QMT Ingenieurbüro

Normen

DIN EN IEC 61508-1...7

DIN EN IEC 61508-1Die DIN EN IEC 61508 (VDE 0803-1) behandelt diejenigen Gesichtspunkte, die zu betrachten sind, wenn elektrische/elektronische/ programmierbare elektro-nische (E/E/PE) Systeme zur Ausführung von Sicher- heitsfunktionen eingesetzt werden. (Beuth-Verlag)

DIN EN IEC 61511-1...3 und VDI/VDE 2180 Bl 1...5

DIN EN IEC 61511Die DIN EN IEC 61511 ist innerhalb des Rahmens der DIN EN IEC IEC 61508 als Sicherheitsgrundnorm für funktionale Sicherheit auf die Prozessindustrie und deren sicherheitstechnische Systeme zugeschnitten. (Beuth-Verlag)

DIN EN ISO 13849-1...2

DIN EN ISO 13849-1Die DIN EN ISO 13849 stellt Sicherheitsanforderungen und einen Leitfaden für die Prinzipien der Gestaltung und Integration sicherheits- bezogener Teile (SRP/CS) bereit, einschließlich der Entwicklung von Software. (Beuth-Verlag)

 

  - Funktionale Sicherheit, SIL: Häufig gestellte Fragen
    r82g119b82 (1K)
    Unsere Antworten

Die Antworten auf die Fragen erheben nicht den Anspruch einer definitiven technischen Klärung, sondern sollen insbesondere Erstanwender über die Norm informieren. "Elektrische / elektronische / programmierbar elektronische Systeme“ werden im Folgenden angesprochen.

Was ist ein „equipment under control (EUC)“?
Einrichtung, Maschine, Gerät oder Anlage, verwendet zur Fertigung, Stoffumformung, zum Transport, zu medizinischen oder anderen Tätigkeiten (siehe IEC/EN 61508-4, Abschnitt 3.2.1).

Falls eine vernünftigerweise vorhersehbare Aktivität oder Inaktivität zu durch das EUC verursachten Gefährdungen mit unvertretbarem Risiko führt, sind Sicherheitsfunktionen erforderlich, um einen sicheren Zustand für das EUC zu erreichen oder aufrecht zu erhalten. Diese Sicherheitsfunktionen werden durch ein oder mehrere sicherheitsbezogene Systeme ausgeführt.

Das EUC umfasst also alle Einrichtungen, Maschinen, Geräte oder Anlagen, die Gefährdungen verursachen können und für die sicherheitsbezogene Systeme erforderlich sind. Beispiel: Für sicherheitsbezogene Schutzsysteme auf Bohrplattformen beinhaltet die EUC alle Teile der Plattform, die die Sicherheitsanforderungen beeinflussen könnten.

Was bedeutet E/E/PE?
E/E/PE ist eine Abkürzung für elektrisch/elektronisch/programmierbar elektronisch. In IEC/EN 61508-4, Abschnitt 3.2.13, ist der Begrif definiert als "basierend auf elektrischer (E) und/oder elektronischer (E) und/oder programmierbar elektronischer (PE) Technologie".

Was ist Funktionale Sicherheit?
Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion eines sicherheitsbezogenen E/E/PE-Systems, sicherheitsbezogenen Systemen anderer Technologie und externer Einrichtungen zur Risikominderung abhängt. Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.

Was ist ein sicherheitsbezogenes System nach IEC/EN 61508?
Ein sicherheitsbezogenes System schließt alles (Hardware, Software, menschliche Faktoren) ein, das zur Ausführung von einer oder mehrerer Sicherheitsfunktionen erforderlich ist, wobei Ausfälle der Sicherheitsfunktion eine signifikante Zunahme des Sicherheitsrisikos für Personen und/oder Umwelt bedeuten würden.

Ein sicherheitsbezogenes System kann eine eigenständige Anlage zur Ausführung einer bestimmten Sicherheitsfunktion sein (z.B. Brandmeldesystem) oder in eine andere Anlage integriert sein (z.B. Motordrehzahlüberwachung in einer Maschine).

Eine formale Definition ist in IEC/EN 61508-4, Abschnitt 3.4.1, gegeben.

Was ist eine Sicherheitsfunktion?
Funktion, die von einem sicherheitsbezogenen E/E/PE-System, einem sicherheitsbezogenen System anderer Technologie oder externen Einrichtungen zur Risikominderung ausgeführt wird mit dem Ziel, unter Berücksichtigung eines gefährlichen Vorfalls, einen sicheren (Anlagen-/System-)Zustand zu erreichen oder aufrechtzuerhalten.

Was ist ein „Sicherheits-Integritätslevel (SIL)“?
Ein Sicherheits-Integritätslevel ist einer von vier diskreten Stufen, wobei jede Stufe einem Bereich für die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion entspricht. SIL4 stellt die höchste Stufe dar, SIL1 die niedrigste.

Rechnerische Ermittlung der sicherheitstechnischen Kenngrößen
Die IEC/EN 61508 unterscheidet zwei Bewertungsverfahren, um eine Aussage über die Eignung einer Sicherheitseinrichtung zu treffen. Es müssen immer beide Bewertungsverfahren durchgeführt werden.

1. Bewertungsverfahren
Das erste Verfahen hat die Hardware-Fehlertoleranz (HFT) und die Sicherheits-Ausfallfraktion (SFF) zum Gegenstand. Hier wird nach dem Grundsatz verfahren, dass ein einfach gestaltetes System (einkanalig) eine Diagnose mit sehr hoher Wirksamkeit benutzen muss, um Fehler im System zu erkennen.

Hingegen reicht bei einem aufwendig gestaltetem System (mehrkanalig) eine Diagnose mit einer geringeren Wirksamkeit, da hier mehrere Kanäle unabhängig voneinander die Schutzfunktion auslösen können.

Die Struktur eines Sicherheitssystems (ein- oder mehrkanalig) drückt sich in der HFT aus, Die in Verbindung mit dem als Ziel gesetzten SIL, ergibt die zu errechnende SFF, die wesentlich durch die Wirksamkeit der Diagnose bestimmt wird.

2. Bewertungsverfahren
Das zweite Bewertungsverfahren besteht in der Berechnung der Ausfallwahrscheinlichkeiten PFD, PFH und basiert auf den Daten der FME(C)A oder der Fehlerbaumanalyse. Als Berechnungsverfahren sind die Anwendung von Zuverlässigkeitsblockdiagrammen oder Markov-Modellen gebräuchlich.

Die Wahrscheinlichkeit eines gefährlichen Ausfalls ist nach dem Einschalten eines großen Systems eher klein. Mit fortlaufender Betriebszeit steigt die Ausfallwahrscheinlichkeit eines Systems bei Anforderung an. Überschreitet dieser Wert einen zulässigen Grenzwert, so muss ein kompletter Test eines Systems durchgeführt werden.

Theoretisch wäre das System durch einen solchen Test für eine unbegrenzte Zeit einsetzbar, wenn die Ausfallrate immer konstant wäre und nicht am Ende der Lebensdauer stark ansteigen würde (Badewannenkurve).

Was bedeutet Software Safety Integrity im Rahmen der als Ausfallwahrscheinlichkeit definierten Safety Integrity?
Ein Sicherheits-Integritätslevel (SIL) bezieht sich auf eine durchgehende Sicherheitsfunktion eines sicherheitsbezogenen Systems. Wie jede andere Komponente verfügt Software über keinen Sicherheits-Integritätslevel, wenn sie isoliert von einem sicherheitsbezogenen System betrachtet wird. Integriert in ein System, kann sich die Software zur Unterstützung von Sicherheitsfunktionen zu einem bestimmten Sicherheits-Integritätslevel eignen. Dies ist davon abhängig, wie die Software spezifiziert, entwickelt, implementiert, verifiziert, validiert usw. wurde. SILn Software ist eine Kurzform für "Software, entwickelt unter Verwendung angemessener Techniken und Maßnahmen, die sicherstellen, dass die Software die Anforderungen an systematische Ausfälle einer bestimmten Sicherheitsfunktion X für SILn erfüllt".

Hardware zeigt Alterungserscheinungen. Die daraus resultierenden zufälligen Ausfallraten können unter Verwendung statistischer Methoden numerisch beschrieben werden. Diese Effekte treten bei Software nicht auf. Alle Softwareausfälle ergeben sich aus systematischen Fehlern bei der Entwicklung und im Betrieb. Die Anwendung von konventioneller Sicherheitsanalyse auf systematisches Verhalten findet keine breite Akzeptanz. Deswegen sagt die Norm aus, dass es nur hinsichtlich der Sicherheitsintegrität der Hardware möglich ist, quantitativ zu arbeiten und Methoden zur Voraussage der Zuverlässigkeit bei der Beurteilung, ob die Ausfallgrenzwerte (siehe IEC/EN 61508-1, Tabellen 2 und 3) erreicht worden sind, anzuwenden. Um die Ausfallgrenzwerte im Hinblick auf die systematische Sicherheitsintegrität (insbesondere Software) zu erreichen, müssen qualitative Methoden und Beurteilungen unter Berücksichtigung der erforderlichen Vorsichtsmaßnahmen angewendet werden.

Trotz der genannten Schwierigkeiten liefern die Tabellen 2 und 3 von IEC/EN 61508-1 einen nützlichen Rahmen zum Vergleich der verschiedenen Erfüllungsgrade systematischer Sicherheitsintegrität.

Was ist gemeint mit SILn-System, SILn-Teilsystem oder SILn-Komponente?
Ein Sicherheits-Integritätslevel (SIL) ist keine Eigenschaft von Systemen, Teilsystemen oder Komponenten. Die korrekte Interpretation dieser Aussage ist, dass das System, Teilsystem oder die Komponente in Sicherheitsfunktionen bis zum Sicherheits-Integritätslevel n eingesetzt werden kann. Dies allein ist aber nicht ausreichend, um eine Sicherheitsfunktion für den geforderten Sicherheits-Integritätslevel aufzubauen.

Der Sicherheits-Integritätslevel eines Teilsystems bestimmt den höchsten Sicherheits-Integritätslevel, der für eine Sicherheitsfunktion unter Verwendung dieses Teilsystems geltend gemacht werden kann. Aus diesem Grund wird stattdessen manchmal der Begriff "Sicherheits-Integritätslevel claim limit" verwendet. Die Befähigung bzw. Einsetzbarkeit eines Teilsystems für SILn (mit n=1, 2, 3 oder 4) wird erreicht, wenn das Teilsystem die Anforderungen 1 oder 2 (siehe unten) erfüllt.

Designanforderungen für SILn zur Vermeidung und Beherrschung systematischer Fehler nach IEC/EN 61508-2 und IEC/EN 61508-3 oder Anforderungen an Betriebsbewährung nach IEC/EN 61508-2, Abschnitte 7.4.7.6 bis 7.4.7.10.

Was ist eine Beurteilung der Funktionalen Sicherheit (functional safety assessment)?
Dies ist eine auf Nachweise gestützte Untersuchung, die sicherstellt, dass die Funktionale Sicherheit erreicht wurde. Diejenigen Personen, die die Beurteilung der Funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein und einen ausreichenden Unabhängigkeitsgrad besitzen. Sie müssen die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse betrachten und beurteilen, inwieweit die Ziele und Anforderungen der Norm IEC/EN 61508 erreicht worden sind.

Weitere Details sind in IEC/EN 61508-1, Abschnitt 8, zu finden.

Was ist eine Betriebsart?
Die IEC/EN 61508 beschreibt drei Betriebsarten für Sicherheitsfunktionen. Diese sind

  • die Betriebsart mit niedriger Anforderungsrate (low demand mode),
  • die Betriebsart mit hoher Anforderungsrate (high demand mode) und
  • die Betriebsart mit kontinuierlicher Anforderungsrate (continuous mode).
Formale Definitionen der Begriffe sind in IEC/EN 61508-4, Abschnitt 3.5.16, gegeben.

Zum Verständnis dieser Betriebsarten muss zunächst der Unterschied zwischen "auf Anforderung" und "kontinuierlich" erklärt werden.

Eine Sicherheitsfunktion, die im Anforderungsmodus arbeitet, wird nur auf Anforderung ausgeführt und bringt das zu überwachende System (equipment under control - EUC) in einen definierten sicheren Zustand. Das sicherheitsbezogene E/E/PE-System, das diese Sicherheitsfunktion ausführt, hat keinen Einfluss auf das EUC bevor eine Anforderung an die Sicherheitsfunktion auftritt.

Beispiele hierfür: Schutzsysteme in chemischen Anlagen, Antiblockiersysteme in Kraftfahrzeugen.

Eine Sicherheitsfunktion, die im kontinuierlichen Modus arbeitet, hält das EUC immer in seinem normalen sicheren Zustand. Das sicherheitsbezogene E/E/PE-System überwacht das EUC also ständig. Ein gefährlicher Ausfall dieses Systems führt unmittelbar zu einer Gefährdung, falls keine weiteren sicherheitsbezogenen Systeme oder externe Maßnahmen zur Risikominderung wirksam werden.

Beispiele hierfür: Drehzahlüberwachung an Maschinen, Brennersteuerungen.

Was ist der Unterschied zwischen den Betriebsarten "low demand mode", "high demand mode" und "continuous mode"?
Die IEC/EN 61508 verwendet Betriebsarten zur Unterscheidung zweier Typen von Sicherheitsfunktionen, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt werden. Die Betriebsarten sind wichtig, wenn die Ausfallgrenzwerte einer Sicherheitsfunktion zum Sicherheits-Integritätslevel in Bezug gesetzt werden.

Die IEC/EN 61508 setzt den Sicherheits-Integritätslevel einer Sicherheitsfunktion in Bezug zur

  • mittleren Wahrscheinlichkeit eines Ausfalls bei Anforderung der Sicherheitsfunktion (low demand mode, siehe IEC/EN 61508-1, Tabelle 2);
  • mittlere Häufigkeit eines gefahrbringenden Ausfalls der Sicherheitsfunktion pro Stunde (high demand oder continuous mode, siehe IEC/EN 61508-1, Tabelle 3).

Betriebsart mit niedriger Anforderungsrate (low demand mode)
Die Sicherheitsfunktion wird nur auf Anforderung ausgeführt, um die EUC in einen festgelegten sicheren Zustand zu überführen. Die Häufigkeit von
Anforderungen beträgt nicht mehr als einmal pro Jahr.

Betriebsart mit hoher Anforderung (high demand mode)
Die Sicherheitsfunktion wird nur auf Anforderung ausgeführt, um die EUC in einen festgelegten sicheren Zustand zu überführen. Die Häufigkeit von
Anforderungen beträgt mehr als einmal pro Jahr.

Betriebsart mit kontinuierlicher Anforderung (continuous mode)
Die Sicherheitsfunktion hält die EUC in einem sicheren Zustand als
Teil des normalen Betriebs.

(siehe auch IEC/EN 61508-4, Abschnitt 3.5.16)

 
r82g119b82 (1K)
-Gute Beratung/Schulung schafft Wissensvorsprung und Erfolg.-
Sichern Sie sich diese Vorteile.
 

-Vereinbaren Sie ein Gespräch oder schreiben Sie uns Ihr Anliegen mittels Kontaktformular.-


Wie wir Sie unterstützen können

Beratung

Wir beraten Sie bei - meist gerade in der Anfangsphase - auftreten- den Fragen und Unsicher- heiten oder begleitend im Projekt (s. Beratung).

Schulung

Wir schulen nach Ihren Vorgaben die jeweils betreffenden Mitarbeiter- Innen (s. Schulung).

Unterstützung im Projekt

Nach Ihren Vorgaben bearbeiten wir konkrete Projektaufgaben selbst oder zusammen mit Ihren MitarbeiterInnen (s. Dienstleistung).

 

Literatur, Empfehlung

Funktionale Sicherheit

Funktionale Sicherheit sicherheitstechnischer SystemeDas Fachbuch behandelt die Sicherheitstechnik unter Berücksichtigung nationaler und inter- nationaler Normung. Aus- führlich behandelt werden die Grundlagen wie Risiko- und Zuverläs- sigkeitsanalysen, Fehler, Fehlerursachen, Ausfälle, sicherheitstechnische Kenngrößen sowie deren Definition und Ermittlung. ISBN 978-3-446-42809-6