Products Solutions Services. Whitepaper. Funktionale Sicherheit in der Praxis

Transkript

1 Products Solutions Services Funktionale Sicherheit in der Praxis

2 Inhaltsverzeichnis 1 Einleitung 3 2 Projektabwicklung beim Betreiber Risikobewertung und Risikominderung Von den Gefahrenquellen zur Sicherheit Fehlerarten in Schutzeinrichtungen Management der Funktionalen Sicherheit Grenzen von Kennzahlen Probabilistik vs. Systematik Technische Anforderungen Qualifikation des Personals Voraussetzungen für eine gerichtsfeste Umsetzung 11 3 Entwurf und Planung von Schutzeinrichtungen Allgemeine Anforderungen Komponentenauswahl Funktionsfähigkeit Eignungsnachweis Benötigte Informationen Das Handbuch zur Funktionalen Sicherheit 14 4 Berechnung von Schutzeinrichtungen Vorbemerkungen Berechnungsformeln Beispielberechnungen Einkanalige Schutzeinrichtung Mehrkanalige Schutzeinrichtung 18 5 Lebenszyklus von PLT-Schutzeinrichtungen Inbetriebnahme Sichere Parametrierung Geräteverhalten im Normalbetrieb und bei Ausfällen Wiederholungsprüfung (Proof Test) Allgemeines 27 1/45

3 5.4.2 Einfluss des Proof Test Intervalls auf PFD avg Idealer Proof Test Proof Test Coverage Reparatur Modifikation Gebrauchsdauer 34 6 Anhang Informationsquellen Normen Relevante NAMUR-Empfehlungen Ausgewählte Internetquellen Berechnungsformeln nach IEC 61508: Übersicht Berechnungstools 38 7 Glossar 39 8 Dokumentenhistorie (nur für interne Zwecke!) 43 Dateiname: SIL DE 18. Januar /45

4 1 Einleitung Die Funktionale Sicherheit ist ein in der Prozessindustrie nach wie vor sehr intensiv diskutiertes Thema. Dieses Dokument ist eine Ergänzung zur Endress+Hauser Publikation CP01008Z Funktionale Sicherheit SIL und setzt die dort vermittelten Grundlagen der Funktionalen Sicherheit voraus. Es werden weiterführende Informationen für fortgeschrittene Praktiker geliefert, ohne zu sehr die Normensprache zu benutzen. Für genauere Informationen ist ein Studium der entsprechenden Literatur und der einschlägigen Normen empfehlenswert. Die Angaben in dieser Publikation wurden nach bestem Wissen zusammengestellt. Eine Haftung für die Inhalte kann jedoch nicht übernommen werden. 2 Projektabwicklung beim Betreiber 2.1 Risikobewertung und Risikominderung Zur Beurteilung der Risikominimierung in der Funktionalen Sicherheit sind die sicherheitstechnischen Kennzahlen ein hilfreiches Instrument. Der angestrebte Sicherheitsintegritätslevel (SIL) charakterisiert das Maß der erreichbaren Minderung des vorliegenden Risikos. Die Beurteilung des vorliegenden Risikos und die Risikominderung sind Aufgaben des Anlagenbetreibers. Der Betreiber stellt anhand von bewährten Methoden (z. B. Risikograph, HAZOP, LOPA) das Risiko seiner Anlage und die benötigte Risikominderung fest. Hierzu legt er den sicheren Zustand fest und verwendet geeignete Maßnahmen, die die geforderte Sicherheitsfunktion ausführen und sicherstellen können. Es ist zu beachten, dass trotz aller Sicherheitsmaßnahmen ein Restrisiko verbleibt. Ausfälle, die nicht erkannt werden und damit nicht in den sicheren Zustand gehen, bleiben als Restrisiko im System. Der Anlagenbetreiber muss dafür sorgen, dass das Restrisiko geringer als das tolerierbare Risiko ist. Es gibt verschiedene Maßnahmen zur Risikominimierung (siehe Abbildung 1). In diesem Dokument werden nur die risikominimierenden Maßnahmen durch PLT-Schutzeinrichtungen beschrieben. Dateiname: SIL DE 18. Januar /45

5 Abbildung 1: Maßnahmen zur Risikominderung in Anlagen 2.2 Von den Gefahrenquellen zur Sicherheit Die Betreiber von sicherheitstechnischen Anlagen müssen während des gesamten Lebenszyklus geeignete Maßnahmen zur Risikobeurteilung und Risikominderung ergreifen. Hierzu schreibt die Norm IEC bestimmte Schritte vor: Risikodefinition und -bewertung nach detaillierten Versagenswahrscheinlichkeiten für den gesamten Sicherheitskreis vom Sensor über die Steuerung bis zum Stellglied (Aktor) über den gesamten Sicherheits-Lebenszyklus (Safety Lifecycle). Festlegung und Umsetzung der Maßnahmen (Management der Funktionalen Sicherheit). Einsatz geeigneter (qualifizierter) Geräte. Die IEC konkretisiert dies für sicherheitstechnische Anlagen wie folgt: Dateiname: SIL DE 18. Januar /45

6 Abbildung 2: Von den Fehlerquellen zur Sicherheit 2.3 Fehlerarten in Schutzeinrichtungen In Schutzeinrichtungen können die folgenden Fehlerarten auftreten: Systematische Fehler Zufällige Fehler (zufällige Ausfälle) Dateiname: SIL DE 18. Januar /45

7 Nach VDI/VDE 2180 Blatt 5 können die Fehler beim Einsatz von Geräten in Schutzeinrichtungen wie folgt beherrscht werden: Abbildung 3: Maßnahmen gegen verschiedene Fehlertypen (Quelle: VDI/VDE 2180 Blatt 5) 2.4 Management der Funktionalen Sicherheit Jeder Betreiber sicherheitstechnischer Anlagen sollte ein System zum Management der Funktionalen Sicherheit aufbauen. Nachfolgend ist als Praxisbeispiel das System zum Management der Funktionalen Sicherheit (Inhaltsverzeichnis) eines Betreibers wiedergegeben. Dateiname: SIL DE 18. Januar /45

8 Inhaltsverzeichnis 1 Ziel / Zweck 2 Begriffe und Abkürzungen 3 Geltungsbereich 4 Organisation im Sicherheitslebenszyklus 4.1 Sicherheitsplan 4.2 Delegation der Verantwortung Planungsteam Beurteilungsteam 4.3 Risikobetrachtung Betrachtung der Risiken im Rahmen der HAZOP Zuordnung des Geltungsbereichs der jeweiligen Norm Einstufung der sicherheitstechnischen Systeme (SIS) 4.4 Erstellung des Lastenhefts 4.5 Erstellung des Pflichtenhefts 4.6 Implementierung der Software 4.7 Verifizierung der Software 4.8 Montage und Inbetriebnahme 4.9 Validierung 4.10 Betrieb und Instandhaltung 4.11 Außerbetriebnahme 5 Änderungsmanagement 6 Prüfungen im Sicherheitslebenszyklus 6.1 Zweck 6.2 Durchzuführende Prüfungen Prüfung des Lastenhefts Prüfung des Pflichtenhefts Verifizierung der Software Überprüfung der ordnungsgemäßen Durchführung von Montage und IBN Validierung 7 Auditierung (Prüfung betrieblicher Qualitätsmerkmale) 7.1 Zweck 7.2 Planung und Durchführung (Mindestanforderungen) Delegieren der Verantwortlichkeiten Festlegen des Umfangs Festlegen der Häufigkeit Durchführung des Audits Dokumentation und Auswertung der Ergebnisse 8 Mitgeltende Unterlagen 9 Änderungsdienst 10 Requirement-Index Abbildung 4: Beispielhafter Aufbau eines Functional Safety Management Systems Dateiname: SIL DE 18. Januar /45

9 2.5 Grenzen von Kennzahlen Probabilität vs. Systematik Für die Bewertung des Restrisikos sind nicht nur die aus den zufälligen Ausfällen resultierenden sicherheitstechnischen Kennzahlen relevant, sondern auch systematische Fehler haben einen Einfluss. Diese entstehen z. B. durch Nichtbeachtung von Randbedingungen im Einsatzgebiet. Betreiber und Anlagenplaner müssen die vom Gerätehersteller in der Sicherheitsdokumentation veröffentlichten Bedingungen und Einschränkungen beachten. Eine Nichteinhaltung kann negative Einflüsse auf die korrekte Ausführung der Sicherheitsfunktion haben. Beispielsweise kann eine Überschreitung der zulässigen Umgebungstemperatur die Messgenauigkeit verschlechtern. Zur Reduzierung der systematischen Fehler sind Systeme zum Management der Funktionalen Sicherheit sowohl beim Hersteller als auch beim Betreiber eine wichtige Voraussetzung für den sicheren und zuverlässigen Betrieb. Zufällige Geräteausfälle werden mit Methoden der Probabilität bewertet. Diese Ausfälle werden durch interne Diagnosemaßnahmen erkannt, die das Gerät in den sicheren Zustand überführt. Für die Beurteilung des Restrisikos in der Anlage ist also die gemeinsame Betrachtung von sicherheitstechnischen Kennzahlen und der Vermeidung von systematischen Fehlern unbedingt erforderlich. Dateiname: SIL DE 18. Januar /45

10 Systematische Fehler Anlagen Fehlerhafte Auslegung Keine Fehlerhafte Montage Fehlerhafte Inbetriebnahme Fehlerhafter Betrieb Fehlerhafte Wartung Prozesseinflüsse Programmierfehler in der Anwendungssoftware Höhere Gewalt (Blitz, Überspannung, ) Prüffehler Zufällige Ausfälle Geräte Spezifikationsfehler Bauteilausfälle Falsche Dimensionierung Auslegung von Bauteilen Entwurfsfehler Programmierfehler in Firmware und Systemsoftware Prüffehler Soft errors Tabelle 1: Unvollständige Auflistung systematische Fehler und zufällige Ausfälle bei Anlagen und Geräten 2.6 Technische Anforderungen Zur Beurteilung der Eignung von Geräten für Schutzeinrichtungen (Sensoren, Steuerungen, Aktoren, Interfacebausteine) lassen sich prinzipiell die folgenden Methoden verwenden. Eignungsnachweis durch Zertifizierung Welche Datenbasis liegt der Einstufung zugrunde? Wie wurden die Daten gewonnen? Welche Auflagen sind mit dem Einsatz verbunden? Dateiname: SIL DE 18. Januar /45

11 Eignungsnachweis durch Betriebsbewährung Nachweis durch den Hersteller Nachweis durch den Betreiber Eignungsnachweis durch Baumusterprüfung (bis SIL 2) Die Grenzen dieser Betrachtungen sind: Keine Bewertung der Prozessanschlüsse und Verbindungsleitungen Keine Basiswerte für mechanische Komponenten Zeitbetrachtungen (Reaktionszeiten) kritisch Generell ist eine Standardisierung bei Hardware und Software vorteilhaft. 2.7 Qualifikation des Personals Das für sicherheitstechnische Anlagen zuständige Personal sollte wie folgt befähigt sein: Einsatz von Fachleuten Kontinuierliche Weiterbildung Regelmäßiger Erfahrungsaustausch Einsatz gleicher Teams für gleiche Anforderungen Für ein effektives Sicherheitsmanagement von Schutzeinrichtungen sollte ein Planungsteam und ein Beurteilungsteam eingerichtet werden, die nach dem Vier-Augen-Prinzip arbeiten. Forderungen an das Planungsteam: Technische Wissen bezogen auf Verfahrenstechnik, verwendete Technologien und verwendete Technik. Sicherheitstechnische Wissen bezogen auf Kenntnis der Gesetze, Normen und Richtlinien, sowie Stand der Sicherheitstechnik. Forderungen an das Beurteilungsteam: Festlegung welche anderen Sicherheitsfachgruppen bei der Beurteilung mitwirken sollen. Festlegung, welche Mittel erforderlich sind, um die Beurteilung vollständig durchführen zu können. Unabhängigkeit vom Planungsteam Dateiname: SIL DE 18. Januar /45

12 2.8 Voraussetzungen für eine gerichtsfeste Umsetzung Zusammenfassend lässt sich feststellen, dass eine gerichtsfeste und kostengünstige Umsetzung von sicherheitsbezogenen Systemen beim Betreiber unter anderem durch die folgenden Maßnahmen erzielt werden kann: Erstellung eines Systems zum Management der Funktionalen Sicherheit Standardisierung bei Hardware und bei Software (z. B. Verwendung zertifizierter oder betriebsbewährter Komponenten) Dokumentation von Vorgaben und Tätigkeiten / Nachweisen Einsatz von Fachpersonal 3 Entwurf und Planung von Schutzeinrichtungen Ist das Anlagenrisiko ermittelt, kann mit dem Entwurf und der Planung von geeigneten Schutzeinrichtungen begonnen werden. Hierbei wird die Lektüre von VDI/VDE 2180 (insbesondere Blatt 3) empfohlen. 3.1 Allgemeine Anforderungen Folgende allgemeinen Anforderungen sollten bei PLT-Schutzeinrichtungen unter anderem berücksichtigt werden: Der Aufbau einer Schutzeinrichtung soll einfach und übersichtlich sein. Die kritische Messgröße soll möglichst direkt gemessen werden. Eine Schutzeinrichtung soll während des Betriebs grundsätzlich nicht geändert werden. Vorteilhaft ist eine strikte Trennung der PLT-Schutzeinrichtungen und der PLT-Betriebsund Überwachungseinrichtungen. 3.2 Komponentenauswahl Funktionsfähigkeit Unter anderem die folgenden Einflüsse können die Funktionale Sicherheit von Komponenten beeinträchtigen. Dies sollte bei der Komponentenauswahl beachtet werden. Umgebungseinflüsse: Mechanische Einflüsse (z. B. Vibration, Stoß, Schlag, statische Kräfte) Korrosion und sonstiger chemischer Angriff Verschmutzung Temperatur Feuchte Spannungsversorgung (Überspannung, Unterspannung) Elektromagnetische Einflüsse Radioaktivität Einflüsse von Prozessmedien: Dateiname: SIL DE 18. Januar /45

13 Mechanische Einflüsse (z. B. Pulsation, Turbulenz, Kavitation) Physikalische Einflüsse Chemische Einflüsse Thermische Einflüsse Eignungsnachweis Alle Komponenten von PLT-Schutzeinrichtungen müssen einen Eignungsnachweis haben. Hierfür gibt es die folgenden Möglichkeiten: 1. Komponenten mit Nachweis der Funktionalen Sicherheit des Herstellers: Der Nachweis erfolgt durch den Gerätehersteller in der Regel über ein Zertifikat einer externen benannten Prüfstelle. 2. Betriebsbewährte Komponenten (Feststellung der Betriebsbewährung mit Unterstützung des Herstellers): Die Betriebsbewährung eines Geräts für einen bestimmten Einsatzfall kann vom Anwender unter Einbeziehung einer Herstellererklärung festgestellt werden. 3. Betriebsbewährte Komponenten (Feststellung der Betriebsbewährung durch den Betreiber): Der Betreiber kann für die in seiner Anlage verwendeten Komponenten ohne SIL-Zertifikat eine Betriebsbewährung durch eine von ihm selbst erstellte Erklärung dokumentieren. Diese Betreibererklärung hat nur Gültigkeit für den Einsatz der entsprechenden Komponente in Anlagen des erstellenden Betreibers. Nach den Optionen 2 und 3 bewertete Komponenten haben sich im praktischen Einsatz unter vergleichbaren Bedingungen bewährt. Ihr Einsatzbereich ist hierdurch allerdings beschränkt. Nach Option 1 bewertete Geräte können prinzipiell in allen sicherheitsbezogenen Anwendungen eingesetzt werden. Der Eignungsnachweis beim Anwender erfolgt durch ein verkürztes Verfahren der Betriebserprobung in verschiedenen Anwendungen (siehe z. B. NAMUR-Empfehlung NE 130) Benötigte Informationen Zur Planung und Auslegung von PLT-Schutzeirichtungen müssen die folgenden Informationen zu den sicherheitsgerichteten Komponenten vorab durch die Hersteller zur Verfügung gestellt werden bzw. durch den Betreiber vorab geprüft werden: Gerätebezeichnung und zulässige Ausführungen Sicherheitsfunktion des Geräts Sicherheitsbezogenes Ausgangssignal des Geräts Gerätetyp (A oder B) Betriebsart (low demand mode, high demand mode) Gültige Hardware-Version Gültige Software-Version Art der Bewertung des Geräts (vollständige Bewertung nach IEC 61508, Bewertung über Betriebsbewährung, Bewertung durch Auswertung von Felddaten (prior use nach IEC 61511), FMEDA) Ist ein Handbuch zur Funktionalen Sicherheit vorhanden? Systematische Sicherheitsintegrität Dateiname: SIL DE 18. Januar /45

14 Hardware Sicherheitsintegrität Ausfallraten (λ SD, λ SU, λ DD, λ DU) Hat eine externe Prüfstelle die Bewertung durchgeführt? Verfügt der Hersteller über ein Management der Funktionalen Sicherheit? Gibt es beim Hersteller ein firmeninternes Qualitätsmanagement: Wie geht der Hersteller bzgl. Information von zukünftig bekannt gewordenen sicherheitsrelevanten systematischen Fehlern um? Anmerkungen zu den Ausfallraten: Es kann angenommen werden, dass verschiedene Gerätehersteller verschiedene Methoden und Tools bei der Bestimmung von Ausfallraten ihrer Geräte verwenden. Auch die zugrunde gelegte Datenbasis und die betrachteten Einsatztemperaturen können sich unterscheiden. Zudem gibt es bei verschiedenen Herstellern Unterschiede im bewerteten Umfang der Geräte (z. B. Ausfälle von Mechanik-Komponenten berücksichtigt oder nicht). Aus diesen Gründen können die angegebenen Ausfallraten verschiedener Gerätehersteller nicht direkt verglichen werden. Sie stellen somit auch keine Aussage über die Qualität der Geräte dar. Es wird den Betreibern deshalb empfohlen, Maximalwerte für die akzeptierten Ausfallraten festzulegen. Alle Geräte, deren Bewertungen unter diesen Maximalwerten liegen, sind prinzipiell einsetzbar. Dateiname: SIL DE 18. Januar /45

15 3.3 Das Handbuch zur Funktionalen Sicherheit Das Handbuch zur Funktionalen Sicherheit (Safety Manual) ist ein wichtiger Bestandteil eines Geräts für den sicherheitsbezogenen Einsatz. Es ist seit IEC 61508:2010 normativ gefordert (IEC :2010, Anhang D). Es muss alle Informationen enthalten, um die Integration eines Geräts in ein sicherheitsbezogenes System zu ermöglichen. Diese sind im Wesentlichen: Aufbau des Messsystems Sicherheitsfunktion Zulässige Gerätetypen (z. B. zulässige Hardware- und Softwareversion) Beschreibung der Installation, Inbetriebnahme, Bedienung, Wartung, Reparatur, Modifikation und Außerbetriebnahme (Sicherheitslebenszyklus) Einschränkungen für die Anwendung im sicherheitsbezogenen Betrieb Ausfallraten (λ SD, λ SU, λ DD, λ DU) Gerätetyp (A oder B) Hardware Fehlertoleranz Systematic capability Geräteverhalten im Betrieb Wiederholungsprüfung (Beschreibung und Empfehlungen) 4 Berechnung von Schutzeinrichtungen 4.1 Vorbemerkungen Eine PLT-Schutzeinrichtung besteht aus drei wesentlichen Teilen (siehe Abbildung 5): Sensorteil Logikteil Aktorteil Sensor- und Aktorteile können wiederum aus mehreren Sensor- und Aktorgruppen bestehen. Zusätzlich sind Interfacekomponenten wie Messumformer-Speisegeräte zu berücksichtigen. Jede dieser MooN-Gruppen besteht aus N Kanälen, wobei M davon zur Erfüllung der Schutzfunktion ausreichend sind. Dateiname: SIL DE 18. Januar /45

16 Abbildung 5: Strukturübersicht einer PLT-Schutzeinrichtung Ein rechnerischer Nachweis für Schutzeinrichtungen ist in IEC :2016, Abschnitt gefordert. 4.2 Berechnungsformeln Für Berechnungsformeln zu PFD avg und PFH gibt es die folgenden Quellen: Quelle VDI/VDE 2180 Blatt 4, Abschnitt 6.1 IEC :2000, Anhang B IEC :2010, Anhang B Inhalt Näherungsformeln für PFD avg für verschiedene Architekturen MooN. Die angegebenen Bedingungen für die Anwendbarkeit der Formeln sind zu beachten. Formeln für PFD avg und PFH (ohne Berücksichtigung der Proof Test Coverage (PTC) und Einsatzdauer). Formeln für PFD avg und PFH (mit Berücksichtigung der Proof Test Coverage (PTC) und Einsatzdauer). Es ist nur die Formel für die Architektur 1oo2 explizit angegeben. Für die Betrachtung in diesem Kapitel werden die Näherungsformeln aus VDI/VDE 2180 Blatt 4 herangezogen. Dateiname: SIL DE 18. Januar /45

17 Die Näherungsformeln lauten: Bedeutung der Formelzeichen: PFD λ DU T 1 Durchschnittliche Wahrscheinlichkeit eines Ausfalls der PLT-Schutzeinrichtung bei Anforderung, im Weiteren bezeichnet als PFD avg Ausfallrate der gefährlichen unerkannten Ausfälle Zeitintervall für Wiederholungsprüfungen (Angabe in Stunden) β Anteil der unerkannten Ausfälle gemeinsamer Ursache (Common Cause Faktor). Eine Methode zur Ermittlung von β wird in IEC Anhang D angegeben. In der Praxis liegt der Wert von β meist im Bereich 5 % bis 10 %. Die exakten Berechnungsformeln in Anlehnung an IEC :2010 sind in Kapitel 6.2 angegeben. 4.3 Beispielberechnungen In diesem Abschnitt werden auf Basis der Näherungsformeln Beispielberechnungen durchgeführt. Dabei wird angenommen, dass die einzelnen Komponenten für das Erreichen des geforderten SIL-Levels geeignet sind. Die in den Berechnungen verwendeten Parameter sind beispielhaft. Wichtiger Hinweis: Die gezeigten Berechnungen beziehen sich ausschließlich auf die zufälligen Ausfälle. Zusätzlich muss eine PLT-Schutzeinrichtung immer hinsichtlich ihrer systematischen Integrität überprüft werden. Anmerkung: Die nachfolgend betrachteten Beispiele sind sehr vereinfacht dargestellt und dienen ausschließlich zum grundlegenden Verständnis. Für eine exakte Berechnung können diese Beispiele nicht herangezogen werden! Dateiname: SIL DE 18. Januar /45

18 4.3.1 Einkanalige Schutzeinrichtung Beispiel: Einkanalige Drucküberwachung Blockschaltbild: (AI = analog input, CPU = central processing unit, DO = digital output) Verwendete Näherungsformel: Parameter (Beispielwerte) und Einzelergebnisse: Komponente Sensor Interface Sicherheits SPS Interface Aktor AI CPU DO λ DU [1/h] 6, , , , , , , T 1 [h] Hardware Safety Integrity Systematic Safety Integrity PFD avg (1oo1) 2, , , , , , , Gesamtergebnis: PFD avg = = Dateiname: SIL DE 18. Januar /45

19 Diese Schutzeinrichtung ist rechnerisch geeignet für Sicherheitsfunktionen bis SIL 2 (PFD avg < ). Die Überprüfung der systematischen Eignung ergibt SIL 3 (siehe Tabelle). Anmerkung: Einige Komponenten besitzen eine Hardware Safety Integrity von SIL 2. Daraus folgt, dass die gesamte Schutzeinrichtung nur für Sicherheitsfunktionen bis SIL 2 einsetzbar ist Mehrkanalige Schutzeinrichtung In diesem Abschnitt verwendete Parameter für die Berechnung (Beispielwerte): Komponente Sensor Interface Sicherheits SPS Interface Aktor AI CPU DO λ DU [1/h) 6, , , , , , , T 1 [h] Hardware Safety Integrity Systematic Safety Integrity Homogen redundantes Sensorteilsystem Beispiel: Drucküberwachung mit homogen redundantem Sensor-Subsystem in Auswahlschaltung 1oo2 Blockschaltbild: Dateiname: SIL DE 18. Januar /45

20 Verwendete Näherungsformeln: Dateiname: SIL DE 18. Januar /45

21 Vorgehensweise bei der Berechnung: Durchführung der Berechnung: Dateiname: SIL DE 18. Januar /45

22 Gesamtergebnis: PFD avg = 8, Diese Schutzeinrichtung ist rechnerisch geeignet für Sicherheitsfunktionen bis SIL 3 (PFD avg < ). Es ist zu beachten, dass das Aktor-Interface und der Aktor nur einkanalig ausgeführt sind und eine Hardware Safety Integrity von SIL 2 besitzen. Daraus folgt, dass die gesamte Schutzeinrichtung nur für Sicherheitsfunktionen bis SIL 2 einsetzbar ist Homogen redundantes Sensor- und Aktorteilsystem Beispiel: Drucküberwachung mit homogen redundantem Sensor-Subsystem in Auswahlschaltung 2oo3 und homogen redundantem Aktor-Subsystem in Auswahlschaltung 1oo2. Anmerkung: Aus Gründen der Verfügbarkeit wird die Auswahlschaltung 2oo3 häufig der Auswahlschaltung 1oo2 vorgezogen. Dateiname: SIL DE 18. Januar /45

23 Blockschaltbild: Verwendete Näherungsformeln: Vorgehensweise bei der Berechnung: Dateiname: SIL DE 18. Januar /45

24 Durchführung der Berechnung: Dateiname: SIL DE 18. Januar /45

25 Gesamtergebnis: PFD avg = Diese Schutzeinrichtung ist geeignet für Sicherheitsfunktionen bis SIL 3 (PFD avg < ). Dateiname: SIL DE 18. Januar /45

26 5 Lebenszyklus von PLT-Schutzeinrichtungen Beim Betrieb von PLT-Schutzeinrichtungen müssen gegenüber Standardkomponenten zusätzliche Aspekte beachtet werden. Diese sind in den nachfolgenden Abschnitten zusammengefasst. 5.1 Inbetriebnahme Vor der Inbetriebnahme von sicherheitsbezogenen Geräten muss die folgende Dokumentation vorhanden sein: Betriebsanleitung Handbuch zur Funktionalen Sicherheit (Functional Safety Manual) Betreibervorgabe (z. B. eigene Werksdokumentation) Das Vorgehen bei der Inbetriebnahme ist wie folgt: Standard-Inbetriebnahme laut Betriebsanleitung Gerät für sicherheitsbezogenen Einsatz parametrieren und verriegeln, falls im Handbuch zur Funktionalen Sicherheit gefordert Die Inbetriebnahme darf von jeder Fachkraft des Betreibers oder des Herstellers oder einer Fremdfirma durchgeführt werden. Hierbei sind Betriebsanleitung und Handbuch zur Funktionalen Sicherheit zwingend zu beachten. Die Inbetriebnahme sollte wie folgt dokumentiert werden: Inbetriebnahmeprotokoll erstellen (z. B. nach Kundenvorgabe oder nach Vorschlag in Handbuch zur Funktionalen Sicherheit) Ablage und Verwaltung der Inbetriebnahmedokumentation durch den Betreiber 5.2 Sichere Parametrierung Die sichere Parametrierung hat zum Ziel, dass alle für die Sicherheitsfunktion notwendigen Parameter eingestellt und auf Korrektheit kontrolliert werden müssen. Darüber hinaus werden die Parameter durch eine Verriegelung gegen Manipulation während der Ausführung der Sicherheitsfunktion geschützt. Zur Aktivierung der Sicherheitsfunktion (SIL-Betrieb) muss eine Bediensequenz durchgeführt werden. Die Bedienung kann über eine Vor-Ort-Anzeige (falls vorhanden) oder mittels eines Bedientools (z. B. FieldCare) erfolgen. Dabei werden beim Durchlaufen der Inbetriebnahmesequenz kritische Parameter entweder automatisch vom Gerät auf Standardwerte gestellt oder zur Vor-Ort-Anzeige/zum Bedientool übertragen, um die Einstellung zu kontrollieren und die Korrektheit zu bestätigen. Nach erfolgter Parametrierung muss der SIL-Betrieb des Geräts mit einem SIL-Verriegelungscode aktiviert werden. Die gerätespezifische Parametrierung kann den zugehörigen Handbüchern zur Funktionalen Sicherheit entnommen werden. Dateiname: SIL DE 18. Januar /45

27 5.3 Geräteverhalten im Normalbetrieb und bei Ausfällen Das sicherheitsbezogene Ausgangssignal eines Gerätes zeigt abhängig vom Gerätezustand ein unterschiedliches Verhalten. Dies wird in nachfolgender Tabelle am Beispiel eines Ausgangssignals 4 20 ma verdeutlicht (siehe Abbildung 6). Gerätezustand Erklärung Geräteverhalten Normalbetrieb Keine Geräteausfälle 1 Das Gerät verhält sich innerhalb der Spezifikation. Ausfall λ SD Sicherer erkannter Ausfall 3 Das Gerät gibt ein Ausfallsignal aus. Ausfall λ SU Sicherer unerkannter Ausfall 2 Das Ausgangssignal liegt innerhalb des festgelegten Toleranzbands. Ausfall λ DD Ausfall λ DU Gefährlicher erkannter Ausfall Gefährlicher unerkannter Ausfall 3 Das Gerät gibt ein Ausfallsignal aus. 4 Das Ausgangssignal kann außerhalb des festgelegten Toleranzbands liegen. A High-Alarm ( 21,0 ma) B Toleranzband (z. B. ± 2 %) C Low-Alarm ( 3,6 ma) Abbildung 6: Geräteverhalten im Normalbetrieb und bei Ausfällen Dateiname: SIL DE 18. Januar /45

28 5.4 Wiederholungsprüfung (Proof Test) Allgemeines Sicherheitsgerichtete Geräte müssen in angemessenen Abständen auf ihre Funktionsfähigkeit überprüft werden. Die hierfür maßgebliche Größe ist das Zeitintervall für Wiederholungsprüfungen (Proof Test Intervall T 1). Dieser Wert geht in die Berechnung der Kenngröße PFD avg ein und ist so zu wählen, dass PFD avg im für den angestrebten SIL geforderten Bereich liegt. Wiederholungsprüfungen dienen der Aufdeckung von gefährlichen unerkannten Ausfällen (dangerous undetected λ du) in einem sicherheitsbezogenen System. Ziel ist es, das System, so nah wie unter praktischen Gesichtspunkten möglich, an einen Wie-Neu-Zustand zu führen. Es liegt in der Verantwortung des Betreibers, die Art der Überprüfung und die Zeitabstände (T 1) zu wählen. Die Prüfung ist so durchzuführen, dass die einwandfreie Funktion der Sicherheitseinrichtung im Zusammenwirken aller Komponenten nachgewiesen wird. Dabei können die Zeitabstände (Proof Test Intervalle) für Teilsysteme unterschiedlich lang sein. Die Proof Tests müssen vom Betreiber durchgeführt, dokumentiert und verwaltet werden. Hierzu sollte ein Proof Test Protokoll erstellt werden. Die Durchführung des Proof Tests erfolgt nach Vorschlag des Herstellers im Handbuch zur Funktionalen Sicherheit oder nach Betreibervorgabe. Für einen geregelten Ablauf der Wiederholungsprüfungen wird die Erstellung eines Prüfplans mit Regelung des zeitlichen Ablaufs empfohlen. In einer Prüfanweisung sollte die Prüfdurchführung detailliert beschrieben sein. Die Prüfdokumentation sollte nachvollziehbar und dauerhaft verfügbar sein. Die IEC erlaubt sowohl die Wiederholungsprüfung der gesamten Schutzeinrichtung als auch die Prüfung von Teilsystemen Einfluss des Proof Test Intervalls auf PFD avg Ausfälle unterliegen einer Exponential-Verteilung. Die Ausfallrate λ ist konstant bezogen auf die Zeit t und es gilt folgende Gleichung für die Zuverlässigkeitsfunktion R(t). R (t) = e λ t Die Zuverlässigkeit gibt an, wie hoch die Wahrscheinlichkeit ist, dass eine Komponente für eine gewisse Zeitdauer den Anforderungen genügt. Die Ausfallwahrscheinlichkeit P(t) gibt per Definition die Wahrscheinlichkeit an, dass eine Komponente vor Erreichen eines bestimmten Zeitpunktes ausgefallen ist. Die Ausfallwahrscheinlichkeitsfunktion P(t) = PFD (t) wird wie folgt beschrieben. PFD(t) = P(t) = 1 R(t) = 1 e λ t Dateiname: SIL DE 18. Januar /45

29 Vereinfachung: Unter der Annahme, dass x 1 ist, folgt für die Funktion: 1 e x x Daraus folgt dann für PFD (t) unter den Bedingungen λ = konstant und λ t 1 PFD(t) = λ t Die Ausfallrate λ setzt sich wie folgt zusammen: λ = λ DU + λ DD Dabei muss für λ DD die Zeitdauer der Reparatur-Ausfallzeit (MTTR) berücksichtig werden und für λ DU die gesamte Laufzeit einschließlich MTTR. Daraus folgt dann: PFD(t) = λ DU (t + MTTR) + λ DD MTTR In der Praxis werden die Anteile, die durch MTTR verursacht werden für die Berechnung von PFD (t) vernachlässigt. Mit der Annahme, dass MTTR = 8h << der Betriebszeit t ist, folgt dann: PFD(t) = λ DU t Da es sich bei der Ausfallwahrscheinlichkeit um einen linearen Verlauf handelt, kann der Mittelwert einfach durch das Integral von PFD (t) berechnet werden. PFD avg = 1 t T 1 PFD(t) dt 0 PFD avg = λ DU ( T MTTR) + λ DD MTTR Auch hier kann wieder die Näherung aus der Praxis herangezogen werden und die Anteile von MTTR vernachlässigt werden, da MTTR << t. Daraus folgt dann: PFD avg = 1 2 λ DU T 1 Dateiname: SIL DE 18. Januar /45

30 5.4.3 Idealer Proof Test Abbildung 7 zeigt den Idealfall einer Wiederholungsprüfung unter Verwendung der oben hergeleiteten Formeln. Dieser Idealfall tritt in der Praxis allerdings nicht auf, da es keine perfekte Wiederholungsprüfung gibt. Bei einer realen Wiederholungsprüfung ist die Proof Test Coverage zu berücksichtigen. T Proof Test Coverage Abbildung 7: Idealfall einer Wiederholungsprüfung Die Wirksamkeit der Wiederholungsprüfung wird durch die Proof Test Coverage (PTC) ausgedrückt. Diese beschreibt, wie nah ein System an den Wie-Neu-Zustand gebracht werden kann. Eine Wiederholungsprüfung umfasst Tests aller Sicherheitsfunktionen. Falls für die Schutzeinrichtung mehrere Kanäle verwendet werden, sind diese Prüfungen für jeden Kanal getrennt auszuführen. Die Proof Test Coverage hat einen großen Einfluss auf das Prüfergebnis und somit auf den Wert von PFD avg und den erreichbaren SIL. PTC ist abhängig vom Prüfablauf und in den Handbüchern zur Funktionalen Sicherheit angegeben. Sinkt die PTC, steigt der nicht geprüfte Anteil über die Zeit an. Dies ist in den folgenden Abbildungen exemplarisch für verschiedene Werte der PTC (99 % - aufwendige Prüfprozedur, 90 %, 50 % - einfache Prüfprozedur) und für ein Proof Test Intervall von T 1 = 1 Jahr gezeigt. Zur Berechnung der mittleren Ausfallswahrscheinlichkeit wird die Näherung aus folgender Formel verwendet: PFD avg = λ DU ( T MTTR) PTC + λ DU ( T 2 + MTTR) (1 PTC) + λ DD MTTR Dateiname: SIL DE 18. Januar /45

31 PFD avg = 1 2 λ DU T 1 PTC λ DU T (1 PTC) (T gesamte Betriebszeit des Systems, hier 12 Jahre) T 1 Jahre Abbildung 8: Wiederholungsprüfung mit PTC = 99 % T 1 Jahre Abbildung 9: Wiederholungsprüfung mit PTC = 90 % Dateiname: SIL DE 18. Januar /45

32 T 1 Jahre Abbildung 10: Wiederholungsprüfung mit PTC = 50 % Im Fall einer einfachen Wiederholungsprüfung (PTC = 50 %) kann es sinnvoll sein, in regelmäßigen Zeitabständen (z. B. alle 4 Jahre) eine aufwendigere Wiederholungsprüfung einzuschieben. Das Ergebnis sieht dann aus wie in Abbildung 11 gezeigt. Es leitet sich aus folgender Formel für die mittlere Ausfallswahrscheinlichkeit mit zwei PTC und unterschiedlichen Proof Test Intervallen ab. PFD avg = 1 2 λ DU T 1 PTC λ DU T 2 (1 PTC 1 ) λ DU T (1 PTC 2 ) Dateiname: SIL DE 18. Januar /45

33 T 1 T 2 T Abbildung 11: Wiederholungsprüfung mit PTC von 50 % (jährlich) und 99 % (alle 4 Jahre) Dies führt zu einer Verbesserung von PFD avg mit vertretbarem Mehraufwand. Dateiname: SIL DE 18. Januar /45

34 5.5 Reparatur Reparatur bedeutet 1:1-Austausch von Komponenten. Eine Reparatur bringt ein Gerät in einen Wie-Neu -Zustand oder so nah wie unter praktischen Gesichtspunkten möglich an diesen Zustand heran (Quelle: IEC :2010, Abschnitt 3.8.5). Eine Reparatur kann durch Fachpersonal des Betreibers oder einen Servicetechniker des Geräteherstellers erfolgen. Die Reparatur von definierten Komponenten können nach Einbauanleitung selbst vorgenommen werden. Es dürfen nur Original-Ersatzteilen verwendet werden. Eine ausgetauschte Komponente muss zwecks Fehleranalyse an den Gerätehersteller eingesendet werden, falls das Gerät in einer PLT-Schutzeinrichtung betrieben wurde und ein Gerätefehler nicht ausgeschlossen werden kann. Bei Reparaturen an PLT-Schutzeinrichtungen können die folgenden Fälle und Vorgehensweisen unterschieden werden (vgl. VDI/VDE 2180 Blatt 3, Abschnitt 2.2.3): 1. Reparatur einer einkanaligen Schutzeinrichtung Ein Fehler führt zum Ausfall der Schutzeinrichtung. Die Reparatur muss sofort nach Entdecken des Fehlers erfolgen. Während der Reparatur muss die Anlage abgeschaltet oder geeignete Maßnahmen zum Erreichen oder Aufrechterhalten des sicheren Zustands eingeleitet werden. 2. Reparatur einer einfehlertoleranten, mehrkanaligen Schutzeinrichtung Der Prozess kann nach Entdecken eines Fehlers sicher weiter betrieben werden, während das defekte Teil repariert wird, falls die festgelegte Reparaturzeit eingehalten wird. Andernfalls müssen geeignete Ersatzmaßnahmen getroffen werden. 5.6 Modifikation Modifikationen sind vom Betreiber gewünschte Änderungen an bereits ausgelieferten bzw. installierten Geräten. Üblicherweise werden Modifikationen an sicherheitsgerichteten Komponenten im Herstellerwerk durchgeführt. Modifikationen an sicherheitsgerichteten Komponenten beim Anwender vor Ort sind nur nach Freigabe durch das Herstellerwerk möglich. In diesem Fall sollten die Modifikationen durch einen Servicetechniker des Herstellers durchgeführt und dokumentiert werden. Dateiname: SIL DE 18. Januar /45

35 5.7 Gebrauchsdauer Wie lange darf ein Gerät als Teil einer Schutzeinrichtung betrieben werden? Die Gebrauchsdauer (useful lifetime) ist abhängig von verschiedenen Faktoren. Während der Gebrauchsdauer, also die Zeit nach Frühausfällen (burn-in) und vor Spätausfällen (wear-out), kann die Ausfallrate eines Geräts als konstant betrachtet werden (IEC :2010, Abschnitt , Note 2). Auf dieser Annahme beruhen die meisten probabilistischen Abschätzungen zum Ausfallverhalten der Geräte. Die Gebrauchsdauer hängt stark vom Gerät selbst und seinen Betriebsbedingungen ab (insbesondere Temperatur). Die Erfahrung hat gezeigt, dass die Gebrauchsdauer oft im Bereich von 8 bis 12 Jahren liegt. Sie kann jedoch bedeutend geringer sein, wenn Geräte nahe ihrer Spezifikationsgrenzen betrieben werden. Längere Gebrauchsdauern sind durch entsprechende Maßnahmen des Herstellers und des Betreibers zu erreichen (vgl. DIN EN :2011, Abschnitt , Anmerkung 3, N3). Maßnahmen des Herstellers: entsprechendes Gerätedesign (z. B. Vermeidung alterungskritischer Bauteile) aktives Fehlerverhalten, d. h. Fehler sollten erkennbar sein oder das Gerät sollte sicherheitsgerichtet ausfallen gerätespezifische Instandhaltungsempfehlungen Maßnahmen des Betreibers: applikationsspezifische Instandhaltungsmaßnahmen Reduzierung kritischer Applikationsbedingungen (z. B. Schutz gegen Umwelteinflüsse) Auslegung der Schutzfunktion so, dass Geräteausfälle in den sicheren Anlagenzustand führen Verifizierung durch Stördatenerfassung Dateiname: SIL DE 18. Januar /45

36 6 Anhang 6.1 Informationsquellen Normen Bezeichnung IEC 61508:1998 IEC 61508:2010 IEC :2016 VDI/VDE 2180 Blatt 1 bis 6 Titel Functional safety of electrical/electronic/programmable electronic safety-related systems, Edition 1 Functional safety of electrical/electronic/programmable electronic safety-related systems, Edition 2 Functional safety Safety instrumented systems for the process industry sector Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik (PLT) Relevante NAMUR-Empfehlungen Die folgenden NAMUR-Empfehlungen sind im Zusammenhang mit der Funktionalen Sicherheit von Bedeutung. Die Liste erhebt keinen Anspruch auf Vollständigkeit. NAMUR-Empfehlung NE 073 NE 093 NE 106 NE 126 NE 130 NE 142 NE 154 Titel Phasenbegleitende Dokumentation von sicherheitsrelevanten PLT-Einrichtungen Nachweis der sicherheitstechnischen Zuverlässigkeit von PLT-Schutzeinrichtungen Prüfintervalle von PLT-Schutzeinrichtungen Bestandsschutz für PLT Schutzeinrichtungen Betriebsbewährte Geräte für PLT-Schutzeinrichtungen und vereinfachte SIL-Berechnung Funktionale Sicherheit elektrotechnischer Elemente Funktionale Sicherheit in Batch-Prozessen Dateiname: SIL DE 18. Januar /45

37 6.1.3 Ausgewählte Internetquellen Die folgende Tabelle nennt einige Informationsquellen zur Funktionalen Sicherheit ohne Anspruch auf Vollständigkeit. Quelle funktionale-sicherheit Inhalt Übersicht SIL bewerteter Endress+Hauser Produkte mit Zertifikaten und Handbuch zur Funktionalen Sicherheit zum Download Seite der International Electrotechnical Commission (IEC) zur Funktionalen Sicherheit Seite des VDE zur Funktionalen Sicherheit Homepage der Association 6.2 Berechnungsformeln nach IEC 61508:2010 Im Folgenden sind die Berechnungsformeln für PFD avg und PFH für verschiedene Architekturen von Teilsystemen in Anlehnung an IEC :2010 angegeben. Eingabegrößen: λ DD λ DU MRT MTTR T 1 T 2 β β D PTC Ausfallrate der gefährlichen erkannten Ausfälle Ausfallrate der gefährlichen unerkannten Ausfälle Reparaturzeit der unerkannten Ausfälle (Stunden) Reparaturzeit der erkannten Ausfälle (Stunden) Zeitintervall für Wiederholungsprüfungen (Angabe in Stunden) Gebrauchsdauer oder mittlere Anforderungsdauer (Stunden) Anteil der unerkannten Ausfälle gemeinsamer Ursache (Common Cause Faktor). Eine Methode zur Ermittlung von β wird in IEC Anhang D angegeben. In der Praxis liegt der Wert von β meist im Bereich 5 % bis 10 %. Anteil der erkannten Ausfälle gemeinsamer Ursache Prüftiefe bei der regelmäßigen Wiederholungsprüfung Dateiname: SIL DE 18. Januar /45

38 Terme: Bedeutung der Terme: t CE t GE t G2E CCF Mittlere Ausfalldauer eines Kanals (für Architekturen 1oo1, 1oo2, 2oo2 und 2oo3) Mittlere Ausfalldauer einer Gruppe (für Architekturen 1oo2 und 2oo3) Mittlere Ausfalldauer einer Gruppe (für Architektur 1oo3) Common Cause Factor Berechnungsformeln für PFD avg: Dateiname: SIL DE 18. Januar /45

39 Berechnungsformeln für PFH: 6.3 Übersicht Berechnungstools Die folgende Tabelle listet einige kostenpflichtige Software-Tools zur Berechnung von PLT- Schutzeinrichtungen auf. Für die Richtigkeit der damit durchgeführten Berechnungen haftet der jeweilige Hersteller. Toolname exsilentia / SILver ( SILCaS (silcas-tool.com/) SILence ( TRAC ( Hersteller exida.com ProSolTech (Distributor) ( HIMA ABB Engineering Services Dateiname: SIL DE 18. Januar /45

40 7 Glossar Abkürzung Erklärung ALARP so gering wie möglich Methode zur Risikominderung. Das Risiko soll so weit reduziert werden, bis der praktikable Grad an Sicherheit erreicht ist. DC Diagnose-Deckungsgrad Teilweise Verminderung der Wahrscheinlichkeit von gefährlichen Hardware-Ausfällen aufgrund der Anwendung von automatischen Diagnosetests. Gerätetyp A Geräte, bei denen die Ausfallraten und Ausfallmodi aller Bauteile in allen Fällen eindeutig bekannt sind. Gerätetyp B Geräte, bei denen das Geräteverhalten im Fehlerfall nicht vollständig bestimmbar ist (z. B. programmierbare oder parametrierbare Geräte). E/E/PES elektrische/elektronische/ programmierbare elektronische Systeme Begriff für alle elektrischen Geräte oder Systeme, die für eine sicherheitstechnische Funktion verwendet werden können. Das können einfache elektrische Geräte und speicherprogrammierbare Steuerungen (SPS) sein. EMV (EMC) Elektromagnetische Verträglichkeit EUC sinngemäß: gesteuerte Einrichtung Einrichtung, Maschine, Apparat oder Anlage, verwendet zur Fertigung, Stoffumformung, zum Transport aber auch zu medizinischen oder anderen Tätigkeiten. ETA Event Tree Analysis Methode zur Erstellung eines Ereignisbaumdiagramms. Die Methode geht von einem Startereignis aus und analysiert alle möglichen Ereignisse, die beim Betrieb der Anlage auftreten. Ausfall Beendigung der Fähigkeit von einer Funktionseinheit, eine geforderte Funktion auszuführen. Ausfallrate λ Maß für die Ausfallwahrscheinlichkeit eines Bauteils (z. B. Widerstand, µc). Die Ausfallrate wird in der Einheit FIT (Failure In Time) angegeben (1 FIT = 10-9/h). FME(C)A FMEDA Failure Mode Effect (and Criticality) Analysis Failure Mode Effect and Diagnostic Analysis Methode zur systematischen Prüfung aller Komponenten auf unerwünschte Nebeneffekte, die Ausfälle begünstigen. Die FMECA führt diese Methode weiter bis auf Bauteile. Analysemethode für elektronische Schaltungen und Mechanik zur quantitativen Ermittlung von Ausfallarten und Ausfallraten. λ dd gefährliche entdeckte Ausfälle Gesamtausfallrate für gefährliche entdeckte Ausfälle λ du gefährliche unentdeckte Ausfälle Gesamtausfallrate für gefährliche unentdeckte Ausfälle λ sd sichere entdeckte Ausfälle Gesamtausfallrate für sichere entdeckte Ausfälle λ su sichere unentdeckte Ausfälle Gesamtausfallrate für sichere unentdeckte Ausfälle FIT Ausfallrate Spezielle Art der Ausfallrate, um Ausfallwahrscheinlichkeiten von Komponenten und Dateiname: SIL DE 18. Januar /45

41 Geräten bei der Konstruktion vorauszuberechnen. Einheit: "Ausfälle pro 10E9 Stunden". FSA Betrachtung der Funktionalen Sicherheit FTA Fault Tree Analysis Methode zur Erstellung eines Fehlerbaumdiagramms. Die Methode geht von einem unerwünschten Ereignis aus und analysiert die Wege zu diesem Ereignis. Funktionale Sicherheit Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung abhängt. Funktionale Sicherheit ist gegeben, wenn jede Sicherheitsfunktion wie spezifiziert ausgeführt wird. HFT Fehlertoleranz der Hardware Fähigkeit einer Hardware, eine angeforderte Funktion trotz Fehler oder Abweichungen weiter auszuführen. HFT = N bedeutet, dass N + 1 Fehler zu einem Verlust der Sicherheitsfunktion führen kann. Sicherheitsintegrität der Hardware Teil der Sicherheitsintegrität, der sich auf zufällige Hardwareausfälle mit gefahrbringender Ausfallart bezieht. HAZOP Hazard and Operability Study Dt. Pendant: PAAG-Verfahren Ein in der Sicherheitstechnik angewendetes Verfahren zur Prüfung der Anlagensicherheit. gefährlicher Vorfall Gefährdungssituation, die zu einem Schaden führt. HDM High-Demand-Mode Betriebsart mit hoher Anforderungsrate an das sicherheitsbezogene System (> 1x pro Jahr, = 2x Frequenz der Wiederholungsprüfung). Beispiel: Schutzabdeckung bei einer Säge. IEC Internationale Eletrotechnische Kommission ISO Internationale Organisation für Normung LDM Low-Demand-Mode Betriebsart mit niedriger Anforderungsrate an das sicherheitsbezogene System (1x pro Jahr, = 2x Frequenz der Wiederholungsprüfung). Beispiel: Notabschaltsystem in der Prozessindustrie. Messabweichung des Standardgerätes In der Gerätedokumentation spezifizierte Genauigkeit ohne Berücksichtigung sicherheitstechnischer Belange. MooN M out of N Klassifikation eines sicherheitsbezogenen Systems nach Redundanz und angewandtem Auswahlverfahren. M: Anzahl redundant vorhandener Sicherheitsfunktionen N: Anzahl der fehlerfrei funktionierenden Kanäle Beispiel: Füllstandsmessung in einer 1oo2-Anlage. Ein sicherheitsbezogenes System entscheidet, dass eine vorgegebene Füllmenge überschritten ist, wenn 1 von 2 Grenzwertsensoren diese Grenze erreicht. Typische Kanalarchitekturen: 1oo1: Einkanaliges System, Ausfall der Komponente Dateiname: SIL DE 18. Januar /45

42 führt zu Verlust der Sicherheitsfunktion 1oo2: Zweikanaliges System, Ausfall beider Komponenten führt zu Verlust der Sicherheitsfunktion 2oo2: Zweikanaliges System, Ausfall einer Komponente führt zu Verlust der Sicherheitsfunktion 2oo3: Dreikanaliges System, Ausfall zweier Komponenten führt zu Verlust der Sicherheitsfunktion MRT mittlere Reparaturzeit Zeitraum nach einem Komponentenausfall, der Folgendes beinhaltet: - Zeit bis zur Reparatur - Reparaturzeit - Zeit bis zur Wiederinbetriebnahme der Komponente MTBF mittlere Zeit zwischen Ausfällen Die MTBF entspricht der MTTF + MTTR. MTTF mittlere Zeit bis zum Ausfall Durchschnittliche Lebensdauer von Geräten (gemittelt über alle Geräte hinweg). MTTR mittlere Zeit bis zur Reparatur Zeitraum nach einem Komponentenausfall, der Folgendes beinhaltet: - Fehlererkennung - Zeit bis zur Reparatur - Reparaturzeit - Zeit bis zur Wiederinbetriebnahme der Komponente PDF Wahrscheinlichkeits-Dichtefunktion Mathematische Funktion, die die Verteilung von Wahrscheinlichkeiten beschreibt. PFH PFD PFD avg PLC Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde Wahrscheinlichkeit eines gefahrbringenden Ausfalls im Anforderungsfall durchschnittliche Wahrscheinlichkeit eines gefahrbringenden Ausfalls im Anforderungsfall speicherprogrammierbare Steuerung zufälliger Fehler Redundanz Zuverlässigkeit Restrisiko Risiko Wahrscheinlichkeit, mit der ein sicherheitstechnisches System seine Funktion über einen festgelegten Zeitraum hin (z.b. 1h) nicht mehr ausführt. Parameter für Sicherheitsfunktionen mit hoher Anforderung, die oft zu betätigen sind. High-Demand-Mode. Wahrscheinlichkeit, dass ein sicherheitstechnisches System seine Funktion im Bedarfsfall nicht ausführt. Parameter für Sicherheitsfunktionen mit geringer Anforderungsrate, die wenig betätigt werden. Low- Demand-Mode. Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls der Sicherheitsfunktion im Anforderungsfall. Fehler mit nichtreproduzierbarer Ursache. Sein Eintreten ist nicht vorher bestimmbar. Verwendung mehrerer Elemente oder Systeme zur Durchführung der gleichen Funktion. Redundanz kann mit identischen Elementen (homogene Redundanz) oder mit unterschiedlichen Elementen (diversitäre Redundanz) realisiert werden. Trotz Schutzmaßnahmen verbleibendes Risiko. Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens, Dateiname: SIL DE 18. Januar /45

43 berechnet als das Produkt aus Häufigkeit und Ausmaß des Schadens. SFF Anteil ungefährlicher Ausfälle Anteil ungefährlicher Systemausfälle. Ermittelt wird die SFF durch die Rate der sicheren Fehler plus die Rate der diagnostizierten/entdeckten Fehler in Bezug zur gesamten Ausfallrate des Systems. sicherer Zustand Zustand einer Anlage, in dem die Sicherheit erreicht ist. Sicherheit Freiheit von unvertretbaren Risiken, die - entweder direkt oder indirekt als Ergebnis eines Sachschadens oder einer Schädigung der Umwelt - Körperverletzung oder Gesundheitsschäden hervorrufen. Sicherheitsfunktion Funktion einer Maschine, wobei ein Ausfall dieser Funktion zur unmittelbaren Erhöhung des Risikos (der Risiken) führen kann. Quelle: EN ISO 12100:2011 Aufgabe: Sicheren Zustand für ein überwachtes System erreichen oder aufrechterhalten, wenn vorher festgelegte Bedingungen verletzt werden. SIF sicherheitstechnische Funktion Funktion, die von einem E/E/PEsicherheitstechnischen System, einem sicherheitstechnischen System anderer Technologie oder externen Einrichtungen zur Risikominderung ausgeführt wird. Die Funktion hat das mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls einen sicheren Zustand für die EUC zu erreichen oder aufrechtzuerhalten. SIS sicherheitstechnisches System System bestehend aus einem oder mehreren sicherheitstechnischen Funktionen; für jede dieser sicherheitstechnischen Funktionen gilt eine SIL- Anforderung. SIL Sicherheits-Integritätslevel 1 bis 4 diskrete Stufen zur Spezifizierung der Anforderung für die Sicherheitsintegrität der sicherheitstechnischen Funktionen, die dem E/E/PEsicherheitstechnischen System zugeordnet werden. Sicherheits-Integritätslevel 4 entspricht der höchsten Stufe und Sicherheits-Integritätslevel 1 der niedrigsten Stufe der Sicherheitsintegrität. SLC Sicherheitslebenszyklus Notwendige Aktivitäten zur Umsetzung von sicherheitsrelevanten Systemen, die über eine Zeitspanne hin stattfinden, die mit der Konzeption eines Projekts beginnt und endet, wenn alle E/E/PEsicherheitsbezogenen Systeme und andere Maßnahmen zur Risikominderung nicht mehr zur Verwendung verfügbar sind. Sicherheitsmessabweichung Durch sicherheitstechnische Belange geänderte Messgenauigkeit gegenüber der für das Standardgerät spezifizierten Genauigkeit. Dateiname: SIL DE 18. Januar /45

44 SRS Spezifikation der Sicherheitsanforderungen sicherheitsbezogenes System Sicherheitsintegrität der Software systematischer Fehler systematische Sicherheitsintegrität Spezifikation, die alle Anforderungen an die sicherheitstechnischen Funktionen beinhaltet, die vom sicherheitstechnischen System auszuführen sind. System, das Sicherheitsfunktionen ausführt, um einen sicheren Zustand für ein überwachtes System zu erreichen oder aufrecht zu erhalten. Teil der Sicherheitsintegrität, der sich auf systematisches Versagen der Software mit gefahrbringender Ausfallart bezieht. Fehler mit grundsätzlich bestimmbarer und reproduzierbarer Ursache. Teil der Sicherheitsintegrität, der sich auf die systematischen Ausfälle mit gefahrbringender Ausfallart bezieht. T 1 Intervall für Wiederholungsprüfungen Zeitintervall zwischen wiederkehrenden Prüfungen einer Sicherheitsfunktion zur Aufdeckung gefährlicher unerkannter Fehler tolerables Risiko Risiko, das basierend auf den aktuellen gesellschaftlichen Wertvorstellungen in einem gegebenen Zusammenhang tragbar ist. Gebrauchsdauer Zeit zwischen Frühausfällen (burn-in) und vor Spätausfällen (wear-out), in der die Ausfallraten von Komponenten als konstant betrachtet werden kann. XooY X out of Y Kanalarchitektur siehe MooN Deutsche Bezeichnung für Kanalarchitektur. Erklärung siehe MooN. Dateiname: SIL DE 18. Januar /45

45 8 Dokumentenhistorie (nur für interne Zwecke!) Version Datum Autor Prüfung Freigabe Änderungen Dr. Arno Götz Erstellung des Dokuments Dr. Arno Götz Kapitel 2, und 5 bearbeitet Dr. Arno Götz Redaktionelle Änderungen Dr. Arno Götz Kapitel 2, 4.3 bearbeitet Dr. Arno Götz Kapitel 5.5 und 5.6 bearbeitet Dr. Arno Götz Inhalte ergänzt Dr. Arno Götz Kapitel überarbeitet, Kapitel neu Stephan Konrad, Winfried Wolf??? Dr. Arno Götz Begriffe ergänzt. Kapitel 2 neu geschrieben. Kapitel 6.2 eingefügt Kapitel 3.3 geschrieben Kapitel 5.5 neu Dr. Arno Götz Kapitel 2 neu Florian Fetz, Christian Felcmann, Dr. Arno Götz Review-Kommentare von Michael Karolzak und Stephan Konrad bearbeitet Kapitel neu strukturiert Begriffserklärungen ergänzt FAQ entfernt AK FS Umstrukturierungen, Abschlussreview Dr. Arno Götz IEC :2016 ergänzt Dr. Arno Götz Ralf Wacker, Werner Meier Dr. Arno Götz, Dr. Claudia Nowak Dr. Arno Götz, Dr. Claudia Nowak Dr. Arno Götz, Dr. Claudia Nowak Dr. Arno Götz, Dr. Claudia Nowak Reviewkommentare von Ralf Wacker und Werner Meier eingearbeitet. Beachte Kommentar in Abschnitt Translation of German version started Translation completed Paul Borggreve, Scot Kelley Einarbeitung der Review Kommentare Abschnitt 6.1.2: Referenzen aktualisiert Abschnitt 0: Links geprüft Abschnitt 6.3: Quellen geprüft Abschnitt 0: Alphabetisch sortiert Abbildung 3: Quelle hinzugefügt Abschnitt 6.3: Alphabetisch sortiert S. Konrad Abschnitt Herleitung der Formeln für die Diagramme eingefügt Dr. Arno Götz Abschnitt 5.4 überarbeitet Dateiname: SIL DE 18. Januar /45