA Steuerungen generische Daten verwendet und für<br />
AUMA Antriebe Feldrücklaufdaten.<br />
Generische Daten für AUMA Steuerungen<br />
Generische Daten sind statistisch ermittelte Ausfallraten<br />
für einzelne Bauelemente, die in speziellen Datenbanken,<br />
sogenannten „Reliability data books“, gelistet sind.<br />
Beispiele sind die SIEMENS Norm SN29500 oder das EXIDA<br />
Handbuch.<br />
Für die elektronischen Bauelemente, die in AUMA Produkten<br />
verwendet werden, wurden die <strong>Sicherheit</strong>skennzahlen<br />
auf Grundlage des EXIDA Handbuchs ermittelt.<br />
Ermittlung der <strong>Sicherheit</strong>skennzahlen für AUMA Produkte
Feldrücklaufdaten für AUMA Antriebe<br />
Für mechanische Komponenten sind nur wenige generische<br />
Daten verfügbar. Hier werden über Feldrücklaufdaten,<br />
zum Beispiel Fehlerrückmeldungen während der Garantiezeit,<br />
und über Versuchsergebnisse Rückschlüsse auf die<br />
Zuverlässigkeit der entsprechenden Bauteile gezogen.<br />
Bei der Ermittlung der <strong>Sicherheit</strong>skennzahlen der AUMA<br />
Antriebe wurden Daten aus den letzten zehn Jahren ausgewertet.<br />
FMEDA<br />
Die FMEDA (Fehlermöglichkeits-, Einfluss- und Diagnoseabdeckungsanalyse)<br />
ist eine nach der DIN EN 61508<br />
anerkannte Methode, um <strong>Sicherheit</strong>skennzahlen zu<br />
berechnen.<br />
Diese Analyse erfolgt in definierten Schritten, die dokumentiert<br />
und jederzeit nachvollziehbar sind.<br />
Mit Hilfe der FMEDA werden mögliche Fehlerszenarien<br />
und die jeweiligen Eintrittswahrscheinlichkeiten untersucht.<br />
Zudem wird analysiert, ob die möglichen Fehler für<br />
die <strong>Sicherheit</strong>sfunktion gefährlich sind oder nicht und ob<br />
sie diagnostiziert und damit erkannt werden können.<br />
Vorgehensweise bei<br />
der Ermittlung der<br />
<strong>Sicherheit</strong>skennzahlen<br />
Generische Daten<br />
(AUMA Steuerungen)<br />
FMEDA<br />
Feldrücklaufdaten<br />
(AUMA ( Stellantriebe)<br />
Ausfallraten der Systemkomponenten<br />
Kategorisierte Ausfallraten des Systems<br />
safe dangerous detected dangerous undetected<br />
Berechnung der <strong>Sicherheit</strong>skennzahlen<br />
PFD SFF HFT DC avg D<br />
Aus den so ermittelten Ausfallraten werden Ausfallwahrscheinlichkeiten<br />
(PFD -Werte) und weitere Sicher-<br />
avg<br />
heitskennzahlen wie Safe Failure Fraction (SFF) und Diagnosedeckungsgrad<br />
(DC ) berechnet.<br />
D<br />
EXIDA Berichte und Zertifikate<br />
Die <strong>Sicherheit</strong>skennzahlen für die AUMA Produkte wurden<br />
in Zusammenarbeit mit EXIDA ermittelt, der größten<br />
internationalen Zertifizierungsagentur in diesem Bereich.<br />
Die Ergebnisse der Untersuchungen liegen in Form von<br />
EXIDA-Berichten vor.<br />
In der Tabelle auf Seite 23 werden alle sicherheitstechnisch<br />
bewerteten AUMA Produkte aufgeführt.<br />
| 21
Ermittlung der <strong>Sicherheit</strong>skennzahlen für AUMA Produkte<br />
Vollständige Bewertung für Neuentwicklungen<br />
Bei der integrierten Steuerung AC .2 in Ausführung <strong>SIL</strong> Systematische Fehler<br />
handelt es sich um eine Entwicklung, für die eine vollständige<br />
Bewertung nach DIN EN 61508 durchgeführt wurde.<br />
Bewertet wurde dabei das Gesamtsystem bestehend aus<br />
einem Stellantrieb SA .2 und einer Steuerung AC .2 in Ausführung<br />
<strong>SIL</strong>. Die Zertifizierung wurde durch den TÜV Nord<br />
durchgeführt.<br />
Was wurde geprüft?<br />
Gegenüber der reinen Hardware-Beurteilung bereits<br />
bestehender Produkte werden bei der vollständigen<br />
Bewertung zusätzlich zum Beispiel die Entwicklungs- und<br />
Produktionsabläufe geprüft und zertifiziert, um systematische<br />
Fehler möglichst zu vermeiden.<br />
Die unten gezeigte Abbildung verdeutlicht den Grundgedanken<br />
einer vollständigen Bewertung nach DIN EN<br />
61508. Betrachtet werden dabei sowohl die systematischen<br />
Fehler eines Produkts als auch die zufälligen Fehler.<br />
Grundprinzip einer vollständigen Bewertung<br />
22 |<br />
Systematische Fehler<br />
Prinzipiell vermeidbar<br />
Ziel: Fehlervermeidung<br />
Functional Safety<br />
Management (FSM) System<br />
Fehler hler vermieden Fehler Feehler<br />
nicht vermieden<br />
Systematische Fehler sind in der Regel Entwicklungsoder<br />
Fertigungsfehler und sind prinzipiell vermeidbar. Mit<br />
Hilfe eines Functional Safety Management Systems werden<br />
mögliche Fehlerquellen gesucht und Maßnahmen ergriffen,<br />
um die systematischen Fehler zu vermeiden.<br />
Functional Safety Management System<br />
Ein Functional Safety Management (FSM) System kann<br />
als Erweiterung eines Qualitätsmanagementsystems<br />
betrachtet werden. Durch die darin beschriebenen Regelungen<br />
und Definitionen kann ein Großteil der systematischen<br />
Fehlerquellen ausgeräumt werden.<br />
Zufällige Fehler<br />
Prinzipiell nicht vermeidbar<br />
Ziel: Fehlerbeherrschung<br />
Maßnahmen<br />
Diagnose, Redundanz<br />
Ermittlung der<br />
<strong>Sicherheit</strong>skennzahlen
Zufällige Fehler<br />
Zufällige Fehler sind zum Beispiel bedingt durch äußere<br />
Störungen und werden als prinzipiell nicht vermeidbar<br />
betrachtet. Daher müssen Möglichkeiten geschaffen werden,<br />
um diese Fehler so weit wie möglich zu beherrschen.<br />
Geeignete Maßnahmen sind zum Beispiel zusätzliche<br />
Systemüberwachung und Systemdiagnose sowie redundanter<br />
Aufbau.<br />
AUMA Antriebe und Steuerungen mit <strong>SIL</strong>-Bewertung<br />
Für alle sicherheitstechnisch bewerteten AUMA Antriebe und Steuerungen können Sie die Prüfberichte direkt bei<br />
AUMA anfordern. Zudem sind Zusammenfassungen für die verschiedenen Produkt-Konfigurationen verfügbar.<br />
Beispieldaten finden Sie ab Seite 25.<br />
Antrieb Steuerung <strong>Sicherheit</strong>sfunktion Prüfbericht<br />
SA/SAR 07.1 <strong>–</strong> 16.1<br />
ohne integrierte Steuerung Sicheres Öffnen/Schließen<br />
EXIDA Bericht Nr. AUMA 07/07-32 R003<br />
SAExC/SARExC 07.1 <strong>–</strong> 16.1<br />
Sicheres Öffnen/Schließen mit PVST<br />
SG 05.1 <strong>–</strong> 12.1<br />
Sicherer Stillstand/Stopp<br />
SGExC 05.1 <strong>–</strong> 12.1<br />
Sichere Endlagenrückmeldung EXIDA Bericht Nr. AUMA 10-12-035 R005<br />
SA/SAR 07.2 <strong>–</strong> 16.2<br />
ohne integrierte Steuerung Sicheres Öffnen/Schließen<br />
EXIDA Bericht Nr. AUMA 10-03-053 R006<br />
SAEx/SAREx 07.2 <strong>–</strong> 16.2<br />
Sicheres Öffnen/Schließen mit PVST<br />
Sicherer Stillstand/Stopp<br />
Sichere Endlagenrückmeldung EXIDA Bericht Nr. AUMA 10-12-035 R005<br />
SA/SAR 07.1 <strong>–</strong> 16.1<br />
AM 01.1/02.1<br />
Sicheres Öffnen/Schließen<br />
EXIDA Bericht Nr. AUMA 07/07-32 R003<br />
SAExC/SARExC 07.1 <strong>–</strong> 16.1 AMExC 01.1<br />
Sicheres Öffnen/Schließen mit PVST<br />
SG 05.1 <strong>–</strong> 12.1<br />
SGExC 05.1 <strong>–</strong> 12.1<br />
AMExB 01.1<br />
Sicherer Stillstand/Stopp<br />
SA/SAR 07.2 <strong>–</strong> 16.2<br />
SAEx/SAREx 07.2 <strong>–</strong> 16.2<br />
Sichere Endlagenrückmeldung EXIDA Bericht Nr. AUMA 10-12-035 R005<br />
SA/SAR 07.1 <strong>–</strong> 16.1<br />
AC 01.1<br />
Sicheres Öffnen/Schließen<br />
EXIDA Bericht Nr. AUMA 07/07-32 R004<br />
SAExC/SARExC 07.1 <strong>–</strong> 16.1 ACExC 01.1<br />
Sicheres Öffnen/Schließen mit PVST<br />
SG 05.1 <strong>–</strong> 12.1<br />
Sicherer Stillstand/Stopp<br />
SGExC 05.1 <strong>–</strong> 12.1<br />
Sichere Endlagenrückmeldung EXIDA Bericht Nr. AUMA 10-12-035 R005<br />
SA/SAR 07.2 <strong>–</strong> 16.2<br />
AC 01.2 in Ausführung <strong>SIL</strong> Sicheres Öffnen/Schließen<br />
SAEx/SAREx 07.2 <strong>–</strong> 16.2 ACExC 01.2 in Ausführung Sicheres Öffnen/Schließen mit PVST<br />
<strong>SIL</strong><br />
Sicherer Stopp<br />
Sichere Endlagenrückmeldung EXIDA Bericht Nr. AUMA 10-12-035 R005<br />
AUMA Getriebe mit <strong>SIL</strong>-Bewertung<br />
Ermittlung der <strong>Sicherheit</strong>skennzahlen<br />
Die trotz aller Maßnahmen verbleibenden Fehler müssen<br />
quantitativ erfasst werden, um das verbleibende Restrisiko<br />
beurteilen zu können. Dazu werden die <strong>Sicherheit</strong>skennzahlen<br />
wie die Ausfallwahrscheinlichkeit der Produkte<br />
ermittelt und dem Endanwender zur Verfügung gestellt.<br />
Dieser Vorgang läuft bei AUMA nach der gleichen Vorgehensweise<br />
ab wie bei der reinen Hardware-Beurteilung<br />
(siehe Seite 21).<br />
Auch für AUMA Getriebe stehen Prüfberichte zur Verfügung, die Sie anfordern können. Die <strong>Sicherheit</strong>skennzahlen der<br />
Getriebe sind von der <strong>Sicherheit</strong>sfunktion unabhängig.<br />
Getriebe Prüfbericht<br />
GS 50.3 <strong>–</strong> 250.3, GS 315 <strong>–</strong> 500<br />
GF 50.3 <strong>–</strong> 250.3<br />
EXIDA Bericht Nr. AUMA 12/02-079 R007<br />
| 23
<strong>Sicherheit</strong>skennzahlen für ausgewählte AUMA Produkte<br />
Nachfolgend sind beispielhaft die <strong>Sicherheit</strong>skennzahlen für ausgewählte Antriebe und Steuerungen aufgeführt. Die<br />
<strong>Sicherheit</strong>skennzahlen sind abhängig von der <strong>Sicherheit</strong>sfunktion, da die Definition des sicheren Zustands unterschiedlich<br />
sein kann und somit eine unterschiedliche Betrachtungsweise notwendig ist.<br />
Bei Antrieben mit integrierter Steuerung sind die <strong>Sicherheit</strong>skennzahlen zudem abhängig von der Ausführung des<br />
Schaltplans, da unterschiedliche Bauelemente mit entsprechend unterschiedlichen Ausfallraten eingesetzt werden. Insgesamt<br />
wurden <strong>Sicherheit</strong>skennzahlen für ca. 150 verschiedene Versionen ermittelt.<br />
24 |<br />
Weitere Daten erhalten Sie gern auf Anfrage.<br />
Drehantriebe SA/SAR 07.2 <strong>–</strong> SA/SAR 16.2 und SAEx/SAREx 07.2 <strong>–</strong> SAEx/SAREx 16.2<br />
ohne integrierte Steuerung<br />
SA .2<br />
SAEx.2<br />
EXIDA EX Bericht<br />
AUMA 10-03-052 R006<br />
Version V1<br />
Si <strong>Sicherheit</strong>sfunktion Sicheres Öffnen/Sicheres Schließen<br />
safe 367 FIT 367 FIT<br />
s<br />
D<br />
DD 0 FIT 162 FIT<br />
D<br />
DU 203 FIT 41 FIT<br />
DC D<br />
0 % 80 %<br />
D<br />
MTBF M<br />
200 Jahre 200 Jahre<br />
SFF SF<br />
64 % 92 %<br />
<strong>SIL</strong>-Fähigkeit2) <strong>SIL</strong> 23) <strong>SIL</strong> 23) T [p<br />
T [p<br />
T [p<br />
<strong>SIL</strong><br />
T [proof] = 1 Jahr PFD avg = 1,05 x 10 -3 PFD avg = 4,96 x 10 -4<br />
T [proof] = 2 Jahre PFD avg = 1,92 x 10 -3 PFD avg = 6,55 x 10 -4<br />
T [proof] = 5 Jahre PFD avg = 4,53 x 10 -3 PFD avg = 1,13 x 10 -3<br />
Drehantriebe SAEx/SAREx 07.2 <strong>–</strong> SAEx/SAREx 16.2<br />
mit Steuerung AMExC 01.1<br />
SAEx.2 mit AMExC .1<br />
EXIDA Bericht<br />
AUMA 07/07-32 R003<br />
Version V53<br />
AUMA 10-03-052 R006<br />
Version V2<br />
Sicheres Öffnen/Sicheres Schließen<br />
mit PVST1) Als Beispiel werden die Daten für den Schaltplan MSP E310KC3<strong>–</strong>FF8EC TPA00R2AB-1E1-000 dargestellt. Die Fehlerauswertung<br />
erfolgt über das Sammelstörmelderelais K9.<br />
AUMA 07/07-32 R003<br />
Version V54<br />
<strong>Sicherheit</strong>sfunktion Sicheres Öffnen/ Sicheres Schließen<br />
Sicheres Öffnen/ Sicheres Schließen<br />
mit PVST1) safe 808 FIT 802 FIT<br />
DD 367 FIT 849 FIT<br />
DU 647 FIT 48 FIT<br />
DC D 36 % 95 %<br />
MTBF 62 Jahre 66 Jahre<br />
SFF 64 % 97 %<br />
T [proof] = 1 Jahr PFD avg = 2,82 x 10 -3 PFD avg = 3,65 x 10 -4<br />
T [proof] = 2 Jahre PFD avg = 5,64 x 10 -3 PFD avg = 6,27 x 10 -4<br />
T [proof] = 5 Jahre PFD avg = 1,40 x 10 -2 PFD avg = 1,31 x 10 -3<br />
<strong>SIL</strong>-Fähigkeit 2) <strong>SIL</strong> 2 3) <strong>SIL</strong> 2 3)<br />
1 Der Partial Valve Stroke Test soll mindestens 10 Mal häufi ger durchgeführt werden, als die zu erwartende<br />
Anforderungsrate.<br />
2 <strong>SIL</strong> Fähigkeit bedeutet, dass die errechneten Daten innerhalb des Bereichs für den entsprechenden <strong>SIL</strong> liegen,<br />
aber bedeutet nicht, dass alle DIN EN 61508 relevanten Bedingungen erfüllt werden.<br />
3 <strong>SIL</strong> 3 kann bei redundantem Systemaufbau erreicht werden (1oo2).
Legende<br />
Kennzahl Erklärung<br />
Lambda Safe <strong>–</strong> Anzahl der sicheren Ausfälle pro<br />
safe<br />
Zeiteinheit<br />
Ein Wert gibt eine Ausfallrate an, d.h. die Anzahl der<br />
Ausfälle einer Komponente pro Zeiteinheit. Die Ausfallraten<br />
werden benötigt, um Ausfallwahrscheinlichkeiten<br />
zu berechnen.<br />
Die Einheit Failure in Time (FIT) gibt dabei die Anzahl der<br />
Ausfälle an, die in 109 Stunden auftreten: 1 FIT heißt ein<br />
Ausfall pro 109 Stunden beziehungsweise ein Ausfall pro<br />
114.000 Jahre.<br />
Ein Ausfall gilt als sicher oder nicht gefahrbringend,<br />
wenn das System durch ihn nicht in einen gefährlichen<br />
Zustand versetzt wird.<br />
Lambda Dangerous Detected <strong>–</strong> Anzahl der entdeck-<br />
DD<br />
ten gefährlichen Ausfälle pro Zeiteinheit<br />
Angeben wird die Anzahl der durch Diagnosetests<br />
erkannten gefährlichen Ausfälle pro 109 Stunden.<br />
Ein Ausfall einer Komponente wird als gefährlich<br />
eingestuft, wenn dadurch eine <strong>Sicherheit</strong>sfunktion nicht<br />
ausgeführt werden kann.<br />
Lambda Dangerous Undetected <strong>–</strong> Anzahl der unent-<br />
DU<br />
deckten gefährlichen Ausfälle pro Zeiteinheit<br />
Angegeben wird die Anzahl der nicht erkannten gefährlichen<br />
Ausfälle pro 109 Stunden.<br />
DC Diagnostic Coverage of Dangerous Failures <strong>–</strong><br />
D<br />
Diagnosedeckungsgrad gefährlicher Fehler<br />
Anteil der durch Maßnahmen zur Fehlerdiagnose<br />
erkannten Rate gefahrbringender Ausfälle an der<br />
DD<br />
Gesamtrate der gefahrbringenden Ausfälle in Prozent.<br />
MTBF Mean Time Between Failure <strong>–</strong> Mittlere Betriebsdauer<br />
zwischen Ausfällen<br />
Beschreibt die Betriebsdauer zwischen zwei aufeinander<br />
folgenden Ausfällen einer Komponente. Die reine MTBF<br />
Angabe bezieht sich auf die Verfügbarkeit (Reliability)<br />
eines Gerätes.<br />
Kennzahl Erklärung<br />
SFF SFF Safe Failure Fraction <strong>–</strong> Anteil ungefährlicher<br />
Ausfälle<br />
Beschreibt den prozentualen Anteil ungefährlicher Fehler,<br />
die nicht zum Ausfall des Systems führen können.<br />
Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit<br />
des gefährlichen Systemausfalls. Ein Wert<br />
von 62 % bedeutet, dass 62 von 100 Fehlern am System<br />
im Hinblick auf seine sichere Funktion unbedenklich sind.<br />
T proof Intervall für Wiederholungsprüfungen<br />
Die <strong>Sicherheit</strong>skennzahlen gelten für eine festgelegte<br />
Betriebsdauer. Danach ist eine Wiederholungsprüfung<br />
(Proof Test) unbedingt erforderlich, um die Zuverlässigkeit<br />
der Geräte weiterhin sicherzustellen.<br />
Der PFD-Wert lässt sich verbessern, indem die Zeit<br />
zwischen zwei Wiederholungsprüfungen verkürzt wird.<br />
Werte unterhalb von einem Jahr sind jedoch nicht<br />
sinnvoll.<br />
PFD avg Probability of Failure on Demand<br />
Mittlere Wahrscheinlichkeit Gefahr bringender Ausfälle<br />
einer <strong>Sicherheit</strong>sfunktion im Anforderungsfall.<br />
<strong>SIL</strong>-Fähigkeit Zuordnung zu dem entsprechenden <strong>Sicherheit</strong>s-Integritätslevel<br />
anhand des PFD avg Wertes einer Komponente.<br />
Grundlage ist hier das T proof Intervall von einem Jahr.<br />
Dabei ist zu beachten, dass für den <strong>SIL</strong> eines gesamten<br />
sicherheitstechnischen Systems die PFD-Werte aller<br />
Komponenten addiert werden müssen (siehe auch Seite<br />
12).<br />
| 25
Weiterführende Informationen<br />
Diese Broschüre kann nur eine Einführung in das Thema<br />
<strong>Funktionale</strong> <strong>Sicherheit</strong> bieten. Wer sich eingehender mit<br />
dem Thema beschäftigen möchte, findet unter anderem an<br />
folgenden Stellen weiterführende Informationen:<br />
■ Norm DIN EN 61508 Teil 1 <strong>–</strong> 7<br />
■ Norm DIN EN 61511 Teil 1 <strong>–</strong> 3<br />
■ Fachbuch „<strong>Funktionale</strong> <strong>Sicherheit</strong>“ von Josef Börcsök<br />
■ atp edition Ausgabe 1-2/2011<br />
26 |<br />
ZERTIFIKAT<br />
Die Zertifizierungsstelle<br />
der TÜV SÜD Management Service GmbH<br />
bescheinigt, dass das Unternehmen<br />
AUMA Riester GmbH & Co. KG<br />
<strong>Auma</strong>str. 1<br />
D-79379 Müllheim<br />
für den Geltungsbereich<br />
Entwicklung, Herstellung, Vertrieb und Service von<br />
elektrischen Stellantrieben, Antriebssteuerungen und<br />
Getrieben zur Armaturenautomatisierung sowie<br />
Komponenten für die allgemeine Antriebstechnik<br />
ein Qualitäts-, Umwelt- und <strong>Sicherheit</strong>smanagementsystem<br />
eingeführt hat und anwendet.<br />
Durch Audits, dokumentiert im Auditbericht (Bericht-Nr. 70009378),<br />
wurde der Nachweis erbracht, dass diese Managementsysteme<br />
die Forderungen folgender Normen erfüllen:<br />
ISO 9001:2008<br />
ISO 14001:2004<br />
BS OHSAS 18001:2007<br />
Dieses Zertifikat ist gültig in Verbindung<br />
mit dem Hauptzertifikat bis 2015-06-08<br />
Zertifikat-Registrier-Nr. 12 100/104/116 4269/01 TMS
Index<br />
A<br />
Anteil Sicherer Fehler 11<br />
Anteil ungefährlicher Ausfälle 25<br />
Ausfallraten 11, 25<br />
Ausfallwahrscheinlichkeit 10, 25<br />
Average Probability of Dangerous Failure on<br />
Demand 10, 25<br />
B<br />
Betriebsarten 10<br />
C<br />
Continuous Mode 10<br />
D<br />
Diagnosedeckungsgrad 25<br />
Diagnostic Coverage 25<br />
DIN EN 61508 4, 6<br />
DIN EN 61511 4, 6<br />
Drehantriebe 14, 15, 23<br />
E<br />
EXIDA 20, 21<br />
F<br />
Fehler<br />
systematische 22<br />
zufällige 23<br />
Feldrücklaufdaten 21<br />
FMEDA 21<br />
<strong>Funktionale</strong> <strong>Sicherheit</strong><br />
Defi nition 4<br />
Normen 6<br />
G<br />
Generische Daten 20<br />
Gerätetyp 11<br />
Gesamt-PFD-Wert 12<br />
Getriebe 15, 23<br />
H<br />
Hardware Failure Tolerance 11<br />
Hardwarefehlertoleranz 11<br />
HFT 11<br />
High Demand Mode 10<br />
I<br />
Integrierte Steuerung 15, 23<br />
Intervall für Wiederholungsprüfung 25<br />
L<br />
Lambda-Werte 25<br />
Low Demand Mode 10<br />
M<br />
Mean Time Between Failures 11, 25<br />
Mittlere Ausfallwahrscheinlichkeit 10, 25<br />
Mittlere Betriebsdauer zwischen Ausfällen<br />
11, 25<br />
MTBF 11, 25<br />
P<br />
Partial Valve Stroke Test 13<br />
PFD-Wert 10, 25<br />
PFH-Wert 10<br />
Probability of Failure on Demand 10, 25<br />
Probability of Failure per Hour 10<br />
Proof Test 13, 25<br />
PVST 13<br />
R<br />
Redundanz 13<br />
Risikoanalyse 7<br />
Risikograph 7<br />
S<br />
Safe Failure Fraction 11, 25<br />
Safety Integrity Level 5<br />
Schwenkantriebe 14, 15, 23<br />
SFF 11, 25<br />
<strong>Sicherheit</strong>sbezogenes System 6<br />
<strong>Sicherheit</strong>sfunktion 4, 8, 14, 18<br />
<strong>Sicherheit</strong>s-Integritätslevel 5<br />
<strong>Sicherheit</strong>skennzahlen<br />
AUMA Produkte 23, 24<br />
Defi nitionen 10<br />
Ermittlung 20, 21, 22<br />
<strong>Sicherheit</strong>stechnische Beurteilung 7<br />
<strong>Sicherheit</strong>stechnisches System 9<br />
<strong>SIL</strong> 5, 10<br />
<strong>SIL</strong>-Fähigkeit<br />
AUMA Produkte 14, 15, 23, 25<br />
Ermittlung 12<br />
Verbesserung 13<br />
<strong>SIL</strong>-Modul 16, 18<br />
Systematische Fehler 22<br />
T<br />
Typ A Gerät 11<br />
Typ B Gerät 11<br />
W<br />
Wiederholungsprüfung 13, 25<br />
Z<br />
Zufällige Fehler 23<br />
| 27
AUMA Riester GmbH & Co. KG<br />
Postfach 1362<br />
D-79379 Müllheim<br />
Tel +49 7631-809-0<br />
Fax +49 7631-809-1250<br />
riester@auma.<strong>com</strong><br />
Zertifikat-Registrier-Nr.<br />
12 100/104 4269<br />
[1] Drehantriebe<br />
SA 07.2 <strong>–</strong> SA 16.2<br />
SA 25.1 <strong>–</strong> SA 40.1<br />
Drehmoment von 10 bis 32 000 Nm<br />
Drehzahlen von 4 bis 180 min -1<br />
[2] Drehantriebe SA/SAR<br />
mit Steuerung AUMATIC<br />
Drehmoment von 10 bis 1 000 Nm<br />
Drehzahlen von 4 bis 180 min -1<br />
[3] Linearantriebe SA/LE<br />
Kombination aus Drehantrieb SA und<br />
Lineareinheit LE<br />
Schubkräfte von<br />
4 kN bis 217 kN<br />
Hübe bis 500 mm<br />
Stellgeschwindigkeiten<br />
von 20 bis 360 mm/min<br />
[4] Schwenkantriebe<br />
SG 05.1 <strong>–</strong> SG 12.1<br />
Drehmoment von 100 bis 1 200 Nm<br />
Stellzeiten für 90° von 4 bis 180 s<br />
[1] [2]<br />
[3]<br />
[4] [ [5] 5]<br />
[6] [7]<br />
[5] Schwenkantriebe SA/GS<br />
Kombination aus Drehantrieb SA und<br />
Schwenkgetriebe GS<br />
Drehmoment bis 675 000 Nm<br />
[6] Kegelradgetriebe<br />
GK 10.2 <strong>–</strong> GK 40.2<br />
Drehmoment bis 16 000 Nm<br />
[7] Stirnradgetriebe<br />
GST 10.1 <strong>–</strong> GST 40.1<br />
Drehmoment bis 16 000 Nm<br />
[8] Hebelgetriebe<br />
GF 50.3 <strong>–</strong> GF 250.3<br />
Drehmoment bis 45 000 Nm<br />
Änderungen vorbehalten. Angegebene Produkteigenschaften stellen keine Garantieerklärung dar.<br />
Y004.602/001/de/1.12<br />
Detaillierte Informationen zu den AUMA Produkten finden Sie im Internet unter: www.auma.<strong>com</strong><br />
[8]