SIL (Safety Integrity Level) Maßeinheit SIL so messen Sie die Risikoreduzierung

Transkript

1 SIL (Safety Integrity Level) Maßeinheit SIL so messen Sie die Risikoreduzierung Autor / Redakteur : Dr. Andreas Hildebrandt / Jörg Kempf Was verbirgt sich hinter dem Begriff SIL? (Bild: Pepperl+Fuchs) Was verbirgt sich hinter dem Begriff SIL? diese Frage war bereits mehrfach Gegenstand verschiedener Publikationen. Je nach Blickwinkel und Fokus wurde sie auf unterschiedliche Weise beantwortet. Dieser Beitrag betrachtet das Thema SIL aus einer übergeordneten Sicht. Es ist bekannt, dass von technischen Einrichtungen Risiken ausgehen können, die so bedrohlich eingestuft werden, dass Personen diesen nicht ausgesetzt werden dürfen. In solchen Fällen müssen die entsprechenden Risiken reduziert werden, um dem Bedürfnis nach Sicherheit Rechnung zu tragen. Um diese Forderung nachvollziehbar erfüllen zu können, muss die Risikoreduzierung quantifizierbar (und damit auch messbar) sein. Dies geschieht mithilfe der Einheit SIL (Safety Integrity Level), wobei hier nur ganzzahlige Werte im Bereich von 1 bis 4 definiert sind. Nach erfolgter Risikoreduzierung muss nachgewiesen werden, dass deren Umfang mindestens dem geforderten Maß (also der SIL-Anforderung) entspricht. Diese Betrachtungsweise führt zu folgendem Prozedere: 1. Ermittlung der erforderlichen Risikoreduzierung (Spezifikation der SIL-Anforderung) 2. Realisierung der Risikoreduzierung (Implementierung einer Schutzeinrichtung) 3. Nachweis, dass die realisierte Risikoreduzierung mindestens der geforderten Risikoreduzierung entspricht (SIL-Bewertung der Schutzeinrichtung) BILDERGALERIE Seite 1 / 8

2 Fotostrecke starten: Klicken Sie auf ein Bild (4 Bilder) Punkt 1 wird gemeinhin als Risikoanalyse bezeichnet, Punkt 2 ist die Implementierung einer Schutzeinrichtung (auch Z-Funktion genannt), und Punkt 3 wird im Rahmen der Beurteilung der funktionalen Sicherheit erledigt. Risikoanalyse Im Rahmen der Risikoanalyse werden zunächst alle vorhandenen Risiken identifiziert. Für jedes erkannte Risiko muss anschließend ermittelt werden, ob dieses der Reduzierung bedarf. Ist dies der Fall, so muss die jeweils erforderliche Risikoreduzierung quantifiziert werden. Dies geschieht mithilfe von Risikobewertungsmethoden, die als Ergebnis eine SIL-Anforderung liefern. Eine niedrige SIL-Anforderung (SIL 1) bedeutet hierbei, dass nur eine vergleichsweise geringe Risikoreduzierung nötig ist, wogegen ein höherer SIL (z.b. SIL 3) ein entsprechend größeres Maß an Risikoreduzierung erfordert. Sowohl zur Identifizierung von Risiken als auch zur Quantifizierung der gegebenenfalls nötigen Risikoreduzierung stehen diverse Verfahren zur Verfügung, die üblicherweise mit Softwareunterstützung zur Anwendung kommen. Die Identifikation von Risiken wird oft mithilfe der Hazard and Operability Study (kurz HAZOP) durchgeführt. Um die erforderliche Risikoreduzierung zu quantifizieren (SIL-Ermittlung), sind u.a. Risikograph, LOPA ( Layer of Protection Analysis ) und Risikomatrix gebräuchliche Methoden. Realisierung der Risikoreduzierung Meist wird das vorhandene Risiko dadurch reduziert, dass zusätzlich zu den aus betriebstechnischen Gründen notwendigen PLT-Einrichtungen weitere PLT-Kreise aufgebaut werden, welche nur der Sicherheit dienen, d.h. nur im Falle einer Fehlfunktion der betriebstechnischen Einrichtung in Aktion treten. Derartige Einrichtungen, die ausschließlich der Risikoreduzierung dienen, werden als Schutzeinrichtungen oder auch Z-Funktionen bezeichnet. Es ist offensichtlich, dass die mittels einer Schutzeinrichtung erreichte Risikoreduzierung von deren korrekter Funktion abhängt. Wäre ein Versagen unmöglich, so würde man damit eine vollständige Eliminierung des betreffenden Risikos erreichen. Das verbleibende Restrisiko wäre gleich Null. Da dies in der Praxis unrealistisch ist, erreicht man mit einer Schutzeinrichtung de facto nur eine endlich große Risikoreduzierung. Somit bleibt immer ein Restrisiko, welches aber so klein ist, dass es toleriert werden kann. Ziel des Designprozesses ist, die jeweilige Schutzeinrichtung so zu realisieren, dass die damit erreichte Risikoreduzierung dem geforderten SIL möglichst genau entspricht. Eine zu kleine Risikoreduzierung (der SIL der Schutzeinrichtung ist kleiner Seite 2 / 8

3 als der geforderte SIL) hätte ein nicht zu tolerierendes Restrisiko zur Folge, eine zu große Risikoreduzierung (der SIL der Schutzeinrichtung ist größer als der geforderte SIL) würde einen unnötig hohen Aufwand bedeuten, der in der Regel nicht zu rechtfertigen wäre. Hinweise, wie eine Schutzeinrichtung beschaffen sein muss, damit ein bestimmtes Maß an Risikoreduzierung (also ein bestimmter SIL) erreicht wird, finden sich u.a. in der EN [3] sowie in der VDI/VDE 2180 [4]. Von entscheidender Bedeutung ist hierbei die Frage, worin Ausfälle von Schutzfunktionen begründet sind, da sich aus den entsprechenden Antworten unmittelbar Anforderungen für das Design der jeweiligen Schutzeinrichtung ableiten lassen. Eine nähere Betrachtung offenbart, dass es zwei prinzipiell verschiedene Fehlerarten gibt, die zum Versagen von Schutzeinrichtungen führen können: systematische Fehler sowie zufällige Fehler. Systematische und zufällige Fehler Während für das Auftreten eines zufälligen Fehlers eine Wahrscheinlichkeit angegeben werden kann, ist dies bei einem systematischen Fehler nicht möglich [1]. Letztere können aber im Gegensatz zu den zufälligen Fehlern prinzipiell vermieden werden. Die Erfahrung lehrt jedoch, dass dies (insbesondere bei Software) nur partiell gelingt. Aus diesen Erkenntnissen heraus resultieren letztlich die folgenden Forderungen, die an das Design einer Schutzeinrichtung gestellt werden [2]: Fehlervermeidung durch Anwendung eines speziellen Qualitätsmanagement-Systems (Stichwort: Functional Safety Management System, kurz FSM-System); Fehlerbeherrschung durch Redundanz und/oder Fail-Safe-Verhalten sowie Fehleraufdeckung (Stichworte: Hardware-Fehlertoleranz, Anteil sicherer Fehler, Diagnosedeckungsgrad); Quantifizierung der Versagenswahrscheinlichkeit aufgrund zufälliger Fehler durch Rechnung (Stichwort: PFD-/PFH-Berechnung). Die praktische Umsetzung der drei oben genannten Punkte bestimmt das Ausmaß der Risikoreduzierung einer Schutzeinrichtung. In aller Regel bedeutet dies, dass der Aufwand bei Planung, Implementierung und Betrieb einer Schutzeinrichtung davon abhängt, welchen SIL diese erreichen muss. Zusammenhang zwischen dem Design einer Schutzeinrichtung und dem damit erreichbaren SIL Den genauen Zusammenhang zwischen dem Design einer Schutzeinrichtung und dem damit erreichbaren SIL beschreiben die Normen EN 61508, EN und VDI/VDE 2180 (Abb. 2, untere Hälfte). Fehlervermeidung, Fehlerbeherrschung und Versagenswahrscheinlichkeit müssen in der jeweils erforderlichen Art und Weise beim Design einer Schutzeinrichtung berücksichtigt werden, um ein bestimmtes Maß an Risikoreduzierung zu erreichen. Seite 3 / 8

4 Insbesondere ist zu beachten, dass es zur Erfüllung einer SIL-Anforderung nicht ausreicht, nur die Versagenswahrscheinlichkeit zu betrachten. Vielmehr kann eine Schutzeinrichtung nur dann einen bestimmten SIL erreichen, wenn beide, die Struktur (Redundanz, Diagnose, Fail- Safe-Design) und die Versagenswahrscheinlichkeit (PFD/PFH), den Forderungen der Norm für den jeweiligen SIL entsprechen. Darüber hinaus muss die Realisierung unter Anwendung eines FSM-Systems erfolgen. Nur dann kann unterstellt werden, dass systematische Fehler im erforderlichen Umfang vermieden wurden. Beurteilung der Sicherheit Die Normen zur funktionalen Sicherheit fordern, dass alle Tätigkeiten und Ergebnisse nach dem Vier-Augen-Prinzip verifiziert bzw. validiert werden. Dabei ist zu beachten, dass dies den gesamten Sicherheitslebenszyklus einer Schutzeinrichtung betrifft (Abb. 2, linke Seite). Sowohl die Risikoanalyse (SIL-Anforderung) als auch die Realisierung der risikoreduzierenden Maßnahme müssen entsprechend beurteilt werden. An dieser Stelle soll nochmals explizit darauf hingewiesen werden, dass der gesamte Sicherheitslebenszyklus unter Anwendung des bereits erwähnten FSM-Systems abgearbeitet werden muss, was auch eine entsprechende Dokumentationspflicht mit einschließt. Das FSM- System dient also nicht nur dazu systematische Fehler zu vermeiden, sondern es soll auch sicherstellen, dass alle Tätigkeiten und Ergebnisse (Dokumente, Hardware, Software), welche die Risikoreduzierung betreffen, nachvollziehbar und auditierbar sind. Das FSM-System ist also ein zentraler Bestandteil der funktionalen Sicherheit und somit zur Erfüllung einer SIL- Anforderung unverzichtbar. Zusammenfassung Der Begriff SIL stellt im Prinzip eine Maßeinheit dar, mit dessen Hilfe die Risikoreduzierung quantifiziert werden kann. Wie bei Maßeinheiten üblich, wird damit zunächst das erforderliche Maß an Risikoreduzierung spezifiziert (Risikoanalyse). Anschließend wird eine Schutzeinrichtung (Z-Funktion) implementiert, um das ursprünglich vorhandene Risiko im geforderten Umfang zu reduzieren. Die Erreichung dieses Ziels muss in einem abschließenden Schritt nachgewiesen werden. Dies impliziert, dass Bewertungskriterien definiert sind, mit deren Hilfe der von einer Schutzeinrichtung erreichte Grad an Risikoreduzierung bestimmt werden kann. Im Wesentlichen handelt es sich hierbei um folgende Punkte: Vermeidung systematischer Fehler mittels FSM-System (Abb. 2, linke Seite); Fehlerbeherrschung durch Redundanz und/ oder Fail-Safe-Design (Abb. 2, Tabellen); Fehlererkennung durch Diagnose (Abb. 2, Tabellen); Betrachtung der Versagenswahrscheinlichkeit durch zufällige Fehler (Abb. 2, Formeln). Seite 4 / 8

5 Die Struktur und die Versagenswahrscheinlichkeit sind somit für den von einer Schutzeinrichtung erreichten SIL maßgebend, wobei alle Tätigkeiten und Ergebnisse unter Anwendung des FSM-System durchgeführt, verifiziert und dokumentiert werden müssen. Das FSM-System ist somit der zentrale Dreh- und Angelpunkt zur Erreichung eines bestimmten SIL. Ein weiteres Element zur SIL-Erreichung stellt die PFD-Berechnung dar. Untersuchungen aus der Vergangenheit zeigen jedoch deutlich, dass ein Versagen von Schutzeinrichtungen fast immer auf systematische Fehler zurückzuführen ist und nur in seltenen Fällen von zufälligen Fehlern verursacht wird [5] [6]. Das Hauptaugenmerk muss daher auf das FSM-System gerichtet werden und nicht auf die PFD-Berechnung. Literatur [1] EN , Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme, Teil 4: Begriffe und Abkürzungen, Abschnitt und 3.6.6, November 2002 [2] Dirk Hablawetz, Norbert Matalla und Gerhard Adam, IEC in der Praxis Erfahrungen eines Anlagenbetreibers, atp 10/2007 [3] EN 61511; Funktionale Sicherheit Sicherheitstechnische Systeme für die Prozessindustrie Teil 1 3, Mai 2005 [4] VDI/VDE 2180, Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik (PLT), 2009 [5] HSE, Out of control Why control systems go wrong and how to prevent failure, HSE Books, ISBN [6] European Commission Environment, * Der Autor ist Leiter der Gruppe Schulung und Gremienarbeit, Geschäftsbereich Prozessautomation, Pepperl+Fuchs GmbH, Mannheim. Copyright Vogel Business Media Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter Seite 5 / 8

6 Dieses PDF wurde Ihnen bereitgestellt von Die notwendige Risikoreduzierung in Abhängigkeit des Ausgangsrisikos (Bild: Pepperl+Fuchs) Der Risikograph (Bild: Pepperl+Fuchs) Seite 6 / 8

7 Systematische und zufällige Fehler (Bild: Pepperl+Fuchs) Seite 7 / 8

8 Die Risikoreduzierung im Überblick: Auf der linken Seite ist der Sicherheitslebenszyklus dargestellt. Die obere Hälfte beschreibt die Risikoanalyse mittels HAZOP und Risikograf, die untere Hälfte zeigt die Design- Anforderungen an die risikoreduzierende Einrichtung (Schutzeinrichtung, Z-Funktion). Maßgebend zur Erreichung eines bestimmten SILs sind die in den Tabellen genannten Werte für die Hardware-Fehlertoleranz (HFT) und die Versagenswahrscheinlichkeit im Anforderungsfall (PFD). (Bild: Pepperl+Fuchs) (Archiv: Vogel Business Media) Seite 8 / 8