IEC / DIN EN 61508, Funktionale Sicherheit, Sicherheitsintegrität (SIL)...

Häufig gestellte Fragen zu IEC / DIN EN 61508 / SIL

Allgemeines, Begriffe, Umsetzung

Allgemeines

Die Antworten auf die Fragen erheben nicht den Anspruch einer definitiven technischen Klärung, sondern sollen insbesondere Erstanwender über die Norm informieren. "Elektrische / elektronische / programmierbar elektronische Systeme“ werden im Folgenden angesprochen.

Was ist ein „equipment under control (EUC)“?
Einrichtung, Maschine, Gerät oder Anlage, verwendet zur Fertigung, Stoffumformung, zum Transport, zu medizinischen oder anderen Tätigkeiten (siehe IEC/EN 61508-4, Abschnitt 3.2.3).

Falls eine vernünftigerweise vorhersehbare Aktivität oder Inaktivität zu durch das EUC verursachten Gefährdungen mit unvertretbarem Risiko führt, sind Sicherheitsfunktionen erforderlich, um einen sicheren Zustand für das EUC zu erreichen oder aufrecht zu erhalten. Diese Sicherheitsfunktionen werden durch ein oder mehrere sicherheitsbezogene Systeme ausgeführt.

Das EUC umfasst also alle Einrichtungen, Maschinen, Geräte oder Anlagen, die Gefährdungen verursachen können und für die sicherheitsbezogene Systeme erforderlich sind. Beispiel: Für sicherheitsbezogene Schutzsysteme auf Bohrplattformen beinhaltet die EUC alle Teile der Plattform, die die Sicherheitsanforderungen beeinflussen könnten.

Was bedeutet E/E/PE?
E/E/PE ist eine Abkürzung für elektrisch/elektronisch/programmierbar elektronisch. In IEC/EN 61508-4, Abschnitt 3.2.6, ist der Begrif definiert als "basierend auf elektrischer (E) und/oder elektronischer (E) und/oder programmierbar elektronischer (PE) Technologie".

Was ist Funktionale Sicherheit?
Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion eines sicherheitsbezogenen E/E/PE-Systems, sicherheitsbezogenen Systemen anderer Technologie und externer Einrichtungen zur Risikominderung abhängt. Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.

Was ist ein sicherheitsbezogenes System nach IEC/EN 61508?
Ein sicherheitsbezogenes System schließt alles (Hardware, Software, menschliche Faktoren) ein, das zur Ausführung von einer oder mehrerer Sicherheitsfunktionen erforderlich ist, wobei Ausfälle der Sicherheitsfunktion eine signifikante Zunahme des Sicherheitsrisikos für Personen und/oder Umwelt bedeuten würden.

Ein sicherheitsbezogenes System kann eine eigenständige Anlage zur Ausführung einer bestimmten Sicherheitsfunktion sein (z.B. Brandmeldesystem) oder in eine andere Anlage integriert sein (z.B. Motordrehzahlüberwachung in einer Maschine).

Eine formale Definition ist in IEC/EN 61508-4, Abschnitt 3.4.1, gegeben.

Was ist eine Sicherheitsfunktion?
Funktion, die von einem sicherheitsbezogenen E/E/PE-System, einem sicherheitsbezogenen System anderer Technologie oder externen Einrichtungen zur Risikominderung ausgeführt wird mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Anlagenzustand zu erreichen oder aufrechtzuerhalten.

Was ist ein „Sicherheits-Integritätslevel (SIL)“?
Ein Sicherheits-Integritätslevel ist eine von vier diskreten Stufen, wobei jede Stufe einem Bereich für die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion entspricht. SIL4 stellt die höchste Stufe dar, SIL1 die niedrigste. Dabei ist zu beachten, dass ein Sicherheits-Integritätslevel eine Eigenschaft einer Sicherheitsfunktion ist und sich nicht auf ein System oder Teilsystem bezieht.

Die angegebenen Ausfallgrenzwerte sind hierbei gültig für eine Sicherheitsfunktion, die in der Betriebsart mit niedriger Anforderungsrate betrieben wird.

Rechnerische Ermittlung der sicherheitstechnischen Kenngrößen
Die IEC/EN 61508 unterscheidet zwei Bewertungsverfahren, um eine Aussage über die Eignung einer Sicherheitseinrichtung zu treffen. Es müssen immer beide Bewertungsverfahren durchgeführt werden.

1. Bewertungsverfahren
Das erste Verfahen hat die Hardware-Fehlertoleranz (HFT) und die Sicherheits-Ausfallfraktion (SFF) zum Gegenstand. Hier wird nach dem Grundsatz verfahren, dass ein einfach gestaltetes System (einkanalig) eine Diagnose mit sehr hoher Wirksamkeit benutzen muss, um Fehler im System zu erkennen.

Hingegen reicht bei einem aufwendig gestaltetem System (mehrkanalig) eine Diagnose mit einer geringeren Wirksamkeit, da hier mehrere Kanäle unabhängig voneinander die Schutzfunktion auslösen können.

Die Struktur eines Sicherheitssystems (ein- oder mehrkanalig) drückt sich in der HFT aus, Die in Verbindung mit dem als Ziel gesetzten SIL, ergibt die zu errechnende SFF, die wesentlich durch die Wirksamkeit der Diagnose bestimmt wird.

2. Bewertungsverfahren
Das zweite Bewertungsverfahren besteht in der Berechnung der Ausfallwahrscheinlichkeiten PFD, PFH und basiert auf den Daten der FMECA oder der Fehlerbaumanalyse. Als Berechnungsverfahren sind die Anwendung von Zuverlässigkeitsblockdiagrammen oder Markov-Modellen gebräuchlich.

Die Wahrscheinlichkeit eines gefährlichen Ausfalls ist nach dem Einschalten eines großen Systems eher klein. Mit fortlaufender Betriebszeit steigt die Ausfallwahrscheinlichkeit eines Systems bei Anforderung an. Überschreitet dieser Wert einen zulässigen Grenzwert, so muss ein kompletter Test eines Systems durchgeführt werden.

Theoretisch wäre das System durch einen solchen Test für eine unbegrenzte Zeit einsetzbar, wenn die Ausfallrate immer konstant wäre und nicht am Ende der Lebensdauer stark ansteigen würde (Badewannenkurve).

Was bedeutet Software Safety Integrity im Rahmen der als Ausfallwahrscheinlichkeit definierten Safety Integrity?
Ein Sicherheits-Integritätslevel (SIL) bezieht sich auf eine durchgehende Sicherheitsfunktion eines sicherheitsbezogenen Systems. Wie jede andere Komponente verfügt Software über keinen Sicherheits-Integritätslevel, wenn sie isoliert von einem sicherheitsbezogenen System betrachtet wird. Integriert in ein System, kann sich die Software zur Unterstützung von Sicherheitsfunktionen zu einem bestimmten Sicherheits-Integritätslevel eignen. Dies ist davon abhängig, wie die Software spezifiziert, entwickelt, implementiert, verifiziert, usw. wurde. SILn Software ist eine Kurzform für "Software, entwickelt unter Verwendung angemessener Techniken und Maßnahmen, die sicherstellen, dass die Software die Anforderungen an systematische Ausfälle einer bestimmten Sicherheitsfunktion X für SILn erfüllt".

Hardware zeigt Alterungserscheinungen. Die daraus resultierenden zufälligen Ausfallraten können unter Verwendung statistischer Methoden numerisch beschrieben werden. Diese Effekte treten bei Software nicht auf. Alle Softwareausfälle ergeben sich aus systematischen Fehlern bei der Entwicklung und im Betrieb. Die Anwendung von konventioneller Sicherheitsanalyse auf systematisches Verhalten findet keine breite Akzeptanz. Deswegen sagt die Norm aus, dass es nur hinsichtlich der Sicherheitsintegrität der Hardware möglich ist, quantitativ zu arbeiten und Methoden zur Voraussage der Zuverlässigkeit bei der Beurteilung, ob die Ausfallgrenzwerte (siehe IEC/EN 61508-1, Tabellen 2 und 3) erreicht worden sind, anzuwenden. Um die Ausfallgrenzwerte im Hinblick auf die systematische Sicherheitsintegrität (insbesondere Software) zu erreichen, müssen qualitative Methoden und Beurteilungen unter Berücksichtigung der erforderlichen Vorsichtsmaßnahmen angewendet werden.

Trotz der genannten Schwierigkeiten liefern die Tabellen 2 und 3 von IEC/EN 61508-1 einen nützlichen Rahmen zum Vergleich der verschiedenen Erfüllungsgrade systematischer Sicherheitsintegrität.

Was ist gemeint mit SILn-System, SILn-Teilsystem oder SILn-Komponente?
Ein Sicherheits-Integritätslevel (SIL) ist keine Eigenschaft von Systemen, Teilsystemen oder Komponenten. Die korrekte Interpretation dieser Aussage ist, dass das System, Teilsystem oder die Komponente in Sicherheitsfunktionen bis zum Sicherheits-Integritätslevel n eingesetzt werden kann. Dies allein ist aber nicht ausreichend, um eine Sicherheitsfunktion für den geforderten Sicherheits-Integritätslevel aufzubauen.

Der Sicherheits-Integritätslevel eines Teilsystems bestimmt den höchsten Sicherheits-Integritätslevel, der für eine Sicherheitsfunktion unter Verwendung dieses Teilsystems geltend gemacht werden kann. Aus diesem Grund wird stattdessen manchmal der Begriff "Sicherheits-Integritätslevel claim limit" verwendet. Die Befähigung bzw. Einsetzbarkeit eines Teilsystems für SILn (mit n=1, 2, 3 oder 4) wird erreicht, wenn das Teilsystem die Anforderungen 1 oder 2 (siehe unten) erfüllt.

Designanforderungen für SILn zur Vermeidung und Beherrschung systematischer Fehler nach IEC/EN 61508-2 und IEC/EN 61508-3 oder Anforderungen an Betriebsbewährung nach IEC/EN 61508-2, Abschnitte 7.4.7.6 bis 7.4.7.10.

Was ist eine Beurteilung der Funktionalen Sicherheit (functional safety assessment)?
Dies ist eine auf Nachweise gestützte Untersuchung, die sicherstellt, dass die Funktionale Sicherheit erreicht wurde. Diejenigen Personen, die die Beurteilung der Funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein und einen ausreichenden Unabhängigkeitsgrad besitzen. Sie müssen die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse betrachten und beurteilen, inwieweit die Ziele und Anforderungen der Norm IEC/EN 61508 erreicht worden sind.

Weitere Details sind in IEC/EN 61508-1, Abschnitt 8, zu finden.

Was ist eine Betriebsart?
Die IEC/EN 61508 beschreibt zwei Betriebsarten für Sicherheitsfunktionen. Diese sind die Betriebsart mit niedriger Anforderungsrate (low demand mode) und die Betriebsart mit hoher oder kontinuierlicher Anforderungsrate (high demand or continuous mode). Formale Definitionen der Begriffe sind in IEC/EN 61508-4, Abschnitt 3.5.12, gegeben.

Zum Verständnis dieser beiden Betriebsarten muss zunächst der Unterschied zwischen einer Betriebsart auf Anforderung und einer kontinuierlichen Betriebsart erklärt werden.

Eine Sicherheitsfunktion, die im Anforderungsmodus arbeitet, wird nur auf Anforderung ausgeführt und bringt das zu überwachende System (equipment under control - EUC) in einen definierten sicheren Zustand. Das sicherheitsbezogene E/E/PE-System, das diese Sicherheitsfunktion ausführt, hat keinen Einfluß auf das EUC bevor eine Anforderung an die Sicherheitsfunktion auftritt. Beispiele hierfür: Schutzsysteme in chemischen Anlagen, Antiblockiersysteme in Kraftfahrzeugen.

Eine Sicherheitsfunktion, die im kontinuierlichen Modus arbeitet, hält das EUC immer in seinem normalen sicheren Zustand. Das sicherheitsbezogene E/E/PE-System überwacht das EUC also ständig. Ein gefährlicher Ausfall dieses Systems führt unmittelbar zu einer Gefährdung, falls keine weiteren sicherheitsbezogenen Systeme oder externe Maßnahmen zur Risikominderung wirksam werden.

Beispiele hierfür: Drehzahlüberwachung an Maschinen, Brennersteuerungen.

Was ist der Unterschied zwischen den Betriebsarten low demand mode und high demand or continuous mode?
Die IEC/EN 61508 verwendet Betriebsarten zur Unterscheidung zweier Typen von Sicherheitsfunktionen, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt werden. Die Betriebsarten sind wichtig, wenn die Ausfallgrenzwerte einer Sicherheitsfunktion zum Sicherheits-Integritätslevel in Bezug gesetzt werden.

Die IEC/EN 61508 setzt den Sicherheits-Integritätslevel einer Sicherheitsfunktion in Bezug zur mittleren Ausfallwahrscheinlichkeit der entworfenen Funktion auf Anforderung (für low demand mode, siehe IEC/EN 61508-1, Tabelle 2); Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (für high demand or continuous mode, siehe IEC/EN 61508-1, Tabelle 3).

Low demand mode liegt vor, wenn die Anforderungsrate an das sicherheitsbezogene System nicht mehr als einmal pro Jahr beträgt und nicht größer als die doppelte Frequenz der Wiederholungsprüfung ist.

High demand or continuous mode liegt vor, wenn die Anforderungsrate an das sicherheitsbezogene System mehr als einmal pro Jahr beträgt oder größer als die doppelte Frequenz der Wiederholungsprüfung ist (siehe auch IEC/EN 61508-4, Abschnitt 3.5.12).

Gute Beratung schafft Wissensvorsprung und Erfolg.
Sichern Sie sich diese Vorteile.

Vereinbaren Sie ein Gespräch oder schreiben Sie uns Ihr Anliegen mittels des dafür vorgesehenen Formulars.