Internationale Anwendung der IEC Tagung zur IEC (VDE 0803) Dezember 2009, Darmstadt. Prof. Dr. Josef Börcsök / Jürgen Hölzel

Transkript

1 Internationale Anwendung der IEC Tagung zur IEC (VDE 0803) Dezember 2009, Darmstadt Prof. Dr. Josef Börcsök / Jürgen Hölzel

2 Einführung Applikationen von sicheren Automatisierungssystemen Nukleartechnik Luft- und Raumfahrttechnik Chemische/petrochemische Industrieanlagen Öl- und Gasförderanlagen und Pipelines Maschinenbausysteme (Pressen, Drehautomaten etc.) Robotersteuerungen Turbinensteuerung Automobiltechnik Bahntechnik 2

3 Einführung Zuverlässigkeit Gleichzusetzen mit Vertrauenswürdigkeit Aspekte der Verlässlichkeit: Systemsicherheit Verfügbarkeit Zuverlässigkeit Betriebssicherheit Quantifizierbar mit Hilfe der Wahrscheinlichkeitsrechnung und Statistik Verlässlichkeit Systemsicherheit Verfügbarkeit Zuverlässigkeit Betriebssicherheit Systemfähigkeit sich gegen zufällige oder beabsichtigte Angriffe zu schützen Systemfähigkeit Dienste auf Anforderung zu liefern Systemfähigkeit Dienste wie spezifiziert zu liefern Systemfähigkeit ohne katastrophale Ausfälle zu arbeiten 3

4 Normen Generische Basisnorm IEC/EN ermöglicht eine systematische, risikobasierte Herangehensweise an sicherheitsrelevante Probleme grundlegend anwendbar auf alle sicherheitsgerichteten elektrischen, elektronischen und programmierbaren elektronischen Systemen Sektor spezifische Norm Prozessindustrie: IEC 61511, ANSI/ISA , VDI/VDE 2180 Nuklearanlagen: IEC Maschinen: IEC 62061, ISO 13849, NFPA 79 für die USA Bahn: EN 50126, EN 50128, EN Feuerungsanlagen: EN 50156, EN 298, EN 230, EN 12967, NFPA 85, NFPA 86 Aufzüge: EN 81, ASME für die USA 4

5 Vergleich IEC und IEC Einleitung IEC/EN Teil 1 Allgemeine Anforderungen Teil 2 Anforderungen an E/E/PES Teil 3 Anforderungen an Software Teil 4 Begriffe und Abkürzungen Teil 5 Beispiele von Methoden zur Festlegung des SILs Teil 6 Richtlinien zur Anwendung von IEC und IEC Teil 7 Übersicht über Techniken und Maßnahmen Geräthersteller und Gerätelieferanten IEC Normen für Sicherheitssysteme Normen für der Sicherheitssysteme Prozessindustrie der Prozessindustrie Planer, Errichter & Nutzer von sicherheitstechnischen Systemen IEC Beziehung zwischen IEC und IEC Einleitung IEC Teil 1 Rahmen, HW-, SW- Anforderungen Teil 2 Anleitungen zur Anwendung Teil 3 Anleitung für die Ermittlung der SIL 5

6 Vergleich IEC und IEC Einleitung IEC/EN Teil 1 Allgemeine Anforderungen Teil 2 Anforderungen an E/E/PES Teil 3 Anforderungen an Software Teil 4 Begriffe und Abkürzungen Teil 5 Beispiele von Methoden zur Festlegung des SILs Teil 6 Richtlinien zur Anwendung von IEC und IEC Teil 7 Übersicht über Techniken und Maßnahmen Entwicklung neuer Hardware Anwendung der IEC Hardware für die Prozessindustrie Hardware für die Prozessindustrie Nutzung betriebsbewährter Hardware Anwendung der IEC Normen für Sicherheitssysteme Normen für der Sicherheitssysteme Prozessindustrie der Prozessindustrie (Anmerkung 1) Nutzung von gemäß IEC entwickelter und validierter Hardware Anwendung der IEC Entwicklung von Systemsoftware Anwendung der IEC Software für die Prozessindustrie Software für die Prozessindustrie Entwicklung von Anwendungs software mit Sprachen voller Variabilität Anwendung der IEC Entwicklung von Anwendungs software mit Sprachen begrenzter Variabilität oder festen Programmier sprachen Anwendung der IEC Beziehung zwischen IEC und IEC Einleitung IEC Teil 1 Rahmen, HW-, SW- Anforderungen Teil 2 Anleitungen zur Anwendung Teil 3 Anleitung für die Ermittlung der SIL 6

7 Normen IEC IEC Teil 1: Teil 2: Teil 3: Allgemeiner Rahmen, Begriffe, Anforderungen an Systeme, Hardware und Software (normativ); Anleitungen zur Anwendung der IEC (informativ); Anleitung für die Ermittlung der erforderlichen Sicherheits- Integritätslevel (informativ). 7

8 Normen IEC Technische Anforderungen TEIL 1 Entwicklung der Sicherheits- Anforderungen ( Konzept, Umfang, Risiko- und Gefährdungs- Beurteilung) Abschnitt 8 TEIL 1 Zuordnung der Sicherheits-Anforderungen zu sicherheitstechnischen Funktionen und Erstellung der Spezifikation der Sicherheitsanforderungen Abschnitte 9 & 10 TEIL 1 Entwurf der sicherheitstechnischen Systeme Erstellung der SIS-Software Abschnitt 11 Abschnitt 12 TEIL 1 Werkendprüfung, Montage, Inbetriebnahme und Validierung des SIS Abschnitte 13, 14 & 15 TEIL 1 Betrieb, Instandhaltung, Änderund und Rückbau, Ausserbetriebnahme oder Demontage von SIS Abschnitte 16, 17 & 18 Unterstützende Teile Verweise Abschnitt 2 TEIL 1 Begriffe und Abkürzungen Abschnitt 3 TEIL 1 Konformität Abschnitt 4 TEIL 1 Management der funkt. Sicherheit Abschnitt 5 TEIL 1 Anforderungen an den Sicherheitslebenszyklus Abschnitt 6 TEIL 1 Verifikation Abschnitt 7 TEIL 1 Anforderungen an die Dokumentation Abschnitt 19 TEIL 1 Unterschiede Anhang A TEIL 1 Anleitung zur Anwendung von Teil 1 TEIL 2 (informativ) Anleitung für die Ermittlung der erforderlichen SILs TEIL 3 (informativ) Der Safety Lifecycle ist gemäß IEC in drei Phasen gegliedert: Analyse, Realisierung, Betrieb und Wartung. Das Safety Lifecycle Management beginnt immer damit, das Prozesskonzept, den Functional Safety Management Plan und die historische Aufzeichnungen zu untersuchen, um bekannte und potenzielle Sicherheitsrisiken zu ermitteln. Die Ergebnisse werden in einem zweiten Schritt einer Risikoanalyse unterzogen. Ziel ist es, die nicht tolerierbaren Risiken herauszufiltern, und deren mögliche Folgen abzuschätzen. 8

9 Normen IEC Lebenszyklus IEC verwendet diesen Lebenszyklus Angepasst auf die Prozessindustrie Für generische den generischen Ansatz sollte auf die IEC zurückgegriffen werden. Die Darstellung zeigt plastisch die Querschnittthemen: Management der funktionalen Sicherheit Aufbau und Planung des Sicherheitslebenszyklus Verifikation Ein aktuelles SIS muss den Anwender in allen Phasen unterstützen 9

10 Schutzebenen in der Prozessindustrie nach IEC Öffentliche Maßnahmen in Notfällen Rundfunkinformationen im Notfall Anlagenbezogene Maßnahmen in Notfällen Evakurierungsmaßnahmen Schadensbegrenzung Mechanische Systeme Sicherheitstechnische Regeleinrichtungen betriebliche Überwachung Schutz Mechanische Systeme Prozessalarme mit Bedienereingriff Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schutzeinrichtungen Regelung und Überwachung Betriebseinrichtungen Überwachungseinrichtungen betriebliche Überwachung Prozess Prozess Regelung und Überwachung Betriebseinrichtungen Überwachungseinrichtungen Betriebliche Überwachung Schutz Mechanische Systeme Prozessalarme mit Bedienereingriff Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schutzeinrichtungen Schadensbegrenzung Mechanische Systeme Sicherheitstechnische Regeleinrichtungen Betriebliche Überwachung Analagenbezogene Maßnahmen in Notfällen Evakuierungsmaßnahmen Öffentliche Maßnahmen in Notfällen Rundfunkinformationen im Notfall 10

11 Schutzebenen in der Prozessindustrie nach IEC Öffentliche Maßnahmen in Notfällen Rundfunkinformationen im Notfall Anlagenbezogene Maßnahmen in Notfällen Evakurierungsmaßnahmen Schadensbegrenzung Mechanische Systeme Sicherheitstechnische Regeleinrichtungen betriebliche Überwachung Schutz Mechanische Systeme Prozessalarme mit Bedienereingriff Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schutzeinrichtungen Regelung und Überwachung Betriebseinrichtungen Überwachungseinrichtungen betriebliche Überwachung Prozess Folgende Schutzebenen werden häufig in der Prozessindustrie eingesetzt: EMR Schadensbegrenzungseinrichtung Physikalische Einrichtungen Feuerlöschsysteme EMR Schutzeinrichtung Safety Instrumented System (SIS) EMR Überwachungseinrichtung EMR Betriebseinrichtung Basisprozesskontrollsystem (BPCS) 11

12 Schutzebenen in der Prozessindustrie nach IEC BPCS und SIS Öffentliche Maßnahmen in Notfällen Rundfunkinformationen im Notfall Anlagenbezogene Maßnahmen in Notfällen Evakurierungsmaßnahmen Schadensbegrenzung Mechanische Systeme Sicherheitstechnische Regeleinrichtungen betriebliche Überwachung Schutz Mechanische Systeme Prozessalarme mit Bedienereingriff Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schutzeinrichtungen Regelung und Überwachung Betriebseinrichtungen Überwachungseinrichtungen betriebliche Überwachung Prozess ist ein System, das Eingangssignale empfangen, auswerten und entsprechende Ausgangssignale erzeugen kann. Das BPCS und das SIS sind physikalisch getrennte Einheiten, einschließlich der Sensoren, der logischen Einheiten und der Aktoren. Ein Ausfall des BPCS ist nicht verantwortlich für die Auslösung eines ungewollten Zwischenfalls. (Wird durch das SIS beherrscht.) Das BPCS verfügt über geeignete Sensoren und Aktoren, um eine ähnliche Funktion zu erbringen wie das SIS. 12

13 EMR- Schutzebene EMR- Schutzeinrichtung Dienen zur Verhinderung eines unzulässigen Fehlzustandes der Anlage. Öffentliche Maßnahmen in Notfällen Rundfunkinformationen im Notfall Anlagenbezogene Maßnahmen in Notfällen Evakurierungsmaßnahmen Schadensbegrenzung Mechanische Systeme Sicherheitstechnische Regeleinrichtungen betriebliche Überwachung Schutz Mechanische Systeme Prozessalarme mit Bedienereingriff Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schutzeinrichtungen Regelung und Überwachung Betriebseinrichtungen Überwachungseinrichtungen betriebliche Überwachung Prozess Ohne EMR-Schutzeinrichtung: Personenschäden/größere Umweltschäden. Aufgabe: Prozesssicherungsgröße auf zulässige Werte überwachen. Reaktionen: Schaltvorgang auslösen oder Meldung an Betriebspersonal Funktion der EMR-Schutzeinrichtung haben Vorrang vor Funktionen der EMR-Betriebsund Überwachungseinrichtung. Prozessnah mit Einfacher, übersichtlicher Technik Geringe Verarbeitungstiefe 13

14 EMR- Schutzebene EMR- Schadensbegrenzungseinrichtung Wirkung im nichtbestimmungsgemäßen Betrieb. Öffentliche Maßnahmen in Notfällen Rundfunkinformationen im Notfall Anlagenbezogene Maßnahmen in Notfällen Evakurierungsmaßnahmen Schadensbegrenzung Mechanische Systeme Sicherheitstechnische Regeleinrichtungen betriebliche Überwachung Schutz Mechanische Systeme Prozessalarme mit Bedienereingriff Sicherheitstechnische Regeleinrichtungen Sicherheitstechnische Schutzeinrichtungen Regelung und Überwachung Betriebseinrichtungen Überwachungseinrichtungen betriebliche Überwachung Prozess Verringern die Schadensauswirkung auf Personen/Umwelt Überwachen nicht die Prozessgröße Bei Aktivierung ist die Wirkung auf den gefährdeten Bereich außerhalb der Prozessanlage angesetzt. Beispiele: Feuerlöschsysteme Wasservorhang Gaswarneinrichtung 14

15 Zuverlässigkeits- und Sicherheitstechnik in der Prozesstechnik Sichere und nichtsichere Fehler Für die Validierung sicherheitsgerichteter Anwendungen werden spezielle Kennzahlen der Fehlerraten verwendet. Prinzipiell werden bei der Fehleranalyse folgende Fehler unterschieden sichere und gefährliche Sichere Fehler haben keinen Einfluss auf die Sicherheitsfunktion des Systems, unabhängig ob entdeckt oder unentdeckt. Gefährliche Fehler führen, wenn sie auftreten, zu einem gefährlichen Zustand des Systems. Sie unterscheiden sich in gefährlich entdeckbare Fehler und gefährlich nicht entdeckbare Fehler 15

16 Zuverlässigkeits- und Sicherheitstechnik in der Prozesstechnik Fehlerraten sicher entdeckbar λ S λ λ SD SU λ D = λ = λ DD DU = sicher = sicher entdeckbar = sicher entdeckbar = gefährlich gefährlich entdeckbar gefährlich nicht entdeckbar sicher nicht entdeckbar λ D = λ DD + λ DU gefährlich entdeckbar λ S = λ SD + λ SU gefährlich nicht entdeckbar 16

17 Zuverlässigkeits- und Sicherheitstechnik in der Prozesstechnik Anteil der Ausfallwahrscheinlichkeit im System 50% 15% 35% 15 % Rechnersystem (HW + SW) 35 % Eingangselemente 50 % Ausgangselemente Quelle: IEC 61508,

18 Zuverlässigkeits- und Sicherheitstechnik in der Prozesstechnik Fehleranteil im Lebenszyklus 6% 15% 15% 44 % Spezifikation 20 % Änderungen nach der 44% Festlegung (Bestellung) 15 % Betrieb und Wartung 15 % Entwurf und Ausführung 06 % Aufbau und 20% Inbetriebnahme Quelle: HSE, Out of Control; Why control systems go wrong and how to prevent failure, 2nd ed., 2003, S

19 Methoden und Verfahren zur Verbesserung der Zuverlässigkeit und Sicherheit Unter Sicherheit versteht man eine Sachlage, bei der das Risiko nicht höher als das Grenzrisiko ist, wobei das Grenzrisiko das größte noch vertretbare Risiko ist. Nach IEC/EN 61508: Die funktionale Sicherheit ist Teil der Gesamtsicherheit, bezogen auf die zu steuernde oder zu regelnde Einrichtung und das Leit- oder Steuerungssystem. Sie hängt von der korrekten Funktion des sicherheitsbezogenen Systems, sicherheitsbezogenen Systemen anderer Technologie und externer Einrichtungen zur Risikominderung ab. Ein sicherheitsbezogenes System, sicherheitsbezogene Systeme anderer Technologie oder externe Einrichtungen dienen der Risikominderung 19

20 Methoden und Verfahren zur Verbesserung der Zuverlässigkeit und Sicherheit Sicherer Zustand Sicherer Zustand (VDI/VDE 3542) Zustand einer Betrachtungseinheit, bei dem das Risiko vertretbar gering ist. Sichere Zustände des Betriebes Bestimmungsgemäße Betriebszustände (Normaler Betrieb) Betriebszustände, die als Folge von Störungen eingenommen werden (reduzierte Leistung, verminderte Geschwindigkeit, Notbetrieb) Abschalt-, oder Haltzustände, die als Folge von Störungen eintreten können (außer Betrieb) 20

21 Methoden und Verfahren zur Verbesserung der Zuverlässigkeit und Sicherheit Der gesamte Entwurf des Systems muss in Übereinstimmung mit den erstellten Sicherheitsspezifikationen (engl. Safety Requirement Specification, SRS) erfolgen. Der Entwurf und die Implementierung des sicherheitsgerichteten Systems muss die festgelegten Anforderungen an die Sicherheitsfunktionen und die Sicherheitsintegrität erfüllen. Der Entwurf des Systems umfasst die gesamte 1. Risikoanalyse Hardware- und Software-Architektur, Sensoren, Aktuatoren, programmierbarer Elektronik, Embedded Software, Anwendungssoftware, usw 2.1 Sicherheits- Anforderungs- Spezifikation 3.1 System Planung/ Produkt Planung 4.1 Hardware Design und Implementiertung 5.1 Software Design und Modul Design Unterstützungsbereiche: 2.2 Planung der Validierung 3.2 System Planung/ Produkt Planung 4.2 Konzept Hardware Modultests 5.2 Konzept Software Modultests 6. Realisierung: Implementierung 11. Zertifizierung 10. Validierung der Produktsicherheit 9. Systemintegration / Tests der HW & SW 8. Hardwaremodultests/ Fehlerversuche 7. Software Modultests Verfahren Spezifikation & Anforderungen Analyse Verfolgung und Bewertung Verifikation Validierung 21

22 Methoden und Verfahren zur Verbesserung der Zuverlässigkeit und Sicherheit Spezifikationen der Sicherheitsanforderungen Für jede Sicherheitsfunktion Ausführlich und detaillierte Anforderungen Definition des sicheren Zustands des EUCs durch das SIS Festlegung der Zeitdauer bis zum Erreichen oder Aufrechterhalten eines sicheren Zustands der EUC Festlegung der SIS für Betriebsart mit niedriger oder hoher Anforderungsrate bzw. kontinuierlicher Anforderung 22

23 Methoden und Verfahren zur Verbesserung der Zuverlässigkeit und Sicherheit Schwere von gefährlichen Ereignissen Hardwaresicherheitsklassifizierung Häufigkeit von gefährlichen Ereignissen Risikoklassifizierung Sicherheitsklassifizierung Systemsicherheitsklassifizierung Softwaresicherheitsklassifizierung 23

24 Anforderung zu Funktionale Sicherheit Spezifikation der Sicherheitsanforderungen Alle relevanten Betriebsarten müssen berücksichtigt werden, wie z. B: Vorbereitung zur Verwendung, einschließlich Einstellungen und Justage, Einschaltphase, Lernphase, Automatikbetrieb, manueller Betrieb, halbautomatischer Betrieb, stabile Betriebsphase, stabiler Zustand ohne Betrieb, Rücksetzen, Herunterfahren, Instandhaltung, vernünftigerweise vorhersehbare unnormale Bedingungen Zusätzliche Sicherheitsfunktionen für besondere Betriebsarten Spezifikation der Sicherheitsintegrität (SIL) Spezifikation für beabsichtigte elektromagnetische Verträglichkeit (die elektromagnetische Störfestigkeitsgrenzwerte sind in der IEC festgelegt, Einflüsse einer elektromagnetischen Umgebung sind in der IEC beschrieben). 24

25 Normen IEC Sicherheits integritätslevel(sil) 4 3 Anforderungsmodus Mittlere Auswahlwahrscheinlichkeit, PFD bis<10 4 bis <10 3 Risikoreduzierung > bis > bis Sicherheitsintegritätslevel : Zielvorgaben der Ausfall- Wahrscheinlichkeit bis <10 2 > 100 bis bis <10 1 > 10 bis 100 Ununterbrochener Anforderungsmodus Sicherheitsintegritätslevel (SIL) Häufigkeit gefährlicher Ausfälle pro Stunde, PFH 10 9 bis < bis < bis < bis <10 5 Sicherheitsintegritätslevel : Häufigkeit gefährlicher Ausfälle pro Stunde 25

26 Normen IEC Ähnlich wie in der IEC gibt es in der IEC eine Definition der HW-Fehlertoleranz (HWFT), Sicherheitsintegritätslevel (SIL) und Safe Failure Fraction (SFF) für die programmierbare Elektronik. Sie schließt SIL4 aus, da es in der Prozessindustrie nicht üblich ist, ein SIS mit solch hoher Integrität zu haben. SIL Mindest-Hardware-Fehlertoleranz SFF < 60% SFF 60% bis 90% SFF > 90% Es gelten besondere Anforderungen. Siehe IEC Mindest-Hardware-Fehlertoleranz von PE-Logiksystemen 26

27 Berechnungsmodelle für die Zuverlässigkeit und Sicherheit Übersicht der Berechnungsmethoden für eingebettete Systeme Zuverlässigkeits-Blockdiagramm (reliability block diagram) (ZBD) Markov Modell (MM) Fehlerbaumanalyse (FTA) Petri-Netz-Methode etc. Zu den ersten drei Methoden: Häufig in der Prozesstechnik eingesetzt, wobei ZBD und MM die Majorität haben. Ergeben bei korrekter Anwendung ähnliche Ergebnisse Bei komplexem Modell liefert Zuverlässigkeits-Blockdiagramm etwas ungenaueres Ergebnis als ein Markov-Modell. 27

28 Berechnungsmodelle für die Zuverlässigkeit und Sicherheit Quantitative Berechnung der Ausfallwahrscheinlichkeit eines Systems mit Zuverlässigkeits-Blockdiagrammen In Teil 6 der IEC/EN enthält detaillierte Angaben zur quantitativen Berechnung eines Systems. Die Berechnung erfolgt in folgenden Schritten: Blockdiagramme entsprechend der verwendeten Architektur ermitteln. Bestimmung der Ausfallraten, Grundlage dafür ist die FMEA und Standardwerke, wie z. B. die MIL-HDBK-217F oder die SN Bestimmung der ß-Faktoren anhand der in der IEC angegebenen Tabellen. Abschätzung des DC (Diagnostic coverage). Bestimmung des SFF (Safe Failure Fraction). 28

29 Zuverlässigkeit, Sicherheit, Verfügbarkeit Beispielhafte Vorgehensweise zur Bestimmung von Hardware- Ausfällen Mittlere Wahrscheinlichkeit Die mittlere Wahrscheinlichkeit des Ausfalls einer Sicherheitsfunktion des E/E/PES wird bestimmt, indem man die mittleren Wahrscheinlichkeiten des Ausfalls der einzelnen Teilsysteme ermittelt und addiert. Sub-System-Struktur: 35 % 15 % 50 % 29

30 Anforderungen an Software sicherer eingebetteter Systeme Sicherheitsspezifikation für Anwendungssoftware Die Sicherheitsspezifikation für die Anwendungssoftware muss ausführlich genug sein, damit die Planung und die Umsetzung die geforderte Sicherheitsintegrität erreichen und außerdem eine Beurteilung der funktionalen Sicherheit durchgeführt werden kann. Folgendes muss berücksichtigt werden: von der Anwendungssoftware bereitgestellte Funktionen. Verarbeitungskapazität und Antwortzeiten. Geräte- und Bediener-Schnittstellen und deren Betriebseigenschaften. Alle relevanten Betriebsarten des Verfahrens, die in der Sicherheitsspezifikation des SIS aufgeführt sind. notwendige Maßnahmen bei Signalstörungen wie z.b. Messbereichsverletzung, erkannte Leistungsunterbrechung, erkannter Kurzschluss. 30

31 Anforderungen an Software sicherer eingebetteter Systeme Wiederholungs- und Diagnoseprüfungen externer Geräte (z.b. Sensoren und Aktoren). Überwachung anderer Geräte innerhalb des SIS (z.b Sensoren und Aktoren). Möglichkeiten wiederkehrender Prüfungen sicherheitstechnischer Funktionen im laufenden Betrieb. 31

32 HIMA Safety System Architecture 1oo2D SIL 3 Availabilit y μ P μ P = SIL 3 Protocol 32

33 Common cause failure protection Physical separation of redundant components System bus Same application Room 2 Room 1 33

34 Scalable availability for input connections single sensor dual sensor triple sensor 34

35 Scalable availability for output connections single actuator dual actuator triple actuator 35

36 HIMax remote I/O operation Central installation Remote installation System bus (100m, copper) Copper: 100m, 1Gbit/s Fibre optic cable: 1.5 km, 1Gbit/s Safeethernet via CPU: Any range, 100Mbit/s System bus (FO) 36

37 Danke für Ihre Aufmerksamkeit 37