Funktionale Sicherheit SIL Safety Integrity Level

Transkript

1

2

3 Funktionale Sicherheit SIL Safety Integrity Level Dr. Thomas Reus Matthias Garbsch Bemerkung Diese Broschüre wurde nach bestem Wissen und Gewissen erstellt. Für mögliche Irrtümer übernehmen wir keine Gewähr. Maßgebend sind in jedem Fall die Betriebsanleitungen zu den entsprechenden Geräten.

4 Vorwort Zielgruppe Diese Broschüre soll eine Hilfestellung zum Einstieg in die funktionale Sicherheit (Kapitel 4 Glossar, Seite 15) geben. Sie richtet sich an Kunden und Mitarbeiter von JUMO, und beschränkt sich inhaltlich auf die Bereiche und Anwendungen, in denen JUMO-Produkte zum Einsatz kommen. Warum JUMO SIL-Produkte anbietet Bei JUMO werden unter anderem auch Produkte im Sinne der Druckgeräterichtlinie, der Maschinenrichtlinie, der ATEX-Richtlinie und spezieller sicherheitstechnischer Produktnormen, wie zum Beispiel der DIN 3440 entwickelt und produziert. Für solche Produkte, die speziell für Sicherheitszwecke konstruiert werden, ist die DIN EN mittlerweile unumgänglich, da sie den Stand der Technik für die funktionale Sicherheit definiert. Übersicht zu Produkten mit SIL-Fähigkeit Eine aktuelle Übersicht und nähere Informationen zu unseren SIL-zugelassenen Podukten findet man unter r Produkte r Zulassungen r SIL. Begriffsklärung In dieser Broschüre verwenden wir häufig nur den Begriff DIN EN Diese Norm trägt den vollen Titel Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme. Inhaltlich identisch ist der internationale Standard IEC Dr. Thomas Reus Matthias Garbsch JUMO GmbH & Co. KG Moritz-Juchheim-Straße Fulda, Germany Telefon: /2583 Telefax: thomas.reus@jumo.net matthias.garbsch@jumo.net Internet: Nachdruck mit Quellennachweis gestattet! Teilenummer: Buchnummer: FAS630 Druckdatum: ISBN:

5 Inhalt 1 Rechtliche Grundlagen, Bedeutung von Normen Motivation von Normen Normen für funktionale Sicherheit Entstehung der DIN EN Rechtliche Stellung der DIN EN im Sinne einer EU-Richtlinie Grundlegendes Prinzip der DIN EN Neuerungen gegenüber den bisherigen Sicherheitsnormen Risikominderung Tolerierbares Risiko Lebenszyklus Aufgabe von JUMO innerhalb des Sicherheits-Lebenszyklus Begriffe aus der DIN EN Die Sicherheitsintegrität und ihr Maß der Sicherheits-Integritätslevel SIL PFD, PFH: Betriebsarten und Versagenswahrscheinlichkeiten HFT, SFF: Sicherheitsintegrität der Hardware Lifetime und Proof-Check-Intervall Ausfallrate Glossar Funktionale Sicherheit SIL

6 Inhalt Funktionale Sicherheit SIL

7 1 Rechtliche Grundlagen, Bedeutung von Normen 1.1 Motivation von Normen Unser tägliches Leben ist geprägt durch Maschinen und Anlagen, denen wir blind unser Leben anvertrauen, zum Beispiel Autos, Ampeln, medizinische Geräte und Energieanlagen. Daher hat der Gesetzgeber in den verschiedensten Bereichen Gesetze und andere Rechtsvorschriften erlassen, die die jeweiligen Anforderungen bezüglich der Sicherheit definieren. In Deutschland erlassen zum Beispiel Berufsgenossenschaften als gesetzliche Unfallversicherung Unfallverhütungsvorschriften und überwachen diese. EU-weit legen EU-Richtlinien Anforderungen an Anlagen und deren Betreiber zum Schutz der Gesundheit der Menschen und der Qualität der Umwelt fest. Sie fordern bestimmte Produkteigenschaften zum Schutz der Sicherheit und Gesundheit der Verbraucher. Die Einhaltung der Normen bzw. der geforderten Sicherheitsziele wird in Deutschland durch das Geräte- und Produktsicherheitsgesetz sowie durch den Schadenersatzanspruch gemäß 823 Bürgerliches Gesetzbuch mit Nachdruck gefordert. Dadurch sind sowohl Gerätehersteller wie JUMO als auch Anlagenbetreiber verpflichtet, die entsprechenden Sicherheitsziele zu erreichen. In anderen Ländern gelten ähnliche Vorschriften. Hierbei muss man unterscheiden zwischen sicheren Produkten im allgemeinen Sinne und solchen Produkten, die speziell für Sicherheitszwecke konstruiert werden. Für die Letzteren ist die DIN EN mittlerweile unumgänglich, da sie den Stand der Technik für die funktionale Sicherheit definiert. 1.2 Normen für funktionale Sicherheit Entstehung der DIN EN Auslöser war ein Giftgasunfall im norditalienischen Ort Seveso im Juli Die EU-Richtlinie 96/82/EU definiert seit dem die rechtlichen Bestimmungen für Anlagen mit großem Gefahrenpotenzial. Die deutsche Umsetzung der Richtlinie 96/82/EU erfolgt durch die Störfallverordnung im Bundes- Immissionsschutzgesetz (12. BImSchV). Die Störfallverordnung verwies bis zum auf die DIN V und DIN V In diesen Normen sind die die Anforderungsklassen AK 1-8 definiert. Seit 2002 bietet die DIN EN einen neuen Ansatz zur Risikobeurteilung und zum notwendigen Nachweis der Wirksamkeit von sicherheitsgerichteten Anlagen, um der Störfallverordnung weiterhin gerecht zu werden. Sie definiert vier Sicherheitsstufen: SIL1 bis SIL4. Die DIN EN löst somit die Normen DIN V und DIN V ab. Die Ratifizierung der Normenreihe erfolgte im Juli Damit wurde die Norm durch die Europäische Normenorganisation CENELEC übernommen. Am 1. August 2002 wurde sie als DIN EN (VDE 0803) in das deutsche Normenwerk übernommen und definiert damit den Stand der Technik für E/E/PES (elektrische, elektronische und programmierbar elektronische Systeme), die für Sicherheitsfunktionen in sicherheitskritischen Anwendungen zum Einsatz kommen. Die DIN EN ist eine generische, das heißt anwendungsunabhängige, Norm. Sie ist eine Basisnorm und daher allgemeingültig für alle E/E/PES. Die DIN EN basiert auf dem internationalen Standard IEC und besitzt somit weltweite Gültigkeit. Sie ist das erste international abgeglichene Regelwerk, das anwendungsunabhängig für alle E/E/PES ist. Nach und nach werden nun daraus anwendungsspezifische Normen abgeleitet, zum Beispiel DIN EN für die funktionale Sicherheit in der Prozesstechnik, DIN EN für die funktionale Sicherheit in Maschinensteuerungen. JUMO, FAS 630, Ausgabe Rechtliche Grundlagen, Bedeutung von Normen 5

8 1 Rechtliche Grundlagen, Bedeutung von Normen Die normtechnische Weiterentwicklung war notwendig, da moderne sicherheitskritische Prozesse immer komplexer werden. Bis Mitte der 1990er-Jahre galt: Der Einsatz von Mikroelektronik oder Mikrorechnern in der Sicherheitstechnik ist undenkbar oder nur mit größtem prüftechnischen Aufwand möglich. Viele Normen und Standards enthielten bis dahin Regelungen, die ausdrücklich konventionelle Lösungen mit relais- oder schützgestützten Verriegelungen vorschrieben. Damit war der Einsatz von modernerem, wirtschaftlicherem und oftmals sogar sicherheitstechnisch hochwertigerem Equipment nicht erlaubt. Die Anforderungen, die ein System erfüllen soll, werden jedoch immer vielfältiger und lassen sich in der Regel nur mit elektronischen Lösungen wirtschaftlich erfüllen. Insbesondere gilt dies im Bereich der sicheren digitalen Rechner- und Automatisierungstechnik, in denen komplexe Schaltungen der Digitaltechnik als zentrale Einheit verwendet werden. 1.3 Rechtliche Stellung der DIN EN im Sinne einer EU-Richtlinie Die Norm DIN EN beschreibt den Stand der Technik in Bezug auf funktionale Sicherheit. Sie ist aber nicht unter einer EU-Richtlinie harmonisiert, das heißt eine automatische Vermutungswirkung zur Erfüllung der Schutzziele einer Richtlinie geht von ihr nicht aus. Ihre Einhaltung ist daher zurzeit noch freiwillig und somit unverbindlich im Sinne der EU-Richtlinien. Dennoch kann der Hersteller eines Produktes der Sicherheitstechnik die DIN EN61508 auch zur Erfüllung grundlegender Anforderungen aus Europäischen Richtlinien verwenden. Dies ergibt sich nach der neuen Konzeption der Norm, zum Beispiel in folgenden Fällen: Aus einer harmonisierten Europäischen Norm (beispielsweise DIN EN 954, DIN EN harmonisieren die Maschinenrichtlinie) wird auf die DIN EN verwiesen. Hierdurch wird sichergestellt, dass die betreffenden Anforderungen der Richtlinien eingehalten werden ( mitgeltende Norm ). Wendet der Hersteller die DIN EN im Sinne dieser Verweisung sachkundig und verantwortungsbewusst an, so nutzt er die Vermutungswirkung der verweisenden Norm. Es existiert keine harmonisierte Norm für den betreffenden Anwendungsbereich (wie z. B. DIN 3440, DIN EN 14597). In diesem Fall darf der Hersteller die DIN EN verwenden (Stand der Technik). Sie hat aber keine Vermutungswirkung. Erklärung: Zusätzlich wurde bereits für die Prozessindustrie die DIN EN als Fachgrundnorm von der DIN EN abgeleitet. Ebenso liegt für die Maschinenrichtlinie die DIN EN vor. Im Bereich der Feuerungstechnik liegt als Norm die DIN EN vor. 6 1 Rechtliche Grundlagen, Bedeutung von Normen JUMO, FAS 630, Ausgabe

9 2 Grundlegendes Prinzip der DIN EN Neuerungen gegenüber den bisherigen Sicherheitsnormen In der Norm DIN EN für funktionale Sicherheit sind die Anforderungen an sicherheitsbezogene Systeme allgemein in Safety Integrity Levels (SIL) (siehe Glossar) eingeteilt. Geräte, Sensoren oder Steuerungen müssen daher eine SIL-Einstufung im Sinne der Norm erhalten. Hinzu kommt ein neues Verständnis von Sicherheit. Während in den bisherigen sicherheitstechnischen Normen eine rein qualitative Betrachtung üblich war, verlangt die neue Norm erstmals die quantitative Betrachtung des gesamten Systems und den Nachweis des hinreichend niedrigen Restrisikos. Außerdem wird erstmals auch der gesamte Sicherheits-Lebenszyklus eines Systems geregelt, siehe Kapitel 2.4 Lebenszyklus, Seite Risikominderung Jede Anwendung von Technik bedeutet gleichzeitig ein sicherheitstechnisches Risiko. Je mehr Menschen, Sachwerte oder Umweltbereiche gefährdet sind, desto mehr Maßnahmen müssen auch zur Risikominderung umgesetzt werden. Das Risiko soll mindestens soweit verringert werden, dass die Wahrscheinlichkeit, dass eine Person durch Versagen einer technischen Einrichtung in einem Jahr ums Leben kommt, kleiner 10-4 Todesfälle/pro Person und Jahr ist. Dies entspricht annähernd dem natürlichen Risiko, dass ein Mensch im Laufe eines Jahres um das Leben kommt. Dieses Risiko schwankt mit dem Alter der Person und liegt zwischen 10-2 und Einen Überblick über Grundrisiken gibt Abbildung 1 auf Seite 8. Um die funktionale Sicherheit einer Maschine oder Anlage zu erreichen, ist es notwendig, dass die sicherheitsrelevanten Teile der Schutz- und Steuereinrichtung korrekt funktionieren und sich im Fehlerfall so verhalten, dass die Anlage in einem sicheren Zustand bleibt oder in einen sicheren Zustand gebracht wird. Zielsetzung der DIN EN ist es, Fehler in sicherheitsbezogenen Systemen zu vermeiden oder zu beherrschen und die Wahrscheinlichkeit gefährlicher Ausfälle (Risiko) auf definierte Weise zu begrenzen. Für das verbleibende Restrisiko wird ein quantitativer Nachweis gefordert. JUMO, FAS 630, Ausgabe Grundlegendes Prinzip der DIN EN

10 2 Grundlegendes Prinzip der DIN EN natürlicher Tod Jahre natürlicher Tod Jahre 10-3 Arbeitsunfall im Bergbau Tod als Risiko je Kopf und Jahr natürlicher Tod 5-15 Jahre Verkehrsunfall Haushaltsunfall Arbeitsunfall (Chemie) Ertrinken Mordanschlag (BRD) Naturkatastrophen (USA), Stromschlag (BRD) 10-6 Blitzschlag (BRD) Bienenstich 10-7 durch abstürzendes Flugzeug erschlagen werden Abbildung 1: Übersicht Grundrisiken 8 2 Grundlegendes Prinzip der DIN EN JUMO, FAS 630, Ausgabe

11 2.3 Tolerierbares Risiko 2 Grundlegendes Prinzip der DIN EN Das tolerierbare Risiko einer jeden Technik ist nicht immer eindeutig definiert, sondern wird auf gesellschaftlicher Basis bestimmt und berücksichtigt gesellschaftliche und politische Faktoren. Wird das Risiko einer technischen Anlage als zu hoch angesehen, dann müssen besondere Maßnahmen zur Risikominderung ergriffen werden. Die notwendige Risikominderung wird durch eine Kombination aller sicherheitsbezogenen Schutzmaßnahmen erreicht. Das Restrisiko sollte höchstens gleich dem tolerierbaren Risiko sein. Das Restrisiko muss letztlich von dem Anlagenbetreiber getragen und akzeptiert werden. Restrisiko tolerierbares Risiko Risiko ohne Schutzmaßnahmen notwendige Risikominderung ansteigendes Risiko aktuelle Risikominderung Durch sicherheitsbezogene Systeme anderer Technologie abgedecktes Teilrisiko Durch sicherheitsbezogene E / E / PE-Systeme abgedecktes Teilrisiko Durch externe Einrichtungen zur Risikominderung abgedecktes Teilrisiko Durch alle sicherheitsbezogenen Systeme und externe Einrichtungen zur Risikominderung erreichte Risikominderung Abbildung 2: Risikominderung: Allgemeine Konzepte JUMO, FAS 630, Ausgabe Grundlegendes Prinzip der DIN EN

12 2 Grundlegendes Prinzip der DIN EN Lebenszyklus Die Betreiber von sicherheitstechnischen Anlagen haben während des gesamten Lebenszyklus geeignete Maßnahmen zur Risikobeurteilung und Risikominderung zu ergreifen. Hierzu schreibt die Norm DIN EN folgende Schritte vor: Risikodefinition und -bewertung nach detaillierten Versagenswahrscheinlichkeiten sowohl für den gesamten Schutzkreis (Loop) von der Messstelle über die Steuerung bis zum Aktor als auch für den gesamten Lebenszyklus (Overall Safety Lifecycle) der Anwendung. Dies kann zum Beispiel durch eine FMEDA (Failure Mode, Effect and Diagnostics Analysis) oder Hazard Analysis geschehen. Festlegen und Umsetzen der Maßnahmen (Management of Functional Safety) zur Restrisikominderung. Einsatz geeigneter (zertifizierter) Geräte periodische Überprüfung der korrekten Einhaltung von Vorgaben Eine Übersicht über die systematische Vorgehensweise gibt die Abbildung 3. Als erstes wird eine Fehleranalyse durchgeführt. Danach erfolgen die Auswahl der Maßnahmen zur Beherrschung der Fehler sowie die Umsetzung dieser Maßnahmen. Sicherheits- Lebenszyklus Sicherheits- Management Spezifikation Planung und Implementierung Technische Anforderungen Installation und Inbetriebnahme Fehlerursachen Qualifikation Personal Betrieb und Wartung Änderung nach Inbetriebnahme Abbildung 3: Vorgehensweisen zur Umsetzung der DIN EN Aufgabe von JUMO innerhalb des Sicherheits-Lebenszyklus Die Betreiber von sicherheitstechnischen Anlagen benötigen von allen eingesetzten Geräten eine Reihe von technischen Daten und Informationen, um die geforderte Risikobewertung für den gesamten Schutzkreis und für die gesamte Lebensdauer vornehmen zu können. Dabei ist es für den Anlagenbetreiber natürlich vorteilhaft, wenn er SIL-zertifizierte Geräte einsetzen kann. In diesem Fall hat der Hersteller, beispielsweise JUMO, die erforderlichen Daten für das betreffende Gerät mittels einer detaillierten Gefährdungs- und Risikoanalyse bereits ermittelt. In einem Sicherheitshandbuch (Safety Manual) sind dann alle relevanten Daten und Informationen für den Kunden dargelegt. Die dort verwendeten Begriffe werden im folgenden Kapitel erklärt Grundlegendes Prinzip der DIN EN JUMO, FAS 630, Ausgabe

13 3.1 Die Sicherheitsintegrität und ihr Maß der Sicherheits-Integritätslevel SIL 3 Begriffe aus der DIN EN Die Sicherheitsintegrität (sicherheitsbezogene Zuverlässigkeit, englisch: safety integrity) eines Systemes, ist die Wahrscheinlichkeit, dass ein sicherheitstechnisches System die erforderliche sicherheitstechnische Funktion unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes ausführt. Der Sicherheits-Integritätslevel (SIL) ist das Maß für die Sicherheitsintegrität. Er ist in vier diskrete Stufen eingeteilt, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste Stufe darstellt. Der erreichbare SIL wird durch folgende Kenngrößen bestimmt: Wahrscheinlichkeit gefährlicher Ausfälle einer Sicherheitsfunktion (PFD oder PFH) Hardware Fehlertoleranz (HFT) Anteil ungefährlicher Ausfälle (SFF) Art der Komponente (Typ A oder Typ B) Lifetime und Proofcheck 3.2 PFD, PFH: Betriebsarten und Versagenswahrscheinlichkeiten Für die SIL-Einstufung eines Gerätes unterscheidet man zwei Betriebsarten: Low Demand Mode und High Demand Mode. Low Demand Mode Bei der Betriebsart Low Demand Mode nimmt man an, dass die Sicherheitsfunktion durchschnittlich einmal im Jahr angefordert wird. In diesem Fall ergibt sich der SIL-Wert aus dem PFD-Wert (Probability of failure on demand). PFD ist eine Maßzahl für die Wahrscheinlichkeit eines Ausfalles der Sicherheitsfunktion in einer Betriebsart mit niedriger Anforderungsrate. Typischerweise findet man den Low Demand Mode bei Anlagen der Prozessindustrie. Dort gibt es zum Beispiel Notabschaltsysteme, die erst dann aktiv werden, wenn der normale Prozess außer Kontrolle gerät. High Demand Mode Bei der Betriebsart High Demand Mode nimmt man an, dass die Sicherheitsfunktion kontinuierlich oder durchschnittlich einmal pro Stunde angefordert wird. Für eine hohe oder kontinuierliche Anforderungsrate wird die Maßzahl PFH (Probability of failure per hour) verwendet, die die Wahrscheinlichkeit eines Ausfalls der Sicherheitsfunktion pro Stunde angibt. Typischerweise findet man den High Demand Mode bei Anlagen der Fertigungsindustrie, bei denen eine kontinuierliche Überwachung der Arbeitsprozesse notwendig ist. JUMO, FAS 630, Ausgabe Begriffe aus der DIN EN

14 3 Begriffe aus der DIN EN Betriebsart mit niedriger Anforderungsrate (Low Demand Mode) Sicherheits- PFD Integritätslevel (mittlere Ausfallwahrscheinlichkeit der Sicherheitsfunktion bei Anforderung) SIL bis <10-4 SIL bis <10-3 SIL bis <10-2 SIL bis <10-1 Tabelle 1: Sicherheits-Integritätslevel: Ausfallgrenzwerte für eine Sicherheitsfunktion, die in der Betriebsart mit niedriger Anforderungsrate betrieben wird Betriebsart mit hoher Anforderungsrate (High Demand Mode) Sicherheits- PFH Integritätslevel (Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde) SIL bis <10-8 SIL bis <10-7 SIL bis <10-6 SIL bis <10-5 Tabelle 2: Sicherheits-Integritätslevel: Ausfallgrenzwerte für eine Sicherheitsfunktion, die in der Betriebsart mit hoher Anforderungsrate oder kontinuierlicher Anforderung betrieben wird 3.3 HFT, SFF: Sicherheitsintegrität der Hardware Zusätzlich werden zur SIL-Klassifizierung folgende Kenngrößen verwendet: die Hardware-Fehlertoleranz HFT (Hardware Fault Tolerance) der Anteil ungefährlicher Ausfälle SFF (Safe Failure Fraction) Die Tabellen 3 und 4 zeigen den Zusammenhang. Nach DIN EN ist hierbei zwischen Systemen vom Typ A und Systemen vom Typ B zu unterscheiden. Systeme vom Typ A Ein Teilsystem kann als vom Typ A betrachtet werden, wenn für die Bauteile, die für das Erreichen der Sicherheitsfunktion erforderlich sind, a) das Ausfallverhalten aller eingesetzten Bauteile ausreichend definiert ist und b) das Verhalten des Teilsystems unter Fehlerbedingungen vollständig bestimmt werden kann sowie c) verlässliche Ausfalldaten durch Felderfahrungen für das Teilsystem existieren, um zu zeigen, dass die angenommenen Ausfallraten für erkannte und unerkannte gefahrbringende Ausfälle erreicht werden Begriffe aus der DIN EN JUMO, FAS 630, Ausgabe

15 3 Begriffe aus der DIN EN Systeme vom Typ B Alle anderen Systeme sind vom Typ B, das heißt ein Teilsystem kann als vom Typ B betrachtet werden, wenn für die Bauteile, die für das Erreichen der Sicherheitsfunktion erforderlich sind, d) das Ausfallverhalten von mindestens einem eingesetzten Bauteil nicht ausreichend definiert ist oder e) das Verhalten des Teilsystems unter Fehlerbedingungen nicht vollständig bestimmt werden kann oder f) keine ausreichend zuverlässigen Ausfalldaten aus Felderfahrung für das Teilsystem vorliegen, um die in Anspruch genommenen Ausfallraten für erkannte und unerkannte gefahrbringende Ausfälle zu unterstützen HFT (Hardware-Fehlertoleranz) Eine Fehlertoleranz der Hardware von N bedeutet, dass N+1-Fehler zu einem Verlust der Sicherheitsfunktion führen können. Die Hardware-Fehlertoleranz wird durch die verwendete Architektur MooN festgelegt. Mit Hilfe der Bezeichnung MooN (Architektur mit M aus N-Kanälen, englisch: M out of N) wird die Architektur eines SIL-Gerätes beschrieben. Zum Beispiel bedeutet 1oo2 eine Architektur mit 2 Kanälen, wobei jeder der beiden Kanäle die Sicherheitsfunktion ausführen kann. Ein System 1oo2 hat HFT = 1. Ein System 1oo1 hat HFT = 0. SFF (Safe Failure Fraction) SFF ist der Anteil ungefährlicher Ausfälle, das heißt je höher der benötigte SIL-Wert ist, umso höher muss der SFF sein. Der SFF eines Systems wird aus den einzelnen Ausfallraten ( -Werte) der Einzelkomponenten berechnet, siehe Kapitel 3.5 Ausfallrate, Seite 14. Typ-A-Systeme Anteil ungefährlicher Ausfälle Fehlertoleranz der Hardware (SFF) HFT = 0 HFT = 1 HFT = 2 <60 % SIL 1 SIL 2 SIL 3 60 bis <90 % SIL 2 SIL 3 SIL 4 90 bis <99 % SIL 3 SIL 4 SIL 4 99 % SIL 3 SIL 4 SIL 4 Tabelle 3: Sicherheitsintegrität der Hardware: Einschränkungen auf Grund der Architektur für sicherheitsbezogene Typ-A-Teilsysteme Typ-B-Systeme Anteil ungefährlicher Ausfälle Fehlertoleranz der Hardware (SFF) HFT = 0 HFT = 1 HFT = 2 <60 % nicht erlaubt SIL 1 SIL 2 60 bis <90 % SIL 1 SIL 2 SIL 3 90 bis <99 % SIL 2 SIL 3 SIL 4 99 % SIL 3 SIL 4 SIL 4 Tabelle 4: Sicherheitsintegrität der Hardware: Einschränkungen auf Grund der Architektur für sicherheitsbezogene Typ-B-Teilsysteme JUMO, FAS 630, Ausgabe Begriffe aus der DIN EN

16 3 Begriffe aus der DIN EN Lifetime und Proof-Check-Intervall Lifetime Nach Ablauf seiner Lifetime muss ein Gerät ausgewechselt werden, da es dann nicht mehr den Anforderungen gemäß seiner SIL-Zertifizierung entspricht. Proof-Check-Intervall Der Proof-Check-Intervall ist eine wiederkehrende Prüfung zur Aufdeckung von Ausfällen in einem SIL-System, sodass nötigenfalls das System in einem Wie-Neu -Zustand gebracht werden kann. Wenn das Proof-Check-Intervall gleich der Lifetime ist, dann ist kein Proof-Check erforderlich. 3.5 Ausfallrate Nach erfolgter Gefährdungs- und Risikoanalyse ergibt sich die Notwendigkeit, diese in einem System umzusetzen. Eine wichtige Rolle spielt dabei die Fähigkeit eines Systems, Fehler aufzudecken und der Auswirkung entsprechend zu reagieren. Deshalb unterscheidet man gefährliche und ungefährliche Fehler sowie die Möglichkeit, die Fehler zu entdecken oder nicht. Die Ausfallrate durch Fehler wird in dem Faktor definiert und teilt sich generell in vier Gruppen auf (siehe Abbildung 4): SD = safe detected failure rate (entdeckte und ungefährliche Fehler) SU = safe undetected failure rate (unentdeckte und ungefährliche Fehler) DD = dangerous detected failure rate (entdeckte und gefährliche Fehler) DU = dangerous undetected failure rate (unentdeckte und gefährliche Fehler) Normalerweise haben die entdeckten und ungefährlichen Fehler den größten Anteil. Die unentdeckten und gefährlichen Fehler DU stellen dagegen nur einen kleinen Teil von allen Fehlern dar. Diese Art von Fehlern sind aber die gefährlichsten und deren Anteil muss durch entsprechende Maßnahmen so gering wie möglich gehalten werden. Die Maßzahl für die -Werte ist FIT (Fehler pro Zeit, pro h). DU DD SU SD Abbildung 4: Fehler im Detail 14 3 Begriffe aus der DIN EN JUMO, FAS 630, Ausgabe

17 4 Glossar Ausfallrate l (Failure rate) E/E/PES FIT (Failure in Time) Funktionale Sicherheit (Functional Safety) HFT (Hardware fault tolerance) Lifetime MooN (M out of N) PFD (Probability of failure on demand) PFH (Probability of failure per hour) Proof-Check-Intervall SFF (Safe failure fraction) SIL (Safety Integrity Level) = Die Ausfallrate eines Systems durch Fehler teilt sich generell in vier Gruppen auf: SD = safe detected failure rate (entdeckte und ungefährliche Fehler), SU = safe undetected failure rate (unentdeckte und ungefährliche Fehler), DD = dangerous detected failure rate (entdeckte und gefährliche Fehler), DU = dangerous undetected failure rate (unentdeckte und gefährliche Fehler). = Elektrische, elektronische und programmierbare elektronische Systeme = Fehler pro Zeit ( pro h) = Die Fähigkeit eines Systems, die notwendigen Aktionen durchzuführen, um einen definierten sicheren Status für Anlagen unter Systemkontrolle zu erlangen oder zu erhalten. = Eine Fehlertoleranz der Hardware von N bedeutet, dass N+1-Fehler zu einem Verlust der Sicherheitsfunktion führen können. = Nach Ablauf seiner Lifetime muss ein Gerät ausgewechselt werden, da es dann nicht mehr den Anforderungen gemäß seiner SIL-Zertifizierung entspricht. = Sicherheitsarchitektur mit M aus N-Kanälen, zum Beispiel bedeutet 1oo2 eine Architektur mit 2 Kanälen, wobei jeder der beiden Kanäle die Sicherheitsfunktion ausführen kann. = PFD ist eine Maßzahl für die Wahrscheinlichkeit eines Ausfalles der Sicherheitsfunktion in einer Betriebsart mit niedriger Anforderungsrate (Wahrscheinlichkeit, dass das System bei Anforderung gefährlich versagt). Für eine hohe oder kontinuierliche Anforderungsrate wird die Maßzahl PFH verwendet, die die Wahrscheinlichkeit eines Ausfalls der Sicherheitsfunktion pro Stunde angibt (gefährliche Versagensrate). = Der Proof-Check ist eine wiederkehrende Prüfung zur Aufdeckung von Ausfällen in einem SIL-System, sodass nötigenfalls das System in einen Wie-Neu -Zustand gebracht werden kann. = Anteil ungefährlicher Ausfälle = Der Sicherheits-Integritätslevel (SIL) ist ein Maß für die Sicherheitsintegrität eines Systems. Die Sicherheitsintegrität ist die Wahrscheinlichkeit, dass das System die erforderliche sicherheitstechnische Funktion unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes ausführt. Der SIL ist in vier diskrete Stufen eingeteilt, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste darstellt. JUMO, FAS 630, Ausgabe Glossar 15

18 4 Glossar 16 4 Glossar JUMO, FAS 630, Ausgabe

19 Fachliteratur von JUMO Lehrreiches für Einsteiger und Praktiker Nicht nur bei der Herstellung von JUMO-Produkten, auch beim späteren Einsatz ist Know-How gefragt. Deshalb bieten wir unseren Anwendern von uns erstellte Publikationen zu Themen der Mess- und Regelungstechnik an. Die Publikationen sollen Einsteigern und Praktikern die unterschiedlichsten Anwendungsgebiete schrittweise näher bringen. Hierbei werden überwiegend allgemeine Themenbereiche, zum Teil aber auch JUMO-spezifische Anwendungen, erläutert. Zusätzlich zur JUMO-Fachliteratur, bieten wir Ihnen neben unseren Software-Downloads die Möglichkeit der direkten Online-Bestellung von Prospekten und CD-ROM-Katalogen. Elektrische Temperaturmessung mit Thermoelementen und Widerstandsthermometern Matthias Nau FAS 146 Teile-Nr.: ISBN: zum Preis von 14,- EUR Regelungstechnik Grundlagen für den Praktiker Manfred Schleicher FAS 525 Teile-Nr.: ISBN: zum Preis von 14,- EUR Explosionsschutz in Europa Elektrische Betriebsmittel Grundlagen, Richtlinien, Normen Jürgen Kuhlmei FAS 547 Teile-Nr.: ISBN: zum Preis von 9,- EUR Reinstwassermessung Reinhard Manns FAS 614 Teile-Nr.: kostenfrei Messung der Redoxspannung Ulrich Braun FAS 615 Teile-Nr.: kostenfrei Amperometrische Messung von freiem Chlor, Chlordioxid und Ozon Dr. Jürgen Schleicher FAS 619 Teile-Nr.: kostenfrei Thyristor-Leistungssteller Grundlagen und Tipps für den Praktiker Manfred Schleicher, Winfried Schneider FAS 620 Teile-Nr.: ISBN: zum Preis von 9,- EUR Messung des ph-wertes Matthias Kremer FAS 622 Teile-Nr.: kostenfrei

20 Fachliteratur von JUMO Lehrreiches für Einsteiger und Praktiker Leitfähigkeitsmessung, Konzentration, TDS Reinhard Manns FAS 624 Teile-Nr.: kostenfrei Messunsicherheit einer Temperaturmesskette mit Beispielrechnungen Gerd Scheller, Stefan Krummeck FAS 625 Teile-Nr.: ISBN: zum Preis von 3,- EUR Messung von Wasserstoffperoxid/ Peressigsäure Dr. Jürgen Schleicher FAS 628 Teile-Nr.: kostenfrei Funktionale Sicherheit SIL Dr. Thomas Reus Matthias Garbsch FAS 630 Teile-Nr.: kostenfrei Messung von Ammoniak Dr. Jürgen Schleicher FAS 631 Teile-Nr.: kostenfrei Analysenmesstechnik in flüssigen Medien Ein Handbuch für Praktiker Dr. Öznur Brandt, Ulrich Braun, Matthias Kremer, Reinhard Manns, Dr. Jürgen Schleicher FAS 637 Teile-Nr.: ISBN: zum Preis von 19,- EUR Besuchen Sie unsere Website auf und überzeugen Sie sich von der umfangreichen Produktpalette für die verschiedensten Einsatzgebiete. Dort finden Sie weitere Informationen und die richtigen Ansprechpartner für Ihre Wünsche, Fragen, Anregungen und Bestellungen.

21

22