HANDBUCH SAFETY INTEGRITY LEVEL - Pepperl+Fuchs
HANDBUCH SAFETY INTEGRITY LEVEL - Pepperl+Fuchs
HANDBUCH SAFETY INTEGRITY LEVEL - Pepperl+Fuchs
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
��������<br />
��������<br />
����������������������<br />
�����������������<br />
�����������������<br />
���������������
Es gelten die Allgemeinen Lieferbedingungen für Erzeugnisse und Leistungen der Elektroindustrie,<br />
herausgegeben vom Zentralverband Elektrotechnik und Elektroindustrie (ZVEI) e.V.<br />
in ihrer neuesten Fassung sowie die Ergänzungsklausel: „Erweiterter Eigentumsvorbehalt“.<br />
PROZESSAUTOMATION
Ausgabedatum 2007-10-04 180661<br />
Gliederung<br />
SIL-Handbuch<br />
Gliederung<br />
Dieses Handbuch enthält zwei in sich abgeschlossene Beiträge. Der erste Teil stellt<br />
eine Übersicht über die IEC/EN 61508 dar. Der zweite Teil basiert auf dem<br />
Manuskript eines Vortrages, das im Rahmen von Seminaren durch den Autor verwendet<br />
wird. Dadurch sind inhaltliche Wiederholungen einzelner Passagen nicht<br />
auszuschließen.<br />
Es ist nicht das Ziel der Autoren, Auszüge aus Normen komplett wiederzugeben,<br />
sondern dem Sinn nach. Erforderlichenfalls ist die Norm zu Grunde zu legen.<br />
Autoren:<br />
Andy Ingrey (Teil 1, Abschnitt 2 bis Abschnitt 5)<br />
Patrick Lerévérend (Teil 2, Abschnitt 6 bis Abschnitt 9)<br />
Dr. Andreas Hildebrandt (Teil 2, Abschnitt 10 und Abschnitt 11)<br />
1
2<br />
SIL-Handbuch<br />
Inhaltsverzeichnis<br />
1 Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4<br />
1.1 Sicherheitstechnische Systeme nach IEC/EN 61508 . . . . . . . . . . . . . . . . . . . . . . . . 4<br />
1.2 Einführung in die sicherheitstechnischen Systeme. . . . . . . . . . . . . . . . . . . . . . . . . 4<br />
1.3 Verwendete Symbole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5<br />
1.4 Verwendete Begriffe und Abkürzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5<br />
2 Der Sicherheitslebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
2.1 Konzept des Sicherheitslebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
2.2 Risiken und ihre Minderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
3 Der Sicherheits-Integritätslevel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13<br />
3.1 Die Ausfallwahrscheinlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13<br />
3.2 Die Systemstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
4 Die Versagenswahrscheinlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17<br />
4.1 Überblick. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17<br />
4.2 Beispiel für ein sicherheitstechnisches System. . . . . . . . . . . . . . . . . . . . . . . . . . . 18<br />
5 Zusammenfassung des ersten Teils des SIL-Handbuches. . . . . . . . 21<br />
6 Verifizieren des Sicherheits-Integritätslevels. . . . . . . . . . . . . . . . . . . 22<br />
6.1 Was ist SIL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22<br />
6.2 Beispiel Eingangsteilsystem mit zwei Komponenten . . . . . . . . . . . . . . . . . . . . . . 23<br />
6.3 Fehlertoleranz der Hardware (IEC/EN 61508, Teil 2) . . . . . . . . . . . . . . . . . . . . . . . . 26<br />
6.4 SIL-Beschränkung aufgrund von Architektureinschränkungen<br />
(IEC/EN 61508, Teil 2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26<br />
7 Andere Strukturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28<br />
7.1 MooN-Systeme (IEC/EN 61508, Teil 6) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28<br />
7.2 Zwei Eingangsteilsysteme aus obigem Beispiel als redundantes<br />
Eingangsteilsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28<br />
7.3 Fehler gemeinsamer Ursachen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30<br />
8 Die Bewertung „betriebsbewährt“ (Proven in Use,<br />
IEC/EN 61508, Teil 2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Inhaltsverzeichnis<br />
9 Wie liest man einen SIL-Produktbericht? . . . . . . . . . . . . . . . . . . . . . . 33<br />
10 Glossar/Formelsammlung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34<br />
10.1 Ausfallrate λ(t) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34<br />
10.2 Konstante Ausfallrate λ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35<br />
10.3 Ausfallwahrscheinlichkeit F(t) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35<br />
10.4 Wahrscheinlichkeits-Dichtefunktion f(t) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36<br />
10.5 Zuverlässigkeitsfunktion R(t) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36<br />
10.6 Mittlere Lebensdauer MTTF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37<br />
10.7 Mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall PFD<br />
(Probability of Failure on Demand) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37<br />
10.8 PFD-Berechnung bei mehrkanaligen MooN-Strukturen (M out of N) . . . . . . . . . . 38<br />
11 Literaturverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39<br />
3
4<br />
SIL-Handbuch<br />
Einleitung<br />
1 Einleitung<br />
1.1 Sicherheitstechnische Systeme nach IEC/EN 61508<br />
Die internationale Norm IEC/EN 61508 wurde weltweit als Basis für Spezifikation,<br />
Entwurf und Betrieb von sicherheitstechnischen Systemen (Safety Instrumented<br />
Systems, SIS) angenommen.<br />
Die IEC/EN 61508 als Grundnorm verwendet einen auf der Risikobewertung basierenden<br />
Ansatz:<br />
Es wird eine Abschätzung des Risikos vorgenommen und anhand dessen der sich<br />
ergebende, notwendige Sicherheits-Integritätslevel (SIL) für Komponenten und<br />
Systeme mit Sicherheitsaufgaben ermittelt.<br />
SIL-bewertete Komponenten und Systeme sollen das vorhandene Risiko einer Einrichtung<br />
auf ein vertretbares Maß, auf das „tolerierbare Risiko“ reduzieren.<br />
1.2 Einführung in die sicherheitstechnischen Systeme<br />
Das vorliegende Dokument beschreibt einige der Aspekte, die sich aus den vor kurzem<br />
für sicherheitstechnische Systeme – und hier speziell für die sicherheitstechnischen<br />
Systeme in der Prozessindustrie – veröffentlichten Normen ergeben und der<br />
Frage, wie sich diese auf die Spezifikationen für Sensoren und Interfacebausteine<br />
zur Signalübertragung auswirken.<br />
Zur Sicherheit in der Prozessindustrie existieren bereits eine ganze Reihe von nationalen,<br />
Industrie- sowie unternehmensspezifischen Normen, wie<br />
IEC/EN 61511 (Anwender)<br />
ISA S84.01 (USA) (Anwender)<br />
IEC/EN 61508 (Produkthersteller),<br />
die von den Prozess-Planern und Betreibern zu implementieren und zu beachten<br />
sind. Diese gelten zusätzlich zu allen anderen relevanten Richtlinien wie zum Beispiel<br />
Gesundheit, Energie, Abfallentsorgung, Maschinen etc.<br />
Begriffe wie Sicherheitslebenszyklus, Unfallrisiko, Anteil ungefährlicher Ausfälle,<br />
Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall, Sicherheits-Integritätslevel<br />
und andere müssen verstanden und im passenden Kontext verwendet werden.<br />
Es ist nicht das Ziel dieses Dokumentes, alle technischen Details oder Bedeutungen<br />
dieser Normen zu erläutern. Der Teil 1 (Abschnitt 2 bis Abschnitt 4) soll vielmehr<br />
einen Überblick über die in den Normen enthaltenen Aspekte geben, um all<br />
denjenigen ein allgemeines Verständnis der Normen zu vermitteln, die<br />
mit der Definition oder dem Aufbau von Anlagen und Systemen mit Sicherheitsbezug<br />
zu tun haben,<br />
Geräte für den Einsatz in einer Sicherheitsanwendung benötigen oder<br />
sich einfach über die IEC/EN 61508 informieren möchten.<br />
Personen, die unmittelbar für Spezifikation, Entwurf, Installation, Betrieb und<br />
Instandhaltung von elektronischen oder programmierbaren Systemen mit Sicherheitsbezug<br />
verantwortlich sind, verweisen wir auf Teil 2 (Abschnitt 6 bis<br />
Abschnitt 10) bzw. auf die Normen selbst.<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Einleitung<br />
1.3 Verwendete Symbole<br />
Achtung<br />
Hinweis<br />
Dieses Zeichen warnt vor einer möglichen Gefahr.<br />
1.4 Verwendete Begriffe und Abkürzungen<br />
Dieses Zeichen macht auf wichtige Informationen aufmerksam.<br />
Begriff Beschreibung<br />
Average Probability of Failure on Demand<br />
(PFDavg )<br />
mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall<br />
Cumulative Distribution Function (CDF) (kumulative Verteilungsfunktion) stellt die kumulierte<br />
Wahrscheinlichkeit eines zufälligen Komponentenausfalls dar<br />
elektrische/elektronische/<br />
Ein Begriff, der verwendet wird, um alle elektrischen Geräte oder<br />
programmierbare elektronische Systeme Systeme zu erfassen, die zur Durchführung einer<br />
(E/E/PES)<br />
sicherheitstechnischen Funktion verwendet werden können. Er<br />
beinhaltet somit einfache elektrische Geräte und<br />
speicherprogrammierbare Steuerungen (SPS) jeder Art.<br />
Equipment under control (EUC) sinngemäß: gesteuerte Einrichtung<br />
Einrichtung, Maschine, Apparat oder Anlage, verwendet zur<br />
Fertigung, Stoffumformung, zum Transport aber auch zu<br />
medizinischen oder anderen Tätigkeiten.<br />
ETA Event Tree Analysis<br />
Hardware failure tolerance (HFT) Fehlertoleranz der Hardware<br />
FME(C)A Failure Mode Effect (and Criticality) Analysis<br />
FMEDA Failure Mode Effect and Diagnostics Analysis<br />
FIT Failures In Time, Ausfallrate<br />
FTA Fault Tree Analysis<br />
Gefährlicher Vorfall Gefährdungssituation, die zu einem Schaden führt<br />
HAZOP HAZard and OPerability study<br />
IEC/EN 61508 Norm zur funktionalen Sicherheit sicherheitstechnischer<br />
elektrischer/elektronischer/programmierbarer elektronischer<br />
Systeme<br />
IEC/EN 61511 Norm zur funktionalen Sicherheit: sicherheitstechnische Systeme<br />
für die Prozessindustrie<br />
Low Demand Mode (LDM) Betriebsart mit niedriger Anforderungsrate<br />
MooN M out of N, M aus N Kanälen<br />
Mean Time Between Failures (MTBF) erwartete mittlere Zeit zwischen Fehlern<br />
MTTF Mean Time To Failure, mittlere Lebensdauer<br />
MTTR Mean Time To Repair, mittlere Reparaturzeit<br />
Probability Density Function (PDF) Wahrscheinlichkeits-Dichtefunktion<br />
Probability of Failure on Demand (PFD) Mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall<br />
– die Wahrscheinlichkeit, dass ein sicherheitstechnisches System<br />
seine Funktion im Bedarfsfall nicht ausführt.<br />
Probability of dangerous Failure per Hour<br />
(PFH)<br />
Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde<br />
Reliability Zuverlässigkeit<br />
Risiko Kombination aus der Wahrscheinlichkeit, mit der ein Schaden<br />
auftritt, und dem Ausmaß dieses Schadens, berechnet als das<br />
Produkt aus Häufigkeit und Ausmaß des Schadens.<br />
5
6<br />
SIL-Handbuch<br />
Einleitung<br />
Begriff Beschreibung<br />
Safe Failure Fraction (SFF) Anteil ungefährlicher Ausfälle – das Verhältnis der Rate der sicheren<br />
Fehler plus der Rate der diagnostizierten/erkannten Fehler in Bezug<br />
zur gesamten Ausfallrate des Systems.<br />
Safety Instrumented Function (SIF) sicherheitstechnische Funktion<br />
Safety Instrumented System (SIS) Ein SIS (sicherheitstechnisches System) besteht aus einer oder<br />
mehreren sicherheitstechnischen Funktionen; für jede dieser<br />
sicherheitstechnischen Funktionen gilt eine SIL-Anforderung.<br />
Safety Integrity Level (SIL) (Sicherheits-Integritätslevel) Eine von vier diskreten Stufen zur<br />
Spezifizierung der Anforderungen für die Sicherheitsintegrität der<br />
sicherheitstechnischen Funktionen, die dem E/E/PEsicherheitstechnischen<br />
System zugeordnet werden, wobei der<br />
Sicherheits-Integritätslevel 4 die höchste Stufe und der Sicherheits-<br />
Integritätslevel 1 die niedrigste Stufe der Sicherheitsintegrität<br />
darstellt.<br />
Safety Life Cycle (SLC) (Sicherheitslebenszyklus) Deckt alle Aspekte der Sicherheit ab,<br />
einschließlich anfänglicher Konzeption, Entwurf, Durchführung,<br />
Installation, Inbetriebsetzung, Validierung, Instandhaltung und<br />
Außerbetriebsetzung der Risiko reduzierenden Maßnahmen.<br />
Sicherheit Freiheit von unvertretbaren Risiken, die – entweder direkt oder<br />
indirekt als Ergebnis eines Sachschadens oder einer Schädigung<br />
der Umwelt – Körperverletzung oder Gesundheitsschäden<br />
hervorrufen.<br />
Sicherheitstechnische Funktion Funktion, die von einem E/E/PE-sicherheitstechnischen System,<br />
einem sicherheitstechnischen System anderer Technologie oder<br />
externen Einrichtungen zur Risikominderung ausgeführt wird mit<br />
dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen<br />
Vorfalls einen sicheren Zustand für die EUC zu erreichen oder<br />
aufrechtzuerhalten.<br />
Tolerierbares Risiko Risiko, das basierend auf den aktuellen gesellschaftlichen<br />
Wertvorstellungen in einem gegebenen Zusammenhang tragbar ist.<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Der Sicherheitslebenszyklus<br />
2 Der Sicherheitslebenszyklus<br />
2.1 Konzept des Sicherheitslebenszyklus<br />
Entwicklung<br />
neuer Hardware<br />
IEC/EN 61508<br />
beachten<br />
Hinweis<br />
PROZESSINDUSTRIE<br />
HARDWARE<br />
Verwendung<br />
von bewährter<br />
Hardware<br />
("PROVEN<br />
IN USE")<br />
IEC/EN 61511<br />
beachten<br />
In der Praxis kommt es ausgesprochen selten vor, dass ein Sicherheitsaspekt –<br />
gleichgültig in welchem Bereich – ausschließlich von einem Faktor oder nur von<br />
einem Ausrüstungsteil abhängig gemacht werden kann.<br />
Daher enthalten die hier erläuterten Normen IEC/EN 61511 und IEC/EN 61508<br />
einen Gesamtansatz zur Ermittlung und Realisierung der Sicherheit in einer industriellen<br />
Anlage. Durch diesen Ansatz, der auch das Konzept eines Sicherheitslebenszyklus<br />
(SLC) umfasst, wird der Anwender angeleitet, alle erforderlichen<br />
Phasen des Lebenszyklus zu beachten. So wird sichergestellt, dass alle Aspekte<br />
beachtet und zur Beurteilung vollständig dokumentiert werden, damit die Anforderungen<br />
der Norm erfüllt werden.<br />
Im Wesentlichen bilden die Normen das Rahmenwerk und die Anleitung zur<br />
Anwendung des gesamten Sicherheitslebenszyklus, wobei sie alle Aspekte der<br />
Sicherheit einschließlich des anfänglichen Konzeptes wie auch Entwurf, Durchführung,<br />
Installation, Inbetriebsetzung, Validierung, Instandhaltung und Außerbetriebnahme<br />
abdecken. Durch die Tatsache, dass „Sicherheit“ und „Lebensdauer“<br />
Schlüsselelemente in den Normen darstellen, sollten Ziel und Geltungsbereich der<br />
Dokumente noch verstärkt werden.<br />
Was die Prozessindustrie anbelangt, so stellt die Norm IEC/EN 61511 eine relevante<br />
Anleitung für den Anwender einschließlich der Aspekte dar, welche die Hardware<br />
und die Software von sicherheitstechnischen Systemen betreffen<br />
(siehe Bild 2.1).<br />
Bitte beachten Sie die enge Verbindung zwischen den Normen IEC/EN 61511 und<br />
IEC/EN 61508.<br />
Um die Strategien dieser Normen im Rahmen der Anforderungen an die gesamte<br />
Sicherheit umzusetzen, verwenden Anlagenbediener und Planer von sicherheitstechnischen<br />
Systemen gemäß den Vorschriften der IEC/EN 61511 solche Geräte,<br />
die nach IEC/EN 61508 entwickelt und validiert wurden. So wird ein sicherheitstechnisches<br />
Systems (SIS) aufgebaut.<br />
Verwendung von<br />
gemäß<br />
IEC/EN 61508<br />
entwickelter und<br />
validierter<br />
Hardware<br />
IEC/EN 61511<br />
beachten<br />
PROZESSINDUSTRIE<br />
SICHERHEITSSYSTEM<br />
STANDARD<br />
Bild 2.1 Normengeltungsbereiche<br />
Entwicklung<br />
von eingebetteter<br />
(System-) Software<br />
IEC/EN 61508-3<br />
beachten<br />
PROZESSINDUSTRIE<br />
SOFTWARE<br />
Entwicklung<br />
von Anwendungs-<br />
Software<br />
mit Hilfe von<br />
vollständig<br />
variablen<br />
Sprachen<br />
IEC/EN 61508-3<br />
beachten<br />
Entwicklung<br />
von Anwendungs-<br />
Software<br />
mit Hilfe von<br />
begrenzt variablen<br />
Sprachen oder<br />
fixen Programmen<br />
IEC/EN 61511<br />
beachten<br />
7
8<br />
SIL-Handbuch<br />
Der Sicherheitslebenszyklus<br />
Planung insgesamt<br />
6<br />
Planung<br />
von Betrieb<br />
7<br />
Planung<br />
der<br />
8<br />
Planung<br />
der<br />
und Validierung gesamten<br />
Instand-<br />
der Installation<br />
haltung gesamten und Inbe-<br />
insgesamt Sicherheit triebsetzung<br />
Die Norm IEC/EN 61508 behandelt insbesondere die „Funktionale Sicherheit elektrischer/elektronischer/programmierbarer<br />
elektronischer sicherheitstechnischer<br />
Systeme“. Für einen Hersteller von Sensoren und Interface-Bausteinen für Prozessanlagen,<br />
zu denen auch <strong>Pepperl+Fuchs</strong> zählt, besteht die Aufgabe darin,<br />
Geräte entsprechend den Anforderungen der IEC/EN 61508 zu entwickeln und zu<br />
validieren, sowie die relevanten Informationen dem Anwender zur Verfügung zu<br />
stellen, damit er diese Geräte in seinen SIS-Systemen integrieren kann.<br />
Der Sicherheitslebenszyklus umfasst, wie im Bild 2.2 dargestellt, eine Reihe von<br />
Schritten und Maßnahmen, die beachtet und implementiert werden müssen.<br />
1<br />
2<br />
3<br />
4<br />
5<br />
12<br />
13<br />
Betrieb, Instandhaltung<br />
14 15<br />
und Wartung insgesamt<br />
16<br />
Konzept<br />
Definition des gesamten<br />
Geltungsbereichs<br />
Gefahren- und<br />
Risikoanalyse<br />
Anforderungen an die<br />
gesamte Sicherheit<br />
Zuordnung der<br />
Sicherheitsanforderungen<br />
9<br />
Sicherheitsbezogene<br />
Systeme: E/E/PES<br />
10<br />
Sicherheitsbezogene<br />
11<br />
Externe<br />
Einrichtungen<br />
Systeme:<br />
zur<br />
Realisierung<br />
andere<br />
Risiko-<br />
(siehe E/E/PES<br />
Safety Life Cycle)<br />
Technologien<br />
minderung<br />
Realisierung<br />
Realisierung<br />
Installation und<br />
Inbetriebsetzung insgesamt<br />
Validierung der<br />
gesamten Sicherheit<br />
Außerbetriebsetzung<br />
oder Entsorgung<br />
Bild 2.2 Phasen des Sicherheitslebenszyklus<br />
zurück zur geeigneten<br />
Phase des gesamten<br />
Sicherheitslebenszyklus<br />
Abänderung und<br />
Nachrüstung insgesamt<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Der Sicherheitslebenszyklus<br />
In die verschiedenen Phasen oder Schritte des Sicherheitslebenszyklus können<br />
unterschiedliche Mitarbeiter, Gruppen oder sogar Unternehmen einbezogen sein,<br />
um die spezifischen Aufgaben auszuführen. So können die einzelnen Schritte auch<br />
zu Gruppen zusammengefasst und die verschiedenen Verantwortlichkeiten wie<br />
unten dargestellt aufgefasst werden.<br />
analytische Maßnahmen Die ersten fünf Schritte können als eine analytische Maßnahmengruppe verstanden<br />
werden:<br />
1. Konzept<br />
2. Definition des gesamten Geltungsbereichs<br />
3. Gefahren- und Risikoanalyse<br />
4. Anforderungen an die gesamte Sicherheit<br />
5. Zuordnung der Sicherheitsanforderungen<br />
Diese Schritte werden wahrscheinlich in Zusammenarbeit mit spezialisierten Beratern<br />
der Anlagenbetreiber oder Endanwender ausgeführt. Die sich daraus ergebenden<br />
Gesamtdefinitionen und -anforderungen dienen als Vorgabe für die nächsten<br />
Maßnahmenstufen.<br />
Maßnahmen zur<br />
Implementierung<br />
Die zweite Gruppe enthält die Maßnahmen zur Implementierung oder Realisierung<br />
und umfasst weitere acht Schritte:<br />
6. Planung von Betrieb und Instandhaltung<br />
7. Planung der Validierung<br />
8. Planung von Installation und Inbetriebsetzung<br />
9. Sicherheitstechnische Systeme:<br />
Realisierung von elektrischen/elektronischen/programmierbaren elektronischen<br />
Systemen (E/E/PES) (näher erläutert in Bild 2.3)<br />
10. Sicherheitstechnische Systeme:<br />
Realisierung von sicherheitstechnischen Systemen anderer Technologien<br />
11. Realisierung von externen Einrichtungen zur Risikominderung (External Risk<br />
Reduction Facilities)<br />
12. Installation und Inbetriebsetzung insgesamt<br />
13. Validierung der gesamten Sicherheit<br />
Diese Schritte werden vom Anlagenbetreiber zusammen mit ausgewählten Dienstleistern<br />
und Gerätelieferanten ausgeführt. Es lässt sich auf einen Blick feststellen,<br />
dass jeder dieser einzelnen Schritte zwar eine einfach klingende Bezeichnung hat,<br />
die Ausführung dieser Aufgaben jedoch komplex und zeitaufwändig sein kann!<br />
Betrieb des Prozesses Bei der dritten Gruppe handelt es sich im Wesentlichen um den Betrieb des Prozesses<br />
mit effektiven Sicherheitsvorrichtungen. Diese Gruppe beinhaltet die drei<br />
letzten Schritte:<br />
14. Betrieb und Instandhaltung insgesamt<br />
15. Abänderung und Nachrüsten insgesamt<br />
16. Außerbetriebsetzung<br />
Diese Schritte werden normalerweise vom Anlagenbetreiber ausgeführt.<br />
In diesem Dokument möchten wir uns nur mit einem speziellen Schritt des gesamten<br />
Sicherheitslebenszyklus näher beschäftigen. Mit Schritt 9, in dem es um die<br />
Aspekte elektrischer/elektronischer und programmierbar elektronischer Systeme<br />
(E/E/PES) geht.<br />
Die IEC/EN 61508 führt bei der Implementierung der Sicherheitslebenszyklus-<br />
Schritte die Punkte auf, die bei Sicherheitsanalysen und bei Verwendung von<br />
E/E/PES für sicherheitstechnische Funktionen beachtet werden müssen.<br />
9
10<br />
SIL-Handbuch<br />
Der Sicherheitslebenszyklus<br />
Feld 9 in Bild 2.2<br />
IEC/EN 61508, Teil 1<br />
9<br />
Sicherheitsbezogene<br />
Systeme:<br />
E/E/PES<br />
Realisierung<br />
Hinweis<br />
9.2<br />
Nähere Einzelheiten zum Sicherheitslebenszyklus für ein E/E/PE-System enthält<br />
das Bild 2.3. Bereits bei diesem Überblick lässt sich erkennen, dass die Vollständigkeit<br />
sowie der Betrieb der sicherheitstechnischen Systeme bereits in die Phase<br />
der Spezifikation eingeschlossen sind. Wir werden noch auf diesen Punkt zurückkommen.<br />
Sicherheitslebenszyklus der E/E/PES<br />
9.1<br />
9.1.1 9.1.2<br />
Planung der<br />
Validierung der Sicherheit<br />
von E/E/PES<br />
ein E/E/PES-Sicherheitslebenszyklus<br />
für jedes sicherheits-<br />
bezogene E/E/PE-System<br />
Spezifikation der Sicherheitsanforderungen<br />
an E/E/PES<br />
Spezifikation der<br />
Anforderungen<br />
an Sicherheitsfunktionen<br />
9.3<br />
9.4<br />
9.6<br />
Spezifikation der<br />
Anforderungen<br />
an die Sicherheitsintegrität<br />
Entwurf der<br />
Entwicklung<br />
von E/E/PES<br />
Integration<br />
der E/E/PES<br />
Validierung der<br />
Sicherheit der E/E/PES<br />
zu Feld 12 in Bild 2.2<br />
IEC/EN 61508, Teil 1<br />
Bild 2.3 Sicherheitslebenszyklus für ein E/E/PE-System<br />
Es handelt sich im Wesentlichen um zwei Gruppen oder Typen von Teilsystemen,<br />
die in der Norm behandelt werden:<br />
Das Equipment under Control (EUC). Die EUC führt die erforderliche Prozessaktivität<br />
aus<br />
Die Funktionen, die erforderlich sind, um die Sicherheit der EUC zu gewährleisten<br />
sind im Leit- und im Schutzsystem der EUC implementiert.<br />
Hauptsächlich besteht hier das Ziel darin, einen sicheren Zustand der EUC zu erreichen<br />
oder beizubehalten.<br />
Das „Leitsystem“ kann als dasjenige System gesehen werden, das den<br />
gewünschten Betrieb der EUC steuert, während das „Schutzsystem“ auf ein unerwünschtes<br />
Verhalten der EUC reagiert.<br />
Mit anderen Worten: Es ist nicht immer notwendig, dass alle sicherheitstechnischen<br />
Funktionen von einem separaten Schutzsystem ausgeführt werden.<br />
9.5<br />
E/E/PES-Betrieb und<br />
Instandhaltungsprozeduren<br />
Feld 14 in Bild 2.2<br />
IEC/EN 61508, Teil 1<br />
Beachten Sie bitte, dass es je nach den implementierten Strategien zur Risikominderung<br />
vorkommen kann, dass einige der Steuerungsfunktionen als sicherheitstechnische<br />
Funktionen verwendet werden.<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Der Sicherheitslebenszyklus<br />
2.2 Risiken und ihre Minderung<br />
Hinweis<br />
Hinweis<br />
Wenn die Gefahrenanalyse ergibt, dass die Risiken, die durch die EUC hervorgerufen<br />
werden, nicht tolerierbar sind, dann muss ein Weg gefunden werden, die Risiken<br />
auf ein tolerierbares Niveau (siehe Abschnitt 2.2) zu reduzieren.<br />
In einigen Fällen kann die EUC oder das Leitsystem möglicherweise modifiziert<br />
werden, um die erforderliche Risikominderung zu erreichen, in anderen Fällen werden<br />
Schutzsysteme notwendig sein. Bei diesen Schutzsystemen handelt es sich um<br />
sicherheitstechnische Systeme, deren spezifischer Zweck darin besteht, die Auswirkungen<br />
eines gefährlichen Vorfalls zu mildern oder die Wahrscheinlichkeit des<br />
Eintretens dieses Vorfalles zu vermindern.<br />
Eine Phase des Sicherheitslebenszyklus ist die Analyse der Gefährdungen und der<br />
Risiken, die sich aus der EUC ergeben. In den Normen wird ein Risiko definiert als:<br />
Kombination aus:<br />
der Wahrscheinlichkeit mit der eine Schaden verursachende Gefährdung (Unfall)<br />
auftritt und<br />
dem Ausmaß des Schadens<br />
Somit kann das Risiko als Produkt aus „Häufigkeit eines gefährlichen Vorfalls“ und<br />
dem „Ausmaß der Gefährdung“ verstanden werden. Im Rahmen der Risikoanalyse<br />
sind die Folgen eines Unfalls oftmals implizit in der Beschreibung des Unfalls enthalten.<br />
Wenn nicht, sollten diese explizit bei der Gefährdungs- und Risikoanalyse<br />
erwähnt werden.<br />
Weltweit wird eine Vielzahl von Methoden zur Gefährdungs- und Risikoanalyse verwendet.<br />
Die beiden Normen IEC/EN 61511 und IEC/EN 61508 geben einen Überblick<br />
darüber. Zu diesen Methoden zählen Techniken wie z. B.<br />
HAZOP HAZard and OPerability study<br />
FME(C)A Failure Mode Effect (and Criticality) Analysis<br />
FMEDA Failure Mode Effect and Diagnostics Analysis<br />
ETA Event Tree Analysis<br />
FTA Fault Tree Analysis<br />
sowie weitere Studien, Checklisten, Tabellen- und Rastermethoden.<br />
Dieser Schritt, in dem eine klare Identifizierung der Gefährdungen und eine Analyse<br />
des Risikos vorgenommen wird, ist in der Durchführung am schwierigsten,<br />
besonders, wenn es sich bei dem untersuchten Prozess um einen neuen oder<br />
innovativen Prozess handelt für den noch keine Erfahrungswerte vorliegen.<br />
Liegt eine Historie der Anlagenbetriebsdaten vor, oder existieren industriespezifische<br />
Methoden oder Richtlinien, kann die Analyse zwar leichter strukturiert werden,<br />
ist jedoch noch immer sehr komplex.<br />
Die Normen beinhalten das Prinzip, die sich aus der EUC ergebenden Risiken<br />
(d. h. Folgen und Wahrscheinlichkeit von gefährlichen Vorfällen) durch relevante<br />
abhängige sicherheitstechnische Funktionen auszugleichen. Dieser Ausgleich<br />
schließt den Aspekt der Tolerierbarkeit des Risikos ein. So kann z. B. das absehbare<br />
Eintreten einer Gefährdung, deren Konsequenz vernachlässigbar ist, als tolerierbar<br />
angesehen werden, während selbst die sehr geringe<br />
Eintrittswahrscheinlichkeit einer Katastrophe ein untragbares Risiko darstellt.<br />
Wenn, um den erforderlichen Sicherheitsgrad zu erreichen, die mit der EUC<br />
zusammenhängenden Risiken nach den festgelegten Kriterien nicht toleriert werden<br />
können, müssen sicherheitstechnische Funktionen zur Minderung des Risikos<br />
implementiert werden.<br />
11
12<br />
SIL-Handbuch<br />
Der Sicherheitslebenszyklus<br />
Restrisiko tolerierbares<br />
EUC-<br />
Risiko<br />
Risiko<br />
durch andere<br />
Technologien<br />
abgedecktes<br />
Teilrisiko<br />
notwendige Risikominderung<br />
tatsächliche Risikominderung<br />
Durch die Sicherheitssyteme und z. B. organisationsspezifische Maßnahmen<br />
erreichte Risikominderung<br />
durch elektronische<br />
und elektrische<br />
Sicherheitssysteme<br />
abgedecktes<br />
Teilrisiko<br />
durch externe<br />
Einrichtungen<br />
und Maßnahmen<br />
abgedecktes<br />
Teilrisiko<br />
Bild 2.4 Verhältnis von Restrisiko zu tolerierbarem Risiko<br />
ansteigendes<br />
Risiko<br />
Ziel ist es, sicherzustellen, dass das verbleibende Restrisiko – die Wahrscheinlichkeit,<br />
dass trotz der Schutzmaßnahmen ein gefährlicher Vorfall eintreten kann – kleiner<br />
oder gleich dem tolerierbaren Risiko ist.<br />
Bild 2.4 veranschaulicht dies, wobei das Risiko, das durch die EUC entsteht, durch<br />
eine „notwendige Risikominderung“ auf ein tolerierbares Niveau reduziert wird. Die<br />
Risikominderung kann durch eine Kombination verschiedener Komponenten<br />
erreicht werden, statt nur von einem sicherheitstechnischen System abzuhängen,<br />
und kann auch organisatorische Maßnahmen umfassen.<br />
Die Wirkung dieser Maßnahmen und Systeme zur Risikominderung muss darin<br />
bestehen, eine „tatsächliche Risikominderung“ zu erreichen, die größer oder gleich<br />
der notwendigen Risikominderung ist.<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Der Sicherheits-Integritätslevel (SIL)<br />
3 Der Sicherheits-Integritätslevel (SIL)<br />
3.1 Die Ausfallwahrscheinlichkeit<br />
Nach erfolgter Gefährdungs- und Risikoanalyse ergibt sich die Notwendigkeit einer<br />
Risikominderung, die im Sicherheitslebenszyklus als Ableitung von den Sicherheitsanforderungen<br />
identifiziert wird. In den Sicherheitsanforderungen mögen einige<br />
Gesamtmethoden und -mechanismen beschrieben sein, doch auch diese Anforderungen<br />
werden dann in spezifische sicherheitstechnische Funktionen aufgegliedert,<br />
um eine definierte Aufgabe zu erreichen.<br />
Neben der Zuordnung der gesamten Sicherheitsanforderungen zu spezifischen<br />
sicherheitstechnischen Funktionen ist ein Maß für die Zuverlässigkeit oder Integrität<br />
dieser sicherheitstechnischen Funktionen erforderlich.<br />
Wie weit kann man darauf vertrauen, dass eine sicherheitstechnische Einrichtung<br />
die korrekte Funktion erbringt, falls sie benötigt wird?<br />
Dieses Maß ist in Stufen untergliedert und mit SIL (Sicherheits-Integritätslevel)<br />
benannt. Noch präziser lässt sich die Sicherheitsintegrität eines Systems definieren<br />
als<br />
„die Wahrscheinlichkeit, dass ein sicherheitstechnisches System die erforderliche<br />
sicherheitstechnische Funktion unter allen festgelegten Bedingungen<br />
innerhalb eines festgelegten Zeitraumes ausführt.“<br />
Somit umfasst die Spezifikation der sicherheitstechnischen Funktion ebenso die<br />
Maßnahmen, die als Reaktion auf das Vorliegen bestimmter Bedingungen zu<br />
ergreifen sind, sowie die Zeit, die für diese Reaktion benötigt wird. SIL gilt als Maß<br />
für die Zuverlässigkeit der sicherheitstechnischen Funktion, die gemäß der Spezifikation<br />
arbeitet.<br />
Es wird auf die Wahrscheinlichkeit des gefährlichen Versagens – im Grunde der<br />
Kehrwert der SIL-Definition – statt auf die Wahrscheinlichkeit der ordnungsgemäßen<br />
Funktion oder des ungefährlichen Ausfalls geachtet.<br />
Es ist einfacher, die möglichen Bedingungen und Ursachen, die zum Ausfall oder<br />
Versagen einer sicherheitstechnischen Funktion führen, zu identifizieren und zu<br />
quantifizieren, als die gewünschte Aktion einer aufgerufenen sicherheitstechnischen<br />
Funktion zu garantieren.<br />
Je nach dem Dienst, den die sicherheitstechnische Funktion leistet, werden zwei<br />
Klassen von SIL identifiziert.<br />
Für sicherheitstechnische Funktionen, die bei Bedarf (auf Anforderung) aktiviert<br />
werden, wird hier die Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall<br />
angegeben (Low Demand Mode).<br />
Für sicherheitstechnische Funktionen, die kontinuierlich aktiv sind, wird hier die<br />
Wahrscheinlichkeit eines Gefahr bringenden Ausfalls innerhalb einer vorgegebenen<br />
Zeitspanne (pro Stunde) angegeben (Continuous Mode).<br />
Zusammengefasst verlangt die IEC/EN 61508, dass die Sicherheitsintegrität als<br />
Sicherheits-Integritätslevel (SIL) angegeben werden muss, wenn sicherheitstechnische<br />
Funktionen von einem E/E/PES ausgeführt werden sollen. Die Ausfallwahrscheinlichkeiten<br />
sind für vier Sicherheits-Integritätslevel festgelegt<br />
(siehe Tabelle 3.1).<br />
13
14<br />
SIL-Handbuch<br />
Der Sicherheits-Integritätslevel (SIL)<br />
Hinweis<br />
3.2 Die Systemstruktur<br />
Sicherheits-<br />
Integritätslevel<br />
(SIL)<br />
Tabelle 3.1 Ausfallwahrscheinlichkeit<br />
Versagenswahrscheinlichkeit<br />
Betriebsart mit niedriger<br />
Anforderungsrate<br />
(mittlere Versagenswahrscheinlichkeit<br />
der Funktion im Anforderungsfall)<br />
4 ≥ 10 -5 bis < 10 -4<br />
3 ≥ 10 -4 bis < 10 -3<br />
2 ≥ 10 -3 bis < 10 -2<br />
1 ≥ 10 -2 bis < 10 -1<br />
3.2.1 Anteil ungefährlicher Ausfälle<br />
Der Anteil ungefährlicher Ausfälle (SFF) ist das Verhältnis der Rate der sicheren<br />
Fehler plus der Rate der erkannten Fehler zur gesamten Ausfallrate des Systems<br />
(siehe auch Abschnitt 6.2.3).<br />
Bei der Analyse der verschiedenen Ausfallzustände und Ausfallarten von Komponenten<br />
können diese kategorisiert und je nach ihrer Auswirkung auf die sicherheitstechnische<br />
Funktion zu Gruppen zusammengefasst werden.<br />
Definition Ausfallrate Folgende Begriffe werden verwendet:<br />
λsafe (ungefährlich) = Ausfallrate von Komponenten, die zu einem<br />
ungefährlichen Zustand führt<br />
λdangerous (Gefahr bringend) = Ausfallrate von Komponenten, die zu einem<br />
potenziell Gefahr bringenden Zustand führt.<br />
Diese Begriffe werden weiter unterteilt in „erkannt/offensichtlich“ (detected) und<br />
„unerkannt/verdeckt“ (undetected), um den Grad der Diagnosefähigkeit im Gerät<br />
widerzuspiegeln. Zum Beispiel:<br />
λdd = erkannte, Gefahr bringende Ausfälle<br />
(dangerous detected failure rate).<br />
λdu = unentdeckte, Gefahr bringende Ausfälle<br />
(dangerous undetected failure rate).<br />
Die Summe aller Ausfallraten der Komponenten wird wie folgt ausgedrückt:<br />
λtotal = λsafe + λdangerous Der Anteil ungefährlicher Ausfälle lässt sich wie folgt berechnen:<br />
SFF = 1-λ du /λ total<br />
Betriebsart mit kontinuierlicher<br />
Anforderungsrate<br />
(Wahrscheinlichkeit eines Gefahr bringenden<br />
Versagens pro Stunde)<br />
≥ 10-9 bis < 10-8 ≥ 10 -8 bis < 10 -7<br />
≥ 10 -7 bis < 10 -6<br />
≥ 10 -6 bis < 10 -5<br />
Wie beschrieben, werden die Schutzfunktionen als sicherheitstechnische Systeme<br />
bezeichnet, gleichgültig, ob sie innerhalb des Leitsystems oder als separates<br />
Schutzsystem ausgeführt werden. Wenn nach Analyse der Gefährdungen, die aus<br />
der EUC und ihrem Leitsystem entstehen, entschieden wird, dass keine sicherheitstechnischen<br />
Funktionen erforderlich sind, dann lautet eine der Anforderungen<br />
der IEC/EN 61508, dass die Wahrscheinlichkeit Gefahr bringender Ausfälle des<br />
EUC-Leitsystems unter den für SIL1 festgelegten Werten liegen darf.<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Der Sicherheits-Integritätslevel (SIL)<br />
3.2.2 Fehlertoleranz der Hardware<br />
Eine weitere Unterteilung bei der Zuordnung von Anteil ungefährlicher Ausfälle und<br />
Sicherheits-Integritätslevel ergibt sich, wenn bei der Betrachtung der Sicherheitsintegrität<br />
der Hardware zwei Arten von Teilsystemen definiert werden.<br />
Teilsystem Typ A das Ausfallverhalten aller Komponenten ist gut definiert, und<br />
das Verhalten des Teilsystems unter Fehlerbedingungen kann vollständig ermittelt<br />
werden, und<br />
es liegen ausreichend abhängige Ausfalldaten aus dem Feldeinsatz vor, die zeigen,<br />
dass die angegebenen Ausfallraten für erkannte und unerkannte Gefahr<br />
bringende Ausfälle erfüllt sind.<br />
Anteil ungefährlicher<br />
Fehlertoleranz der Hardware (HFT)<br />
Ausfälle (SFF)<br />
0 1 2<br />
< 60 % SIL1 SIL2 SIL3<br />
60 % ... 90 % SIL2 SIL3 SIL4<br />
90 % ... 99 % SIL3 SIL4 SIL4<br />
> 99 % SIL3 SIL4 SIL4<br />
Tabelle 3.2 Sicherheitsintegrität der Hardware: Architektureinschränkungen für sicherheitstechnische<br />
Teilsysteme des Typs A (IEC/EN 61508, Teil 2)<br />
Teilsystem Typ B die Ausfallart mindestens einer Komponente ist nicht ausreichend definiert, oder<br />
das Verhalten des Teilsystems unter Fehlerbedingungen kann nicht vollständig<br />
ermittelt werden, oder<br />
für die Ausfallraten erkannter und unerkannter Gefahr bringender Ausfälle liegen<br />
aus dem Feldeinsatz nur unzureichende Daten vor.<br />
Hinweis<br />
Anteil ungefährlicher<br />
Fehlertoleranz der Hardware (HFT)<br />
Ausfälle (SFF)<br />
0 1 2<br />
< 60 % nicht erlaubt SIL1 SIL2<br />
60 % ... 90 % SIL1 SIL2 SIL3<br />
90 % ... 99 % SIL2 SIL3 SIL4<br />
> 99 % SIL3 SIL4 SIL4<br />
Tabelle 3.3 Sicherheitsintegrität der Hardware: Architektureinschränkungen für sicherheitstechnische<br />
Teilsysteme des Typs B (IEC/EN 61508, Teil 2)<br />
Diese Definitionen sind zusammen mit der Fehlertoleranz der Hardware Teil der<br />
„Architektureinschränkungen“ für die Sicherheitsintegrität der Hardware, wie sie in<br />
Tabelle 3.2 und Tabelle 3.3 aufgeführt sind.<br />
Auch wenn statistisch eine höhere Zuverlässigkeit für eines der Teilsysteme<br />
errechnet werden kann, wird die maximale SIL-Klasse, die beansprucht werden<br />
kann, trotzdem durch die „Sicherheitsintegrität der Hardware“ eingeschränkt.<br />
In den Tabellen oben bedeutet eine Fehlertoleranz der Hardware von N, dass N+1<br />
Fehler einen Verlust der sicherheitstechnischen Funktion verursachen können.<br />
Wenn ein Teilsystem zum Beispiel eine Hardware-Fehlertoleranz von 1 aufweist,<br />
dann geht die sicherheitstechnische Funktion erst bei Auftreten eines zweiten Fehlers<br />
verloren.<br />
15
16<br />
SIL-Handbuch<br />
Der Sicherheits-Integritätslevel (SIL)<br />
3.2.3 Verbindung von Risiko und Sicherheits-Integritätslevel<br />
Bis jetzt wurden bereits kurz die Konzepte Risiko, Notwendigkeit der Risikominderung<br />
durch sicherheitstechnische Funktionen und die Anforderungen an die Integrität<br />
dieser sicherheitstechnischen Funktionen behandelt.<br />
Eines der Probleme, denen sich Betreiber und Anwender gegenüber sehen, ist die<br />
Frage, wie der relevante Sicherheits-Integritätslevel mit der sicherheitstechnischen<br />
Funktion verknüpft werden soll, die zur Reduzierung eines bestimmten Risikos eingesetzt<br />
wird. Der auf IEC/EN 61508 basierende Risikograph in Bild 3.1 ist eine<br />
Möglichkeit, um eine Verbindung zwischen den Risikoparametern und dem Sicherheits-Integritätslevel<br />
für die sicherheitstechnische Funktion herzustellen.<br />
Risikoparameter<br />
Schadensausmaß<br />
S1 leichte Verletzung oder leichter Schaden<br />
S2 schwere, irreversible Verletzung oder Tod<br />
einer Person, temporärer schwerer Schaden<br />
S3 Tod mehrerer Personen, langfristiger Schaden<br />
S4 viele Tote, katastrophale Auswirkungen<br />
Häufigkeit/Aufenthaltsdauer<br />
A1 seltener bis häufiger Aufenthalt im Gefahrenbereich<br />
A2 häufiger bis dauernder Aufenthalt im Gefahrenbereich<br />
Gefahrenabwendung<br />
G1 möglich<br />
G2 nicht abwendbar, kaum möglich<br />
Eintrittswahrscheinlichkeit des unerwünschten<br />
Ereignisses<br />
W1 sehr gering, kaum<br />
W2 gering<br />
W3 hoch, häufig<br />
S 1<br />
S 2<br />
S 3<br />
S 4<br />
A1<br />
A2 A1 A2 A1 A2 G 1<br />
G 2<br />
G 1<br />
G 2<br />
G 1<br />
G 2<br />
G 1<br />
G 2<br />
Eintrittswahrscheinlichkeit des<br />
unerwünschten Ereignisses W<br />
1, 2, 3, 4 = Sicherheits-Integritätslevel, SIL<br />
- = tolerierbares Risiko, keine Sicherheitsanforderungen<br />
a = keine besonderen Sicherheitsanforderungen<br />
b = ein einzelnes E/E/PE-System reicht nicht aus<br />
Bild 3.1 Risikoabschätzung<br />
Bei der Untersuchung eines bestimmten Prozesses wird beispielsweise die niedrige<br />
oder sehr geringe Wahrscheinlichkeit der leichten Verletzung eines Menschen als<br />
noch tolerierbares Risiko betrachtet. Besteht dagegen eine hohe Wahrscheinlichkeit,<br />
dass es häufig zu schwerer Körperverletzung kommen kann, dann müsste die<br />
zur Risikominderung eingesetzte sicherheitstechnische Funktion den Sicherheits-<br />
Integritätslevel 3 (SIL3) aufweisen.<br />
Es gibt noch zwei weitere Konzepte im Zusammenhang mit sicherheitstechnischen<br />
Funktionen und sicherheitstechnischen Systemen, die erläutert werden müssen,<br />
bevor wir ein Beispiel betrachten können. Bei diesen beiden Konzepten handelt es<br />
sich um den Anteil ungefährlicher Ausfälle und die Versagenswahrscheinlichkeit der<br />
Funktion.<br />
W 3<br />
a<br />
1<br />
2<br />
3<br />
4<br />
b<br />
W 2<br />
-<br />
a<br />
1<br />
2<br />
3<br />
4<br />
W 1<br />
-<br />
-<br />
a<br />
1<br />
2<br />
3<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Die Versagenswahrscheinlichkeit<br />
4 Die Versagenswahrscheinlichkeit<br />
4.1 Überblick<br />
Achtung<br />
Der bereits erläuterte Aspekt des Risikos und die Ausfallwahrscheinlichkeit im<br />
Anforderungsfall einer sicherheitstechnischen Funktion sind eng miteinander verknüpft.<br />
Verwendet man die Definitionen<br />
Fnp = Unfall-/Vorfallhäufigkeit bei Abwesenheit von Schutzfunktionen<br />
(no protection)<br />
Ft = tolerierbare Unfall-/Vorfallhäufigkeit<br />
dann wird der Faktor zur Risikominderung (∆R) wie folgt definiert:<br />
∆R =F np /F t<br />
wobei PFD die Umkehrung ist:<br />
PFDavg = Ft /Fnp Da die Konzepte eng miteinander verbunden sind, werden ähnliche Methoden und<br />
Werkzeuge verwendet, um das Risiko zu bewerten und PFDavg zu beurteilen.<br />
Als besondere Tools werden FMEDA- und Markov-Modelle verwendet. Die Failure<br />
Modes and Effects Analysis (FMEA) ist ein Weg, um das System zu bewerten. Hierbei<br />
wird ein systematischer Ansatz verwendet, um die Auswirkungen von Komponentenausfällen<br />
zu identifizieren und zu beurteilen und dann zu bestimmen, wie die<br />
Möglichkeit eines Ausfalls gemindert oder eliminiert werden kann. Eine FMEDA ist<br />
eine Erweiterung der FMEA-Technik, um Diagnosetechniken einzuschließen.<br />
Sobald die möglichen Ausfälle und ihre Folgen beurteilt wurden, können die Wahrscheinlichkeiten<br />
verschiedener Betriebszustände des Teilsystems mit Hilfe von<br />
z. B. Markov-Modellen berechnet werden. Ein anderer Faktor, der bei dieser<br />
Betrachtung herangezogen werden muss, sind die Wiederholungsprüfungen, auch<br />
als „Proof Time“ oder „Proof Test Interval“ bezeichnet. Hierbei handelt es sich um<br />
eine Variable, die nicht nur von der praktischen Implementierung von Prüfungen<br />
und Instandhaltung im System, Teilsystem oder der betroffenen Komponente, sondern<br />
auch vom gewünschten Endergebnis abhängt. Durch z. B. Verlängerung der<br />
Prüfintervalle innerhalb des Modells kann sich herausstellen, dass das Teilsystem<br />
oder das sicherheitstechnische System nicht mehr den Forderungen des geforderten<br />
SIL entspricht. Praktische und betriebliche Überlegungen dienen oftmals als<br />
Richtlinie.<br />
Beachten Sie bitte auch, dass „Betriebsart mit niedriger Anforderungsrate<br />
(Low Demand Mode)“ als eine Betriebsart definiert wird, bei der die Anforderungsrate<br />
an das sicherheitstechnische System nicht größer als einmal pro Jahr und<br />
nicht größer als die doppelte Frequenz der Wiederholungsprüfung ist.<br />
Ein entsprechender Anwendungsbereich, der den meisten Lesern vertraut sein<br />
wird, wäre zum Beispiel ein Brandschutzsystem in einem Kaufhaus. Hier muss ein<br />
Ausgleich erreicht werden zwischen der Notwendigkeit einerseits, das System aus<br />
rechtlichen oder versicherungstechnischen Gründen häufig zu prüfen, und der praktischen<br />
Durchführbarkeit und den Kosten für die Organisation solcher Prüfungen<br />
andererseits. Möglicherweise wären die Versicherungsbeiträge niedriger, wenn das<br />
System häufiger überprüft würde, doch die Kosten und der Aufwand für Organisation<br />
und Durchführung dieser Prüfungen würden die Einsparungen übersteigen.<br />
Unter Berücksichtigung all dieser Faktoren kann die PFDavg berechnet werden.<br />
Sobald die PFDavg für jede Komponente, die Teil des Systems ist, berechnet wurde,<br />
lässt sich auf einfache Weise die PFDavg des gesamten Systems errechnen – sie<br />
ergibt sich aus der Summe der PFDavg aller einzelnen Komponenten, siehe auch<br />
Abschnitt 6.2.2 im Teil 2. Um die Anforderungen eines besonderen Sicherheits-<br />
Integritätslevels zu erfüllen, müssen ebenso die Werte für die PFDavg wie auch für<br />
den Anteil ungefährlicher Ausfälle innerhalb bestimmter Grenzen liegen.<br />
17
18<br />
SIL-Handbuch<br />
Die Versagenswahrscheinlichkeit<br />
4.2 Beispiel für ein sicherheitstechnisches System<br />
Lassen Sie uns diese Punkte in einem einfachen Beispiel aus der verarbeitenden<br />
Industrie zusammenfassen.<br />
Die IEC/EN 61508 gibt an, dass ein Sicherheits-Integritätslevel nur einer spezifischen<br />
sicherheitstechnischen Funktion korrekt zugeordnet werden kann – und zwar<br />
in der Gesamtheit des sicherheitstechnischen Systems – und nicht einem einzelnen<br />
Ausrüstungsteil oder einer Komponente.<br />
In unserem Zusammenhang bedeutet dies: Erst nachdem das gesamte sicherheitstechnische<br />
System analysiert wurde, kann erklärt werden, dass die Anforderungen<br />
eines spezifischen Sicherheits-Integritätslevels erfüllt sind.<br />
Es ist jedoch möglich – und auch vernünftig – ein einzelnes Element eines sicherheitstechnischen<br />
Systemes zu analysieren und seine Verwendungstauglichkeit<br />
nachzuweisen, um es in ein sicherheitstechnisches System mit entsprechender<br />
SIL-Klassifizierung zu integrieren. Da alle Elemente eines sicherheitstechnischen<br />
Systemes beim Erreichen dieses Ziels voneinander abhängen, muss überprüft werden,<br />
ob jedes einzelne Teil für den Zweck geeignet ist. Im folgenden Beispiel<br />
behandeln wir einen einzelnen elektronischen Interface-Baustein.<br />
Dabei handelt es sich bei dem sicherheitstechnischen System um ein Leitsystem,<br />
das zur Implementierung der sicherheitstechnischen Funktion dienen soll. Bild 4.1<br />
zeigt ein typisches sicherheitstechnisches System einschließlich einer eigensicheren<br />
Signaleingangs- und Signalausgangstrennebene. Nehmen wir nun an, dass als<br />
erforderlicher Sicherheits-Integritätslevel durch die Risikoanalyse SIL2 ermittelt<br />
wurde. Bitte beachten Sie, dass dies nur ein Referenzwert ist, er besagt nicht, dass<br />
eine vollständige Beurteilung des kompletten sicherheitstechnischen Systemes<br />
durchgeführt wurde, sondern er definiert vielmehr die Anforderungen an den kompletten<br />
Kreis.<br />
Sensor Binär- Binär-<br />
Aktor<br />
Sensor<br />
Analog-<br />
Eingang<br />
Logiksystem<br />
Umfang der risikoreduzierenden Einrichtung<br />
Bild 4.1 Sicherheitstechnisches System, Beispiel<br />
Analog-<br />
Ausgang<br />
Aktor<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Die Versagenswahrscheinlichkeit<br />
Fehlerverteilung im Regelkreis<br />
PFD 1<br />
PFD 2<br />
Sie können in Bild 4.1 die verschiedenen Elemente des Prozesskreises sehen:<br />
Eingangssensor,<br />
Eingangsleitung/Eingangs-Interface-Baugruppe,<br />
Logiksystem (Logic Solver),<br />
Ausgangsleitung/Ausgangs-Interface-Baugruppe (Safe Out) und das<br />
Regelventil, den Aktor.<br />
Berücksichtigen Sie, dass das typische sicherheitstechnische System, so wie es<br />
hier dargestellt ist, aus vielen seriell miteinander verknüpften Baugruppen besteht,<br />
die alle zur Implementierung der sicherheitstechnischen Funktion erforderlich sind.<br />
Daher muss das verfügbare PFD-Budget (< 10-2 für SIL2) auf alle relevanten Baugruppen<br />
verteilt sein.<br />
So ist es z. B. ein realistisches und industriegerechtes Ziel, dem Trennschaltverstärker<br />
nicht mehr als 10 % des verfügbaren PFD-Budgets zuzuordnen, woraus<br />
sich für ihn ein PFD-Grenzwert von etwa 10 -3 ergibt.<br />
Sensor Binär- Binär-<br />
Aktor<br />
Sensor<br />
Analog-<br />
Eingang<br />
Logiksystem<br />
+ + + +<br />
*<br />
10 %<br />
Signalweg<br />
35 %<br />
Sensorik und Signalweg<br />
PFD 3<br />
15 %<br />
SSPS<br />
Analog-<br />
Ausgang<br />
Bild 4.2 Beurteilung des sicherheitstechnischen Systems<br />
* Zahlenwerte abhängig von der Anwendung<br />
Der PFD-Wert der kompletten Sicherheitseinrichtung berechnet sich aus den Werten<br />
der Einzelkomponenten. Da Sensor und Aktor im Feld montiert sind, werden<br />
diese chemisch und physikalisch belastet (Prozessmedium, Druck, Temperatur,<br />
Vibration usw.). Entsprechend hoch ist das Fehlerrisiko dieser Komponenten. Deshalb<br />
sind für den Sensor 25 % und für den Aktor 40 % des Gesamt-PFD vorgesehen.<br />
Für die fehlersichere Steuerung bleiben 15 % und für die Interfacebausteine je<br />
10 % (Interfacebausteine und Steuerung haben keinerlei Kontakt zum Prozessmedium<br />
und sind im geschützten Schaltraum untergebracht).<br />
PFD 4<br />
* *<br />
*<br />
10 %<br />
Signalweg<br />
Aktor<br />
PFD 5<br />
*<br />
50 %<br />
Aktor und Signalweg<br />
19
20<br />
SIL-Handbuch<br />
Die Versagenswahrscheinlichkeit<br />
FMEA-Beurteilung Bei dem hier im Beispiel genannten Trennschaltverstärker wurde eine umfangreiche<br />
FMEA-Analyse durchgeführt, um nachzuweisen, dass er für die Verwendung in<br />
einem sicherheitstechnischen System gemäß SIL2 geeignet ist. Die FMEA-Analyse<br />
hat 100 % der Bauteile des Trennschaltverstärkers abgedeckt, wobei für jedes Bauteil<br />
die verschiedenen möglichen Ausfallarten berücksichtigt wurden, einschließlich<br />
– soweit erforderlich – zeitweise auftretender Ausfälle und Ausfälle mit Leistungsreduktion.<br />
Dies ist – im Gegensatz zu anderen nicht quantitativen oder semi-quantitativen<br />
Ansätzen – die nach IEC/EN 61508 empfohlene Vorgehensweise.<br />
Als Ergebnis der FMEA kann die PFDavg für diesen Trennschaltverstärker berechnet<br />
werden. Erst wenn sich ein Wert unter 10-3 ergibt, kann der Trennschaltverstärker<br />
für dieses SIL2-Beispiel eingesetzt werden.<br />
Hinweis<br />
<strong>Pepperl+Fuchs</strong> hat eine unabhängige, externe Organisation, das Fachunternehmen<br />
EXIDA unter Vertrag, um diese Beurteilungen für die Produkte von<br />
<strong>Pepperl+Fuchs</strong> durchzuführen.<br />
Zusammenfassend kann für Abschnitt 4.2 festgestellt werden:<br />
1. Die IEC/EN 61508 betrachtet den gesamten Gerätekreis. Nach dem Motto „eine<br />
Kette ist nur so stark wie ihr schwächstes Glied“ spielen alle Elemente im Gerätekreis<br />
ihre Rolle. Um die Ziele zu erreichen, kann es erforderlich werden, eine<br />
bestimmte Baugruppenfunktion zu duplizieren – also redundant auszuführen.<br />
2. Vernachlässigen Sie keinen der Schritte bei der Beurteilung des Sicherheitslebenszyklus.<br />
Die in diesem Dokument identifizierten Geräteelemente sind nur ein<br />
Teil eines SIS.<br />
3. Sofern nicht speziell angegeben, ist es nicht zulässig, mehr als einen Kanal einer<br />
mehrkanaligen Komponente in dem selben sicherheitstechnischen System zu<br />
verwenden (Vermeidung von Fehlern gemeinsamer Ursache). Die übrigen Kanäle<br />
dieser Komponente können jedoch in anderen vom ersten unabhängigen sicherheitstechnischen<br />
Systemen verwendet werden.<br />
4. Es ist nicht immer erforderlich, dass alle sicherheitstechnischen Funktionen in<br />
der Schutzebene implementiert werden müssen. Einige sicherheitsrelevante<br />
Funktionen können bereits in der Automatisierungsebene und damit im „normalen<br />
Leitsystem“ realisiert werden.<br />
5. Um festzustellen, ob die sicherheitstechnischen Funktionen korrekt arbeiten, ist<br />
es in der Regel erforderlich, sie zu testen. Die Häufigkeit, mit der diese Tests<br />
durchgeführt werden, ist ein Faktor bei der Berechnung der Ausfallwahrscheinlichkeit<br />
im Anforderungsfall. Daher werden verschiedene PFD avg-Werte für Komponenten<br />
wie z. B. die Interface-Bausteine berechnet, um die relevanten<br />
Prüfungsintervalle zu ermitteln, z. B. T [Test] von 1 Jahr, 5 Jahren und 10 Jahren.<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Zusammenfassung des ersten Teils des SIL-Handbuches<br />
5 Zusammenfassung des ersten Teils des SIL-Handbuches<br />
1. Der Sicherheitslebenszyklus führt einen strukturierten Ansatz zur Risikoanalyse,<br />
Implementierung von sicherheitstechnischen Systemen und zum Betrieb eines<br />
sicheren Prozesses ein.<br />
2. Wenn sicherheitstechnische Systeme eingesetzt werden, um Risiken auf ein tolerierbares<br />
Niveau zu reduzieren, müssen diese sicherheitstechnischen Systeme<br />
einen bestimmten Sicherheits-Integritätslevel aufweisen.<br />
3. Die Berechnung des Sicherheits-Integritätslevels für ein sicherheitstechnisches<br />
System schließt die Faktoren „Anteil ungefährlicher Ausfälle“ und „Ausfallwahrscheinlichkeit<br />
der Sicherheits-Funktion“ ein.<br />
21
22<br />
SIL-Handbuch<br />
Verifizieren des Sicherheits-Integritätslevels<br />
6 Verifizieren des Sicherheits-Integritätslevels<br />
6.1 Was ist SIL?<br />
6.1.1 Grundlagen<br />
Achtung<br />
Diese kurze Einführung deckt lediglich die technischen Aspekte ab, die mit der<br />
Implementierung einer sicherheitstechnischen Funktion gemäß den Anforderungen<br />
der IEC/EN 61508/61511 zusammenhängen. Siehe hierzu auch Teil 1.<br />
SIL steht für den Sicherheits-Integritätslevel gemäß IEC/EN 61508 und beschreibt<br />
die Integrität einer sicherheitstechnischen Funktion. Sowohl organisatorische Maßnahmen<br />
des Managements als auch technische Maßnahmen sind erforderlich,<br />
um eine gegebene Sicherheitsintegrität zu erreichen. Ein Sicherheits-Integritätslevel<br />
wird einer sicherheitstechnischen Funktion zugeordnet, die verschiedene Funktionsbaugruppen<br />
umfasst, mit denen Systeme beschrieben werden (z. B. Sensoren,<br />
Logiksystem (Logic Solver) und Aktoren).<br />
Ein sicherheitstechnisches System (SIS) besteht aus einer oder mehreren sicherheitstechnischen<br />
Funktionen; für jede dieser sicherheitstechnischen Funktionen gilt<br />
eine SIL-Anforderung. Komponenten, Teilsysteme oder Systeme können für sich<br />
allein betrachtet keinen eigenen Sicherheits-Integritätslevel haben.<br />
Systeme haben eine „SIL-beschränkende Wirkung“. So kann die Funktion des folgenden<br />
Beispiels (Bild 6.1) aufgrund der Beschränkung des Sensorsystems auf<br />
max. SIL2 ebenfalls nur maximal SIL2 erreichen:<br />
Sensorsystem: max. SIL2<br />
Logiksystem: max. SIL3<br />
Ausgangselement: max. SIL3<br />
Sensor Eingangsmodul<br />
max. SIL2<br />
Eingangsteilsystem<br />
Bild 6.1 Systemstruktur<br />
In einem System können Komponenten oder Teilsysteme kombiniert werden (z. B.<br />
parallel), um die SIL-Beschränkung zu verändern.<br />
Sensor Eingangsmodul<br />
max. SIL2<br />
Sensor Eingangsmodul<br />
max. SIL2<br />
Eingangsteilsystem<br />
entspricht nun max. SIL3<br />
Logiksystem<br />
max. SIL3<br />
max. SIL2<br />
Logiksystem<br />
max. SIL3<br />
max. SIL3<br />
Bild 6.2 Beispielkonfiguration für redundantes Eingangsteilsystem<br />
Teilsystem max. SIL3<br />
(Ausgangsschnittstelle<br />
und<br />
Ausgangselement)<br />
Teilsystem max. SIL3<br />
(Ausgangsschnittstelle<br />
und<br />
Ausgangselement)<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Verifizieren des Sicherheits-Integritätslevels<br />
6.1.2 Anforderungen an das Management<br />
Studien haben gezeigt, dass der wichtigste Faktor beim Auftreten von Unfällen das<br />
Engagement des Managements für die Sicherheit und die grundlegende Sicherheitskultur<br />
innerhalb der Organisation oder Industriebranche ist. Aus diesem Grund<br />
beschreiben die relevanten Normen (IEC/EN 61508 und IEC/EN 61511 in der Prozessindustrie)<br />
einen Lebenszyklus der sicherheitstechnischen Funktion und ihrer<br />
Komponenten und fordern außerdem die Implementierung von Maßnahmen seitens<br />
des Managements.<br />
6.1.3 Wie wird der ausgewählte Sicherheits-Integritätslevel erreicht?<br />
Ein SIL-klassifiziertes Produkt weist spezifische Parameter auf. Die SIL-Beschränkung,<br />
die durch dieses Produkt erzeugt wurde, wird direkt von diesen Parametern<br />
beeinflusst:<br />
Fehlertoleranz der Hardware<br />
Anteil ungefährlicher Ausfälle<br />
Architektureinschränkungen (siehe Abschnitt 6.4)<br />
Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall<br />
– PFD (Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall)<br />
– Betriebsart mit niedriger Anforderungsrate oder<br />
– PFH (Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde)<br />
– Betriebsart mit kontinuierlicher Anforderungsrate<br />
Instandhaltungsintervalle.<br />
Bei diesen Parametern handelt es sich um numerische Werte, die mit den entsprechenden<br />
Werten der anderen Komponenten der sicherheitstechnischen Funktion<br />
kombiniert und dann mit den Werten der SIL-Zielvorgabe in der relevanten Norm<br />
(IEC/EN 61508 oder IEC/EN 61511) gegengeprüft werden müssen.<br />
Um verschiedene Systeme oder Teilsysteme kombinieren oder verifizieren zu können,<br />
muss bekannt sein, wie die verschiedenen Parameter miteinander agieren.<br />
Diese Zusammenhänge werden mithilfe eines Beispiels demonstriert.<br />
6.2 Beispiel Eingangsteilsystem mit zwei Komponenten<br />
Bild 6.3 Eingangsteilsystem<br />
Sensor<br />
Trennschaltverstärker<br />
Sensor-Trennschaltverstärker-Teilsystem<br />
6.2.1 Fehler-Möglichkeits- und Einfluss-Analyse (IEC/EN 61508, Teil 2)<br />
Mithilfe einer FMEDA wurden für das Teilsystem die verschiedenen Ausfallraten<br />
ermittelt. Daraus wurden die Werte für PFDavg und dem Anteil ungefährlicher Ausfälle<br />
(SFF) berechnet. Diese Werte sind in der Herstellerdokumentation angegeben.<br />
In unserem Beispiel Sensor-Teilsystem: NAMUR-Näherungsinitiator NJ2-12GM-N (SJ2-N*)<br />
T [Test] PFD avg s SFF λ total = 2,90 x 10 -8 1/h<br />
1 Jahr 3,02 x 10 -5 > 76 % λ safe = 1,77 x 10 -8 1/h<br />
2 Jahre 6,05 x 10 -5 > 76 % λ dangerous = 6,91 x 10 -9 1/h<br />
5 Jahre 1,51 x 10 -4 > 76 % λ don’t care = 4,42 x 10 -9 1/h<br />
23
24<br />
SIL-Handbuch<br />
Verifizieren des Sicherheits-Integritätslevels<br />
Trennschaltverstärker-Teilsystem: Trennschaltverstärker für digitale Signale<br />
KFD2-SOT2-Ex1.N<br />
6.2.2 Mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall (PFDavg ) des<br />
Eingangsteilsystems (IEC/EN 61508, Teil 2 und Teil 6, Anhang B)<br />
Die Ausfallrate λd ist die Rate der Gefahr bringenden (erkannten und unerkannten)<br />
Ausfälle eines Kanals in einem Teilsystem. Zur Errechnung der PFD (Betriebsart<br />
mit niedriger Anforderungsrate) wird sie als Ausfälle pro Jahr angegeben.<br />
Die Ausfallwahrscheinlichkeit PFDavg ist die mittlere Ausfallwahrscheinlichkeit im<br />
Anforderungsfall einer sicherheitstechnischen Funktion oder eines Teilsystems im<br />
Anforderungsfall – auch als Versagenswahrscheinlichkeit im Anforderungsfall<br />
bezeichnet. Die Ausfallwahrscheinlichkeit im Anforderungsfall ist zeitabhängig:<br />
PFD: Q(t) = 1 - e -λdt<br />
Hinweis<br />
T [Test] PFD avg t SFF λ total = 2,07 x 10 -7 1/h<br />
1 Jahr 9,21 x 10 -5 > 89 % λ safe = 7,83 x 10 -8 1/h<br />
2 Jahre 1,84 x 10 -4 > 89 % λ dangerous = 2,10 x 10 -8 1/h<br />
5 Jahre 4,60 x 10 -4 > 89 % λ no effect = 1,08 x 10 -7 1/h<br />
Es handelt sich um eine Funktion der Ausfallrate λ und der Zeit t zwischen zwei<br />
Funktionsprüfungen.<br />
Das bedeutet, dass Sie den maximalen SIL für Ihr (Sub-)System nur ermitteln können,<br />
wenn Sie wissen, ob eine Prüfprozedur vom Anwender implementiert ist und<br />
in welchen Intervallen die Prüfungen durchgeführt werden!<br />
Der maximale SIL gemäß den Ausfallwahrscheinlichkeitsanforderungen kann dann<br />
in Tabelle 3 der Norm IEC/EN 61508, Teil 1 (Betriebsart mit niedriger Anforderungsrate)<br />
abgelesen werden.<br />
Sicherheits-Integritätslevel<br />
(SIL)<br />
Betriebsart mit niedriger<br />
Anforderungsrate<br />
(mittlere Versagenswahrscheinlichkeit der<br />
Funktion im Anforderungsfall)<br />
4 ≥ 10 -5 bis < 10 -4<br />
3 ≥ 10 -4 bis < 10 -3<br />
2 ≥ 10 -3 bis < 10 -2<br />
1 ≥ 10 -2 bis < 10 -1<br />
Tabelle 6.1 Sicherheits-Integritätslevel: Ausfallgrenzwerte für eine sicherheitstechnische Funktion in der<br />
Betriebsart mit niedriger Anforderungsrate<br />
Diese Werte gelten für die gesamte sicherheitstechnische Funktion, die normalerweise<br />
verschiedene Systeme oder Teilsysteme umfasst. Die mittlere Ausfallwahrscheinlichkeit<br />
einer sicherheitstechnischen Funktion im Anforderungsfall wird<br />
ermittelt, indem die mittlere Ausfallwahrscheinlichkeit im Anforderungsfall für alle<br />
Teilsysteme, die zusammen die sicherheitstechnische Funktion ausmachen,<br />
berechnet und dann die Ergebnisse addiert werden.<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Verifizieren des Sicherheits-Integritätslevels<br />
Hinweis<br />
Wenn die Wahrscheinlichkeitswerte sehr klein sind, kann dies wie folgt ausgedrückt<br />
werden:<br />
PFD sys = PFD s + PFD t + PFD fe<br />
wobei<br />
PFD sys<br />
PFD s<br />
PFD t<br />
PFD fe<br />
In unserem Beispiel PFD subsys = PFD s + PFD t<br />
wobei<br />
PFD subsys<br />
PFD s<br />
PFD t<br />
die mittlere Ausfallwahrscheinlichkeit der Funktion im<br />
Anforderungsfall für ein sicherheitstechnisches<br />
Funktionssystem ist,<br />
die mittlere Ausfallwahrscheinlichkeit der Funktion im<br />
Anforderungsfall für das Eingangsteilsystem (Sensor) ist,<br />
die mittlere Ausfallwahrscheinlichkeit der Funktion im<br />
Anforderungsfall für das Logik-Teilsystem<br />
(Trennschaltverstärker) ist,<br />
die mittlere Ausfallwahrscheinlichkeit der Funktion im<br />
Anforderungsfall für das Abschlusselement-Teilsystem ist<br />
(FE = Final Element).<br />
Das bedeutet, dass ein Teilsystem oder eine Komponente niemals den gesamten<br />
PFD-Wert für einen vorgegebenen SIL beanspruchen kann! In der Regel haben<br />
Trennschaltverstärker eine PFD, die nur 10 % des gesamten PFD-Wertes des<br />
erforderlichen SIL ausmacht.<br />
die mittlere Ausfallwahrscheinlichkeit der Funktion im<br />
Anforderungsfall für das Eingangsteilsystem ist;<br />
die mittlere Ausfallwahrscheinlichkeit der Funktion im<br />
Anforderungsfall für den Sensor ist;<br />
die mittlere Ausfallwahrscheinlichkeit der Funktion im<br />
Anforderungsfall für den Trennschaltverstärker ist;<br />
Folgende SIL sind dann erreichbar (PFD subsys kleiner als 10 % PFD max):<br />
T [Test] PFDsubsys SIL<br />
1 Jahr 1,22 x 10-4 2<br />
2 Jahre 2,45 x 10 -4 2<br />
5 Jahre 6,11 x 10 -4 2<br />
25
26<br />
SIL-Handbuch<br />
Verifizieren des Sicherheits-Integritätslevels<br />
6.2.3 Anteil ungefährlicher Ausfälle des Eingangsteilsystems (IEC/EN 61508, Teil 2, Anhang C)<br />
Anteil der Rate der Fehler, die nicht das Potenzial besitzt, das sicherheitstechnische<br />
System in einen Gefahr bringenden Zustand zu versetzen.<br />
SFF = (Σλs + Σλdd)/(Σλs + Σλd) = 1 - Σλdu/(Σλs + Σλd) wobei Σλs = Σλsu + Σλsd und Σλd = Σλdu + Σλdd Gefahr bringende, erkannte Ausfälle werden ebenfalls als „ungefährlich“ betrachtet.<br />
Bild 6.4 Anteil ungefährlicher Ausfälle (SFF)<br />
In unserem Beispiel SFF = (1,77 + 0,442 + 7,83 + 10,8) x 10 -8 /<br />
(1,77 + 0,442 + 7,83 + 10,8 + 0,691 + 2,1) x 10 -8<br />
SFF des Eingangsteilsystems > 88 %<br />
6.3 Fehlertoleranz der Hardware (IEC/EN 61508, Teil 2)<br />
Hierbei handelt es sich um die Fähigkeit einer funktionalen Einheit, die gewünschte<br />
Funktion auch dann auszuführen, wenn Fehler aufgetreten sind. Eine Fehlertoleranz<br />
der Hardware von N bedeutet, dass N+1 Fehler einen Verlust der sicherheitstechnischen<br />
Funktion verursachen können.<br />
Ist ein einkanaliges System fehlerhaft, dann ist es nicht in der Lage, die gewünschte<br />
Funktion auszuführen! Ist das System redundant (zwei parallel geschaltete Kanäle)<br />
wird jeder der beiden Kanäle die sicherheitstechnische Funktion ausführen können.<br />
Es müsste somit in beiden Kanälen gleichzeitig ein Gefahr bringender Ausfall auftreten,<br />
damit die sicherheitstechnische Funktion im Anforderungsfall ausfällt.<br />
In unserem Beispiel Ist die Struktur einkanalig, ist die<br />
Fehlertoleranz der Hardware = 0<br />
6.4 SIL-Beschränkung aufgrund von Architektureinschränkungen<br />
(IEC/EN 61508, Teil 2)<br />
λdd<br />
Gefahr bringend<br />
entdeckt<br />
λsu<br />
λdu<br />
ungefährlich<br />
unentdeckt<br />
Gefahr bringend<br />
unentdeckt<br />
ungefährlich<br />
entdeckt<br />
Die Kombination aus Anteil ungefährlicher Ausfälle und Fehlertoleranz der Hardware<br />
beschränkt den maximalen SIL eines Gerätes.<br />
Die Norm unterscheidet zwischen zwei Typen von Teilsystemen:<br />
λsd<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Verifizieren des Sicherheits-Integritätslevels<br />
Teilsystem Typ A Ein Teilsystem kann als Teilsystem des Typs A betrachtet werden, wenn für alle<br />
Komponenten, die zur Erreichung der sicherheitstechnischen Funktion erforderlich<br />
sind,<br />
die Ausfallarten für alle beteiligten Komponenten gut definiert sind, und<br />
das Verhalten des Teilsystems unter Fehlerbedingungen vollständig vorhergesagt<br />
werden kann, und<br />
ausreichend abhängige Ausfalldaten aus dem Feldeinsatz vorliegen, um nachzuweisen,<br />
dass die<br />
angegebenen Ausfallraten für erkannte und unerkannte Gefahr bringende Ausfälle<br />
erfüllt sind.<br />
Anteil ungefährlicher<br />
Fehlertoleranz der Hardware (HFT)<br />
Ausfälle (SFF)<br />
0 1 2<br />
< 60 % SIL1 SIL2 SIL3<br />
60 % ... 90 % SIL2 SIL3 SIL4<br />
90 % ... 99 % SIL3 SIL4 SIL4<br />
> 99 % SIL3 SIL4 SIL4<br />
Tabelle 6.2 Sicherheitsintegrität der Hardware: Architektureinschränkungen für sicherheitstechnische<br />
Teilsysteme des Typs A (IEC/EN 61508, Teil 2)<br />
Teilsystem Typ B Ein Teilsystem muss als Teilsystem des Typs B betrachtet werden, wenn für alle<br />
Komponenten, die zur Erreichung der sicherheitstechnischen Funktion erforderlich<br />
sind,<br />
die Ausfallart mindestens einer beteiligten Komponente nicht eindeutig definiert<br />
ist, oder<br />
das Verhalten des Teilsystems unter Fehlerbedingungen nicht vollständig vorhergesagt<br />
werden kann, oder<br />
zu wenig abhängige Ausfalldaten aus dem Feldeinsatz vorliegen, um die beanspruchten<br />
Ausfallraten für erkannte und unerkannte Gefahr bringende Ausfälle<br />
zu unterstützen.<br />
Einfacher ausgedrückt kann man sagen, dass Teilsysteme, die programmierbare<br />
oder hochintegierte Elektronik verwenden, als Typ B betrachtet werden müssen.<br />
Anteil ungefährlicher<br />
Fehlertoleranz der Hardware (HFT)<br />
Ausfälle (SFF)<br />
0 1 2<br />
< 60 % nicht erlaubt SIL1 SIL2<br />
60 % ... 90 % SIL1 SIL2 SIL3<br />
90 % ... 99 % SIL2 SIL3 SIL4<br />
> 99 % SIL3 SIL4 SIL4<br />
Tabelle 6.3 Sicherheitsintegrität der Hardware: Architektureinschränkungen für sicherheitstechnische<br />
Teilsysteme des Typs B (IEC/EN 61508, Teil 2)<br />
In unserem Beispiel Beide Komponenten des Teilsystems gehören zum Typ A, mit einem Anteil ungefährlicher<br />
Ausfälle von 88 % und einer Fehlertoleranz der Hardware von 0, womit es<br />
die Anforderungen für max. SIL2 erfüllt.<br />
Folgende SIL sind erreichbar (PFDsubsys kleiner als 10 % PFDmax ):<br />
T [Test] PFD Architektur SIL Teilsystem<br />
1 Jahr SIL2 SIL2 2<br />
2 Jahre SIL2 SIL2 2<br />
5 Jahre SIL2 SIL2 2<br />
27
28<br />
SIL-Handbuch<br />
Andere Strukturen<br />
7 Andere Strukturen<br />
7.1 MooN-Systeme (IEC/EN 61508, Teil 6)<br />
Das MooN-System ist ein sicherheitstechnisches System oder Teil eines sicherheitstechnischen<br />
Systems aus N unabhängigen Kanälen, die so verbunden sind,<br />
dass M Kanäle ausreichen, um die sicherheitstechnische Funktion auszuführen (M<br />
aus N Kanälen). Die Architektur des folgenden Beispiels wird als 1oo2 (one out of<br />
two, eins aus zwei) bezeichnet.<br />
Bild 7.1 Konfiguration für zwei Eingangsteilsysteme, 1oo2-Struktur<br />
7.2 Zwei Eingangsteilsysteme aus obigem Beispiel als redundantes<br />
Eingangsteilsystem<br />
Achtung<br />
Sensor Eingangsmodul<br />
Sensor Eingangsmodul<br />
Eingangsteilsystem<br />
Die hier eingesetzten Formeln sind vereinfacht. (z. B. keine Betrachtung der mittleren<br />
Zeit zur Wiederherstellung) und können unter Umständen für Ihre Applikation<br />
unbrauchbar sein. Für mehr Informationen, siehe auch IEC/EN 61508, Teil 6.<br />
Eingangsteilsystem 1<br />
Eingangsteilsystem 2<br />
Bild 7.2 Beispiel redundantes Eingangsteilsystem<br />
Die Ausgänge der beiden Trennverstärker sind in Reihe geschaltet.<br />
Ermittlung des maximalen SIL-Wertes des Eingangsteilsystems bestehend aus<br />
NJ2-12GM-N und KFD2-SOT2-Ex.N.<br />
PDFKanal (siehe Abschnitt 6.2.2)<br />
T [Test]<br />
PFDsys 1 Jahr 1,22 x 10 -4<br />
2 Jahre 2,45 x 10 -4<br />
5 Jahre 6,11 x 10 -4<br />
PDF des neuen redundanten Eingangsteilsystems<br />
PDFsys = 4/3 x PDF 2 Kanal<br />
T [Test]<br />
PFD sys<br />
1 Jahr 1,98 x 10 -8<br />
2 Jahre 8,00 x 10 -8<br />
5 Jahre 4,98 x 10 -7<br />
1oo2<br />
Beispiel:<br />
Eingangsteilsystem 1<br />
Eingangsteilsystem 2<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Andere Strukturen<br />
Achtung<br />
SFF des neuen redundanten Eingangsteilsystems<br />
Da beide Kanäle gleich sind, ändert sich die SFF nicht.<br />
SFF des Eingangsteilsystems > 88 %<br />
Fehlertoleranz der Hardware<br />
Das neue Eingangsteilsystem ist jetzt redundant (1oo2).<br />
Fehlertoleranz der Hardware = 1<br />
SILmax des neuen redundanten Teilsystems (PDFsys kleiner als 10 % PDFmax ):<br />
T [Test] PDFsys Architektur SIL des neuen redundanten<br />
Teilsystems<br />
1 Jahr SIL4 SIL3 SIL3<br />
2 Jahre SIL4 SIL3 SIL3<br />
5 Jahre SIL4 SIL3 SIL3<br />
Die Berechnung berücksichtigt noch keine Fehler gemeinsamer Ursachen (siehe<br />
Abschnitt 7.3).<br />
29
30<br />
SIL-Handbuch<br />
Andere Strukturen<br />
7.3 Fehler gemeinsamer Ursachen<br />
Fehler gemeinsamer Ursachen müssen in sicherheitstechnischen Systemen<br />
betrachtet werden. Falls zum Beispiel beide Kanäle einer 1oo2-Struktur mit dem<br />
gleichen Netzteil versorgt werden, reicht ein Netzteilausfall, um das System außer<br />
Betrieb zu setzen. Diese „Kanaltrennung“ wird durch einen Parameter (β) beschrieben.<br />
Die Bewertung wird mit Hilfe einer Tabelle aus dem Anhang D der<br />
IEC/EN 61508 (Teil 6) durchgeführt (Scoring System). Tabelle 7.1 zeigt einen Auszug<br />
aus der in Anhang D enthaltenen Tabelle.<br />
Frage Logik-<br />
Teilsystem<br />
Trennung<br />
Werden alle Signalkabel an allen Stellen für die Kanäle getrennt<br />
geführt?<br />
Sind die Kanäle des Logik-Teilsystems auf getrennten Leiterplatten?<br />
Sind die Kanäle des Logik-Teilsystems in getrennten Schaltschränken?<br />
Wenn die Sensoren/Stellglieder zugeordnete Steuerelektroniken<br />
haben, befinden sich diese für jeden Kanal auf getrennten Leiterplatten?<br />
Wenn die Sensoren/Stellglieder zugeordnete Steuerelektroniken<br />
haben, befinden sich diese für jeden Kanal im Innenraum und in<br />
getrennten Schaltschränken?<br />
Diversität/Redundanz<br />
Verwenden die Kanäle verschiedene Technologien – zum Beispiel<br />
einer Elektronik oder programmierbare Elektronik und der andere<br />
Relais?<br />
Verwenden die Kanäle verschiedene elektronische Technologien –<br />
zum Beispiel einer Elektronik und der andere programmierbare<br />
Elektronik?<br />
Verwenden die Sensoren verschiedene physikalische Prinzipien –<br />
zum Beispiel Druck und Temperatur, Messung der Strömungsgeschwindigkeit<br />
mit einem Flügelrad-Aufnehmer oder mit dem Doppler-Effekt?<br />
Verwenden die Geräte andere elektrische Prinzipien oder Konstruktionen<br />
– zum Beispiel digital und analog, verschiedene Hersteller<br />
(nicht nur baugleiches Gerät mit verschiedenen Marken)<br />
oder verschiedene Technologien?<br />
Verwenden die Kanäle ausgeprägte Redundanz mit einer MooN-<br />
Architektur, wobei N > M + 2?<br />
Verwenden die Kanäle ausgeprägte Redundanz mit einer MooN-<br />
Architektur, wobei N = M + 2?<br />
Wird niedrige Diversität verwendet – zum Beispiel Hardware-Diagnosetests<br />
unter Verwendung gleicher Technologie?<br />
Wird mittlere Diversität verwendet – zum Beispiel Hardware-Diagnosetests<br />
unter Verwendung unterschiedlicher Technologien?<br />
Wurden die Kanäle von verschiedenen Entwicklern entworfen, die<br />
während der Entwurfstätigkeit keine Kommunikation hatten?<br />
Werden während der Inbetriebnahme für jeden Kanal unterschiedliche<br />
Testmethoden und Personen eingesetzt?<br />
Wird die Instandhaltung für jeden Kanal von anderen Personen zu<br />
anderen Zeiten durchgeführt?<br />
Sensoren<br />
und Stellglieder<br />
X LS Y LS X SF Y SF<br />
1,5 1,5 1,0 2,0<br />
3,0 1,0<br />
2,5 0,5<br />
2,5 1,5<br />
2,5 0,5<br />
Tabelle 7.1 Bewertung der programmierbaren Elektronik oder der Sensoren/Abschlusselemente<br />
(Auszug)<br />
Die üblichen Werte liegen bei:<br />
Feldgeräten mit Verkabelung: zwischen 5 % und 10 %<br />
Sicherheits-SPS: 1 %<br />
7,0<br />
5,0<br />
7,5<br />
5,5<br />
2,0 0,5 2,0 0,5<br />
1,0 0,5 1,0 0,5<br />
2,0 1,0<br />
3,0 1,5<br />
1,0 1,0<br />
1,0 0,5 1,0 1,0<br />
2,5 2,5<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Andere Strukturen<br />
In unserem Beispiel Wie groß ist der Einfluss von Fehlern mit gemeinsamer Ursache?<br />
Unerkannte Ausfälle infolge gemeinsamer Ursachen β<br />
λsubsys<br />
λsubsys<br />
Zuverlässigkeitsblockschaltbild<br />
Bild 7.3 Bewertung der Qualität der Kanaltrennung<br />
Zur Vereinfachung nehmen wir einen mittleren β-Faktor von 5 % an.<br />
Es gilt: PFD sys = PFD red + β x PFD subsys<br />
wobei<br />
PFD subsys die PFD eines einkanaligen Eingangsteilsystems und<br />
PFD red die PFD des redundanten Eingangsteilsystems ohne Fehler mit gemeinsamer<br />
Ursache ist<br />
PFD sys die PFD des redundanten Eingangsteilsystems einschließlich der Fehler mit<br />
gemeinsamer Ursache ist<br />
PFD red = 4/3 x PFD² subsys<br />
Es gilt: PFD sys = 4/3 x PFD² subsys + β x PFD subsys<br />
β x λ subsys<br />
T [Test] PFD subsys PFD red PFD sys<br />
1 Jahr 1,22 x 10 -4 1,98 x 10 -8 6,11 x 10 -6<br />
2 Jahre 2,45 x 10 -4 8,00 x 10 -8 1,23 x 10 -5<br />
5 Jahre 6,11 x 10 -4 4,98 x 10 -7 3,10 x 10 -5<br />
Ergebnis der SIL-Bewertung des 2-kanaligen Eingangsteilsystems mit der Berücksichtigung<br />
von Fehlern gemeinsamer Ursache (PDF sys kleiner als 10 % PDF max ):<br />
T [Test] PFD sys Architektur SIL sys<br />
1 Jahr SIL4 SIL3 SIL3<br />
2 Jahre SIL3 SIL3 SIL3<br />
5 Jahre SIL3 SIL3 SIL3<br />
Daraus erkennen Sie, dass die Kanaltrennungsqualität einen hohen Einfluss auf die<br />
Ausfallwahrscheinlichkeit besitzt.<br />
31
32<br />
SIL-Handbuch<br />
Die Bewertung „betriebsbewährt“ (Proven in Use, IEC/EN 61508, Teil 2)<br />
8 Die Bewertung „betriebsbewährt“ (Proven in Use, IEC/EN 61508,<br />
Teil 2)<br />
Hinweis<br />
Eine Komponente oder ein Teilsystem kann dann als betriebsbewährt (Proven in<br />
Use) angesehen werden, wenn anhand einer dokumentierten Bewertung dargelegt<br />
wird, dass aufgrund der vorherigen Verwendung der Komponente ausreichende<br />
Nachweise dafür vorliegen, dass sich die Komponente für den Einsatz in einem<br />
sicherheitstechnischen System eignet.<br />
Die während des Betriebs gewonnene Erfahrung sollte ausreichen, um die angegebenen<br />
Ausfallraten (Ausfälle, die sich aufgrund von zufälligen Hardwarefehlern<br />
ereignen) durch Statistiken zu unterstützen. Nur der vorherige Betrieb, bei dem<br />
eventuelle Ausfälle der Komponente effektiv erkannt und dokumentiert werden, darf<br />
bei der Analyse berücksichtigt werden.<br />
Weitere Informationen finden Sie in der EN 61511.<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Wie liest man einen SIL-Produktbericht?<br />
9 Wie liest man einen SIL-Produktbericht?<br />
SIL-qualifizierte Produkte nutzen dem Anwender nur, wenn die Daten, die für die<br />
SIL-Verifizierung der gesamten sicherheitstechnischen Funktion erforderlich sind,<br />
zur Verfügung gestellt werden. In der Regel werden PFD und SFF in Tabellenform<br />
dargestellt und für verschiedene Prüfintervalle berechnet. Die Berechnungen basieren<br />
auf einer Liste von Annahmen, die den allgemeinen Anwendungsbereich des<br />
Gerätes repräsentieren.<br />
Annahmen:<br />
Ausfallraten sind konstant, Verschleißmechanismen sind nicht enthalten<br />
Die Verbreitung von Ausfällen ist nicht relevant<br />
Alle Ausfallarten der Komponenten sind bekannt<br />
Die Reparaturzeit nach einem ungefährlichen Ausfall beträgt 8 Stunden<br />
Die Durchschnittstemperatur über einen langen Zeitraum beträgt 40 °C<br />
Die Beanspruchung ist für eine industrielle Umgebung durchschnittlich<br />
Alle Module werden in der Betriebsart mit niedriger Anforderungsrate betrieben<br />
Fehlerkategorien T [Test] = 1 Jahr T [Test] = 2 Jahre T [Test] = 5 Jahre SFF<br />
Fail Low (L) = sicher<br />
Fail High (H) = sicher<br />
Fail Low (L) = sicher<br />
Fail High (H) = gefährlich<br />
Fail Low (L) = gefährlich<br />
Fail High (H) = sicher<br />
Fail Low (L) = gefährlich<br />
Fail High (H) = gefährlich<br />
Tabelle 9.1 Beispiel für den Bericht zu einem SMART-Transmitter-Speisegerät<br />
Spalte Fehlerkategorien<br />
PFD und SFF dieses Gerätes hängen von der sicherheitstechnischen Gesamtfunktion<br />
und ihrer Fehlerreaktionsfunktion ab. Wenn z. B. ein Ausfall des Typs „Fail<br />
Low“ das System in einen sicheren Zustand versetzt und auch der Ausfall des Typs<br />
„Fail High“ vom Eingangskreis des Logiksystems erkannt wird, dann werden diese<br />
Komponentenfehler als ungefährlich betrachtet und die Werte in Zeile 1 können verwendet<br />
werden.<br />
Versetzt aber andererseits ein Ausfall des Typs „Fail Low“ das System in einen<br />
sicheren Zustand und der Ausfall „Fail High“ wird nicht erkannt und könnte zu einem<br />
Gefahr bringenden Zustand des Systems führen, dann ist dieser Fehler ein Gefahr<br />
bringender Fehler und die Werte aus Zeile 2 müssen verwendet werden.<br />
Spalten T [Test] und SFF<br />
PFD avg = 1,6 x 10 -4<br />
PFD avg = 2,2 x 10 -4<br />
PFD avg = 7,9 x 10 -4<br />
PFD avg = 8,6 x 10 -4<br />
PFD avg = 3,2 x 10 -4<br />
PFD avg = 4,5 x 10 -4<br />
PFD avg = 1,6 x 10 -3<br />
PFD avg = 1,7 x 10 -3<br />
-4 > 91 %<br />
PFDavg = 8,0 x 10<br />
PFDavg = 1,1 x 10<br />
-3 > 87 %<br />
-3 > 56 %<br />
PFDavg = 3,9 x 10<br />
-3 > 52 %<br />
PFDavg = 4,3 x 10<br />
<strong>Pepperl+Fuchs</strong> hat in seinen Betrachtungen die maximale PFD eines Interfacebausteins<br />
auf 10 % des maximal zulässigen Wertes für einen vorgegebenen SIL (in diesem<br />
Fall SIL2) beschränkt.<br />
Grün steht für einen PFD-Anteil kleiner als 10 % des Gesamtwertes für SIL2.<br />
Gelb steht für einen PFD-Anteil über 10 % des Gesamtwertes für SIL2.<br />
Die roten Werte in der Spalte SFF sind mit den Architekturbeschränkungen<br />
des vorgegebenen SIL (in diesem Fall SIL2) nicht zu vereinbaren. Eine<br />
SFF < 60 % beschränkt ein System mit einer Hardware-Fehlertoleranz von 0<br />
auf SIL1.<br />
33
34<br />
SIL-Handbuch<br />
Glossar/Formelsammlung<br />
10 Glossar/Formelsammlung<br />
10.1 Ausfallrate λ(t)<br />
Formel 1<br />
Formel 2<br />
Die Ausfallrate λ(t) gibt an, wie groß die relative Anzahl von Ausfällen während<br />
einer bestimmten Beobachtungszeit ist. Für eine einzelne Komponente ergibt sich<br />
daher aus der Ausfallrate λ unmittelbar die Ausfallwahrscheinlichkeit während der<br />
o. g. Beobachtungszeit. Es gilt:<br />
λ(t) =<br />
Zusammen mit den beiden nachfolgenden Definitionen ergibt sich hieraus:<br />
Definitionen:<br />
∆t = Beobachtungszeit<br />
n(t) = Anzahl funktionierender Komponenten zum Zeitpunkt t<br />
λ(t) =<br />
Anzahl der Ausfälle während einer bestimmten Beobachtungszeit<br />
Anzahl beobachteter Komponenten x Beobachtungszeit<br />
Die Einheit der Ausfallrate λ ist 1/Zeit. Hierbei wird die Ausfallrate von 10 -9 h -1 oft<br />
mit der Bezeichnung FIT (Failures In Time) abgekürzt.<br />
Normalerweise haben Komponenten und Systeme am Anfang ihres Lebens eine<br />
erhöhte Ausfallrate, die jedoch schnell abnimmt (sog. Frühausfälle). Nach kurzer<br />
Betriebsdauer erreicht die Ausfallrate einen Wert, der über einen längeren Zeitraum<br />
weitgehend konstant bleibt. Nach sehr langer Betriebsdauer ist in der Regel wieder<br />
ein Ansteigen der Ausfallrate zu beobachten, welches üblicherweise durch Verschleiß<br />
hervorgerufen wird. Aufgrund dieser Form des zeitabhängigen Verhaltens<br />
der Ausfallrate spricht man hier von einer „Badewannen-Kurve“.<br />
Ausfallrate [1/h]<br />
n(t) – n(t + ∆t)<br />
n(t) x ∆t<br />
0 2 4 6 8 10 12 14<br />
t<br />
Zeit [Jahre]<br />
Bild 10.1 Verhalten der Ausfallrate über einen längeren Zeitraum<br />
Beispiel:<br />
Es werden 10.000 Bauteile einem Lebensdauertest unterzogen. Hierbei fallen<br />
innerhalb einer Woche 3 Bauteile aus. Für die Ausfallrate ergibt sich dann:<br />
λ =<br />
1,60E -04<br />
1,40E -04<br />
1,20E -04<br />
1,00E -04<br />
8,00E -05<br />
6,00E -05<br />
4,00E -05<br />
2,00E -05<br />
0,00E +00<br />
10000 – 9997<br />
10000 x 7 x 24 h =<br />
3<br />
1680000 h ≈ 1,8 x 10-6 1<br />
h<br />
= 1800 FIT<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Glossar/Formelsammlung<br />
10.2 Konstante Ausfallrate λ<br />
Um Berechnungen zu vereinfachen, betrachtet man üblicherweise nur den Teil der<br />
Badewannenkurve, in dem die Ausfallrate konstant ist. Hierbei wird üblicherweise<br />
unterstellt, dass keine Frühausfälle zu beobachten sind bzw. diese bereits vor oder<br />
während der Inbetriebnahme (beim Hersteller oder während der Kommissionierung)<br />
auftreten. Weiterhin muss beachtet werden, dass alle Berechnungsergebnisse die<br />
unter der Annahme einer konstanten Ausfallrate ermittelt werden, nur solange gelten,<br />
wie kein Verschleiß auftritt. Bei elektronischen Geräten geht man üblicherweise<br />
davon aus, dass unter normalen Betriebsbedingungen nach 8 bis 12 Jahren Verschleißerscheinungen<br />
zu beobachten sind (EN 61508, Teil 2, Kapitel 7.4.7.4,<br />
Anmerkung 3).<br />
Formel 3 λ(t) = konst. = λ für t = 0 ... ≈ 10 Jahre<br />
10.3 Ausfallwahrscheinlichkeit F(t)<br />
Unter der Voraussetzung, dass die Ausfallrate λ(t) konstant ist („Boden der Badewannenkurve“),<br />
kann die Ausfallwahrscheinlichkeit einer Komponente leicht<br />
bestimmt werden. Es gilt:<br />
Formel 4 F(t) = 1 – e –λ x t<br />
Da in der Praxis der Exponent der e-Funktion betragsmäßig immer deutlich kleiner<br />
als 1 ist (λ x t
36<br />
SIL-Handbuch<br />
Glossar/Formelsammlung<br />
10.4 Wahrscheinlichkeits-Dichtefunktion f(t)<br />
Die Dichtefunktion f(t) der Ausfallwahrscheinlichkeit ergibt sich aus der Ableitung<br />
der Verteilungsfunktion F(t). Mit Hilfe der Wahrscheinlichkeitsdichte kann der<br />
Erwartungswert einer Zufallsgröße berechnet werden (hier: Erwartungswert der<br />
Lebensdauer MTTF, Mean Time To Failure).<br />
Die zeitliche Ableitung der Formel 4 ergibt:<br />
-λ x t<br />
Formel 6 f(t) = λ x e<br />
Hinweis<br />
10.5 Zuverlässigkeitsfunktion R(t)<br />
Wahrscheinlichkeits-Dichtefunktion [1/h]<br />
f (t)<br />
5 x 10 –6<br />
4 x 10 –6<br />
3 x 10 –6<br />
2 x 10 –6<br />
1 x 10 –6<br />
Bild 10.2 Ausfallwahrscheinlichkeit und Dichtefunktion<br />
Die Zuverlässigkeitsfunktion R(t) stellt die Wahrscheinlichkeit dar, dass eine Komponente<br />
ihre Funktion bis zu Zeitpunkt t erfolgreich ausführen wird.<br />
Da es sich bei der Zuverlässigkeitsfunktion R(t) um die zur Ausfallwahrscheinlichkeit<br />
F(t) komplementäre Größe handelt, kann diese leicht berechnet werden, indem<br />
die Ausfallwahrscheinlichkeit F(t) von 1 subtrahiert wird. Man erhält:<br />
Formel 7 R(t) = 1 – F(t) = 1 – (1 – e -λ x t )<br />
-λ x t<br />
R(t) = e<br />
0<br />
0 10 20 30 40 50<br />
t<br />
Zeit [Jahre]<br />
Man erkennt, dass am Anfang der Betriebszeit (hier z. B. bis etwa 8 Jahre) die<br />
Ausfallwahrscheinlichkeit näherungsweise linear mit der Zeit zunimmt.<br />
0,8<br />
0,6<br />
0,4<br />
0,2<br />
F (t)<br />
Ausfallwahrscheinlichkeit<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Glossar/Formelsammlung<br />
10.6 Mittlere Lebensdauer MTTF<br />
Formel 8<br />
Formel 9<br />
Achtung<br />
Aus der Dichtefunktion der Ausfallwahrscheinlichkeit kann die zu erwartende<br />
Lebensdauer wie folgt berechnet werden:<br />
Alternativ kann die mittlere Lebensdauer auch mit Hilfe der Zuverlässigkeitsfunktion<br />
R(t) wie folgt berechnet:<br />
10.7 Mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall PFD<br />
(Probability of Failure on Demand)<br />
Formel 10<br />
∞<br />
MTTF(t) = ∫<br />
0<br />
∞<br />
MTTF(t) = ∫<br />
0<br />
∞<br />
t x f(t)dt = ∫ t x λ x e<br />
0<br />
-λ x t dt = 1<br />
λ<br />
∞<br />
R(t)dt = ∫ e<br />
0<br />
-λ x t dt = 1<br />
λ<br />
Der Zusammenhang MTTF = 1/λ gilt nur für verschleißfreie Systeme. Da auch<br />
elektronische Geräte bzw. Bauteile Verschleiß haben, ist es i. a. nicht zulässig,<br />
den Kehrwert der (konstanten) Ausfallrate λ als MTTF zu bezeichnen.<br />
Für Sicherheitsfunktionen, die nur im Falle einer Störung benötigt werden, ist die<br />
„Versagenswahrscheinlichkeit im Anforderungsfall“ (Probability of Failure on<br />
Demand, PFD) von Interesse. Diese Versagenswahrscheinlichkeit stellt im Rahmen<br />
der IEC/EN 61508 ein wichtiges Kriterium zur qualitativen Bewertung einer Sicherheitsfunktion<br />
dar.<br />
Grundsätzlich handelt es sich bei der o. g. Versagenswahrscheinlichkeit um eine<br />
zeitabhängige Größe. D. h. je nachdem, wann die Sicherheitsfunktion benötigt wird,<br />
ist die Wahrscheinlichkeit für deren Versagen mehr oder weniger groß. Um eine<br />
möglichst einfache Aussage bezüglich der Zuverlässigkeit einer Sicherheitsfunktion<br />
zu erhalten und um die entsprechenden Berechnungen zu vereinfachen, wird im<br />
Rahmen der IEC/EN 61508 die erwähnte Zeitabhängigkeit durch Mittelwertbildung<br />
eliminiert (PFDavg ). Wenn im Folgenden daher von „PFD“ die Rede ist, wird darunter<br />
immer deren Mittelwert (also streng genommen die PFDavg ) verstanden.<br />
Bei der Berechnung der PFD müssen zwei verschiedene Fehlerarten betrachtet<br />
werden. Dies sind zum einen gefährliche unerkannte Fehler (Fehlerrate λdu) und<br />
zum anderen gefährliche erkannte Fehler (Fehlerrate λdd). Letztere beeinflussen<br />
deshalb die PFD, da im Falle des Auftretens eines derartigen Fehlers das entsprechende<br />
Gerät repariert werden muss. Während der Reparaturzeit (Mean Time To<br />
Repair, MTTR) ist die Sicherheitsfunktion nicht verfügbar, so dass im Anforderungsfall<br />
diese ausfällt. Geht man davon aus, dass eine Reparatur innerhalb weniger<br />
Stunden durchgeführt werden kann (z. B. durch Austausch des defekten Geräts)<br />
und die Fehlerrate λdd der gefährlichen erkannten Fehler nicht ungewöhnlich groß<br />
ist, so kann dieses Risiko jedoch vernachlässigt werden. Die Berechnungsformeln<br />
für die PFD werden dadurch vereinfacht. Für eine einkanalige Struktur (1oo1), welche<br />
regelmäßig im Zeitintervall T1 einer kompletten Überprüfung unterzogen wird,<br />
lautet die vereinfachte Formel zur PFD-Berechnung wie folgt:<br />
PFD 1oo1 = λ du x T 1<br />
2<br />
37
38<br />
SIL-Handbuch<br />
Glossar/Formelsammlung<br />
10.8 PFD-Berechnung bei mehrkanaligen MooN-Strukturen (M out of N)<br />
Formel 11<br />
Formel 12<br />
Formel 13<br />
Formel 14<br />
Formel 15<br />
Formel 16<br />
Um die Versagenswahrscheinlichkeit einer Sicherheitsfunktion zu verringern, werden<br />
Systeme oft redundant aufgebaut. In diesen Fällen kann die PFD des redundanten<br />
Systems aus den Ausfallraten der einzelnen Kanäle berechnet werden. Eine<br />
Besonderheit ergibt sich nach IEC/EN 61508 dadurch, dass bei einem Teil der<br />
möglichen Fehler unterstellt wird, dass diese in gleicher Weise auf alle Kanäle einwirken<br />
und somit für diese Art von Fehlern jegliche Redundanz unwirksam ist. Bei<br />
der PFD-Berechnung wird diesem Umstand durch die Einführung eines Faktors (β)<br />
Rechnung getragen. Der Faktor β gibt an, wie groß der Anteil von Fehlern ist, welche<br />
auf alle Kanäle gleichzeitig einwirken. Wirken sich z. B. 3 % der möglichen Fehler<br />
eines Kanals auch auf die restlichen Kanäle aus, so gilt: β = 0,03.<br />
Die Ermittlung des Faktors β geschieht mit Hilfe eines tabellarischen Bewertungssystems,<br />
wobei hier sowohl die Geräteeigenschaften als auch die Art der Installation<br />
und der Umfang des Qualitätsmanagementsystems eine Rolle spielen.<br />
Im Zuverlässigkeitsblockdiagramm stellt sich die Sache dann so dar, dass der<br />
mehrkanaligen (redundanten) Struktur eine einkanalige Struktur nachgeschaltet<br />
wird, deren Fehlerrate gleich der „Fehler mit gemeinsamer Ursache“ ist.<br />
Kanal 1<br />
(ohne gemeinsame Fehler)<br />
Kanal 2<br />
(ohne gemeinsame Fehler)<br />
gemeinsame<br />
Fehler<br />
Bild 10.3 Zuverlässigkeitsblockdiagramm<br />
Wird auch hier wieder – wie bei der o. g. einkanaligen Struktur – der Einfluss der<br />
Reparaturzeit vernachlässigt, so erhält man für verschiedene mehrkanalige Strukturen<br />
folgende vereinfachte Formeln zur Berechnung der PFD (siehe auch<br />
VDI/VDE 2180):<br />
PFD 1oo1 ≈ λ du x T 1<br />
2<br />
PFD 2oo2 ≈ λ du x T 1 = 2 x PFD 1oo1<br />
PFD1oo2 ≈ λdu x T 2 2<br />
1<br />
3<br />
+ β x λ du x<br />
PFD2oo3 ≈ λdu x T1 + β x λdu x T 2 2<br />
1<br />
2<br />
PFD 1oo3 ≈<br />
3 3<br />
λdu x T1 4<br />
+ β x λ du x<br />
PFD2oo4 ≈ λdu x T1 + β x λdu x T 3 3<br />
1<br />
2<br />
T 1<br />
2 = 4/3 x PFD2 1oo1 + β x PFD 1oo1<br />
= 4 x PFD 2 1oo1 + β x PFD 1oo1<br />
T 1<br />
2 = 2 x PFD3 1oo1 + β x PFD 1oo1<br />
= 8 x PFD 3 1oo1 + β x PFD 1oo1<br />
Ausgabedatum 2007-10-04 180661
Ausgabedatum 2007-10-04 180661<br />
SIL-Handbuch<br />
Literaturverzeichnis<br />
11 Literaturverzeichnis<br />
IEC/EN 61508, Teil 1 bis 7<br />
IEC/EN 61511, Teil 1 bis 3<br />
VDI/VDE 2180<br />
Wahrscheinlichkeitstheorie für Ingenieure<br />
Lothar Litz<br />
Hüthig<br />
Zuverlässigkeitstechnik<br />
Balbir S. Dhillon<br />
VCH<br />
Control system safety evaluation and reliability<br />
Williams M. Goble<br />
ISA<br />
Reliability Engineering, Theory and Practice<br />
A. Birolini<br />
Springer<br />
39
40<br />
SIL-Handbuch<br />
Notizen<br />
Ausgabedatum 2007-10-04 180661
Es gelten die Allgemeinen Lieferbedingungen für Erzeugnisse und Leistungen der Elektroindustrie,<br />
herausgegeben vom Zentralverband Elektrotechnik und Elektroindustrie (ZVEI) e.V.<br />
in ihrer neuesten Fassung sowie die Ergänzungsklausel: „Erweiterter Eigentumsvorbehalt“.
�<br />
�<br />
�<br />
�<br />
�<br />
��������������������<br />
�����������������������<br />
�������������������������������������������������������������������������������������������������������������������������<br />
�������������������������������������������������������������������������������������������������������������������������<br />
�������������� ��������������������� �������������� ����������� ���� ������� ���� ������� ���������������������� ����������<br />
�����������������������������������������������������������������������������������������������������������������������<br />
�����������������������������������������������������������������������������������������������������������������<br />
���������� ���� ����� ���� ������������ ��������� ��� �������� ������������� �� �������������� ���� ����� ���� �������� ���� ���������<br />
������������������������������������������������������������������������������������������������������������������������<br />
������������������������������������<br />
���������������������<br />
��������������������<br />
����������������������<br />
���������������������<br />
������������������������������������<br />
��������������<br />
������������������������<br />
��������<br />
������������������<br />
������������������������������������<br />
����������������������<br />
����������<br />
��������������������<br />
�������������������������<br />
������������������<br />
������������������������������������<br />
���������������������������<br />
�������������������������<br />
�����������<br />
��������������������<br />
������������������������������������<br />
���������������������<br />
��������������������<br />
����������������������<br />
��������������������<br />
������������������������������������<br />
�������������������<br />
�����������������������<br />
����������������<br />
��������������������<br />
������������������������������������<br />
��������������������������������<br />
�������������������������<br />
������������������<br />
������������������<br />
������������������������������������<br />
�������������������<br />
��������������������<br />
���������������������������������<br />
���������������������<br />
������������������������������������<br />
���������������������<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
�<br />
������������������������������������������������������������������������������������������������������������������������������������������������������<br />
�<br />
�<br />
�<br />
�