Die Antworten auf die Fragen erheben
nicht den Anspruch einer definitiven technischen Klärung,
sondern sollen insbesondere Erstanwender über die Norm
informieren. "Elektrische / elektronische / programmierbar
elektronische Systeme“ werden im Folgenden
angesprochen.
Was ist ein „equipment under control
(EUC)“?
Einrichtung, Maschine, Gerät oder Anlage, verwendet zur
Fertigung, Stoffumformung, zum Transport, zu medizinischen oder
anderen Tätigkeiten (siehe IEC/EN 61508-4, Abschnitt
3.2.1).
Falls eine
vernünftigerweise vorhersehbare Aktivität oder
Inaktivität zu durch das EUC verursachten Gefährdungen
mit unvertretbarem Risiko führt, sind Sicherheitsfunktionen
erforderlich, um einen sicheren Zustand für das EUC zu
erreichen oder aufrecht zu erhalten. Diese Sicherheitsfunktionen
werden durch ein oder mehrere sicherheitsbezogene Systeme
ausgeführt.
Das EUC umfasst also alle
Einrichtungen, Maschinen, Geräte oder Anlagen, die
Gefährdungen verursachen können und für die
sicherheitsbezogene Systeme erforderlich sind. Beispiel: Für
sicherheitsbezogene Schutzsysteme auf Bohrplattformen beinhaltet
die EUC alle Teile der Plattform, die die
Sicherheitsanforderungen beeinflussen könnten.
Was bedeutet
E/E/PE?
E/E/PE ist eine Abkürzung
für elektrisch/elektronisch/programmierbar elektronisch. In
IEC/EN 61508-4, Abschnitt 3.2.13, ist der Begrif definiert als
"basierend auf elektrischer (E) und/oder elektronischer (E)
und/oder programmierbar elektronischer (PE)
Technologie".
Was ist Funktionale
Sicherheit?
Funktionale Sicherheit ist der Teil
der Gesamtsicherheit, der von der korrekten Funktion eines
sicherheitsbezogenen E/E/PE-Systems, sicherheitsbezogenen
Systemen anderer Technologie und externer Einrichtungen zur
Risikominderung abhängt. Funktionale Sicherheit ist gegeben,
wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird
und der für jede Sicherheitsfunktion geforderte
Erfüllungsgrad erreicht wird.
Was ist ein
sicherheitsbezogenes System nach IEC/EN 61508?
Ein sicherheitsbezogenes System
schließt alles (Hardware, Software, menschliche Faktoren)
ein, das zur Ausführung einer oder mehrerer
Sicherheitsfunktionen erforderlich ist, wobei Ausfälle der
Sicherheitsfunktion eine signifikante Zunahme des
Sicherheitsrisikos für Personen und/oder Umwelt bedeuten
würden.
Ein sicherheitsbezogenes
System kann eine eigenständige Anlage zur Ausführung
einer bestimmten Sicherheitsfunktion sein (z.B. Brandmeldesystem)
oder in eine andere Anlage integriert sein (z.B.
Motordrehzahlüberwachung in einer Maschine).
Eine formale Definition
ist in IEC/EN 61508-4, Abschnitt 3.4.1, gegeben.
Was ist eine
Sicherheitsfunktion?
Funktion, die von einem
sicherheitsbezogenen E/E/PE-System, einem sicherheitsbezogenen
System anderer Technologie oder externen Einrichtungen zur
Risikominderung ausgeführt wird mit dem Ziel, unter
Berücksichtigung eines gefährlichen
Vorfalls, einen sicheren (Anlagen-/System-) Zustand zu erreichen oder
aufrechtzuerhalten.
Was ist ein
„Sicherheits-Integritätslevel (SIL)“?
Ein Sicherheits-Integritätslevel
ist einer von vier diskreten Stufen, wobei jede Stufe einem
Bereich für die Ausfallwahrscheinlichkeit einer
Sicherheitsfunktion entspricht. SIL4 stellt die höchste
Stufe dar, SIL1 die niedrigste.
Rechnerische Ermittlung der
sicherheitstechnischen Kenngrößen
Die IEC/EN 61508 unterscheidet zwei Bewertungsverfahren, um eine
Aussage über die Eignung einer Sicherheitseinrichtung zu
treffen. Es müssen immer beide Bewertungsverfahren
durchgeführt werden.
1. Bewertungsverfahren
Das erste Verfahen hat die Hardware-Fehlertoleranz (HFT) und die
Sicherheits-Ausfallfraktion (SFF) zum Gegenstand. Hier wird nach
dem Grundsatz verfahren, dass ein einfach gestaltetes System
(einkanalig) eine Diagnose mit sehr hoher Wirksamkeit benutzen
muss, um Fehler im System zu erkennen.
Hingegen reicht bei einem aufwendig gestaltetem System
(mehrkanalig) eine Diagnose mit einer geringeren Wirksamkeit, da
hier mehrere Kanäle unabhängig voneinander die
Schutzfunktion auslösen können.
Die Struktur eines Sicherheitssystems (ein- oder mehrkanalig)
drückt sich in der HFT aus. In Verbindung mit dem als
Ziel gesetzten SIL ist die zu errechnende SFF wesentlich. Sie wird
durch die Wirksamkeit der Diagnose bestimmt.
2.
Bewertungsverfahren
Das zweite Bewertungsverfahren besteht in der Berechnung der
Ausfallwahrscheinlichkeiten PFD, PFH und basiert auf den Daten
der FME(D)A oder der Fehlerbaumanalyse. Als Berechnungsverfahren
sind die Anwendung von Zuverlässigkeitsblockdiagrammen oder
Markov-Modellen gebräuchlich.
Die Wahrscheinlichkeit eines gefährlichen Ausfalls ist nach
dem Einschalten eines großen Systems eher klein. Mit
fortlaufender Betriebszeit steigt die Ausfallwahrscheinlichkeit
eines Systems bei Anforderung an. Überschreitet dieser Wert
einen zulässigen Grenzwert, so muss ein kompletter Test
eines Systems durchgeführt werden.
Theoretisch wäre das System durch einen solchen Test
für eine unbegrenzte Zeit einsetzbar, wenn die Ausfallrate
immer konstant wäre und nicht am Ende der Lebensdauer stark
ansteigen würde (Badewannenkurve).
Was bedeutet
Software Safety Integrity im Rahmen der als
Ausfallwahrscheinlichkeit definierten Safety
Integrity?
Ein Sicherheits-Integritätslevel
(SIL) bezieht sich auf eine durchgehende Sicherheitsfunktion
eines sicherheitsbezogenen Systems. Wie jede andere Komponente
verfügt Software über keinen
Sicherheits-Integritätslevel, wenn sie isoliert von einem
sicherheitsbezogenen System betrachtet wird. Integriert in ein
System, kann sich die Software zur Unterstützung von
Sicherheitsfunktionen zu einem bestimmten
Sicherheits-Integritätslevel eignen. Dies ist davon
abhängig, wie die Software spezifiziert, entwickelt,
implementiert, verifiziert, validiert usw. wurde. SILn Software ist eine
Kurzform für "Software, entwickelt unter Verwendung
angemessener Techniken und Maßnahmen, die sicherstellen,
dass die Software die Anforderungen an systematische
Ausfälle einer bestimmten Sicherheitsfunktion X für
SILn erfüllt".
Hardware zeigt
Alterungserscheinungen. Die daraus resultierenden zufälligen
Ausfallraten können unter Verwendung statistischer Methoden
numerisch beschrieben werden. Diese Effekte treten bei Software
nicht auf. Alle Softwareausfälle ergeben sich aus
systematischen Fehlern bei der Entwicklung und im Betrieb. Die
Anwendung von konventioneller Sicherheitsanalyse auf
systematisches Verhalten findet keine breite Akzeptanz. Deswegen
sagt die Norm aus, dass es nur hinsichtlich der
Sicherheitsintegrität der Hardware möglich ist,
quantitativ zu arbeiten und Methoden zur Voraussage der
Zuverlässigkeit bei der Beurteilung, ob die
Ausfallgrenzwerte (siehe IEC/EN 61508-1, Tabellen 2 und 3)
erreicht worden sind, anzuwenden. Um die Ausfallgrenzwerte im
Hinblick auf die systematische Sicherheitsintegrität
(insbesondere Software) zu erreichen, müssen qualitative
Methoden und Beurteilungen unter Berücksichtigung der
erforderlichen Vorsichtsmaßnahmen angewendet werden.
Trotz der genannten
Schwierigkeiten liefern die Tabellen 2 und 3 von IEC/EN 61508-1
einen nützlichen Rahmen zum Vergleich der verschiedenen
Erfüllungsgrade systematischer
Sicherheitsintegrität.
Was ist gemeint mit SILn-System,
SILn-Teilsystem oder SILn-Komponente?
Ein Sicherheits-Integritätslevel (SIL) ist keine Eigenschaft
von Systemen, Teilsystemen oder Komponenten. Die korrekte
Interpretation dieser Aussage ist, dass das System, Teilsystem
oder die Komponente in Sicherheitsfunktionen bis zum
Sicherheits-Integritätslevel n eingesetzt werden kann. Dies
allein ist aber nicht ausreichend, um eine Sicherheitsfunktion
für den geforderten Sicherheits-Integritätslevel
aufzubauen.
Der
Sicherheits-Integritätslevel eines Teilsystems bestimmt den
höchsten Sicherheits-Integritätslevel, der für
eine Sicherheitsfunktion unter Verwendung dieses Teilsystems
geltend gemacht werden kann. Aus diesem Grund wird stattdessen
manchmal der Begriff "Sicherheits-Integritätslevel claim
limit" verwendet. Die Befähigung bzw. Einsetzbarkeit eines
Teilsystems für SILn (mit n=1, 2, 3 oder 4) wird erreicht,
wenn das Teilsystem die Anforderungen 1 oder 2 (siehe unten)
erfüllt.
Designanforderungen
für SILn zur Vermeidung und Beherrschung systematischer
Fehler nach IEC/EN 61508-2 und IEC/EN 61508-3 oder Anforderungen
an Betriebsbewährung nach IEC/EN 61508-2, Abschnitte 7.4.7.6
bis 7.4.7.10.
Was ist eine Beurteilung der Funktionalen
Sicherheit (functional safety assessment)?
Dies ist eine auf Nachweise gestützte Untersuchung, die
sicherstellt, dass die Funktionale Sicherheit erreicht wurde.
Diejenigen Personen, die die Beurteilung der Funktionalen
Sicherheit ausführen, müssen für die
auszuführenden Tätigkeiten kompetent sein und einen
ausreichenden Unabhängigkeitsgrad besitzen. Sie müssen
die während jeder Phase des gesamten Sicherheitslebenszyklus
ausgeführten Tätigkeiten und erzielten Ergebnisse
betrachten und beurteilen, inwieweit die Ziele und Anforderungen
der Norm IEC/EN 61508 erreicht worden sind.
Weitere Details sind in
IEC/EN 61508-1, Abschnitt 8, zu finden.
Was ist eine
Betriebsart?
Die IEC/EN 61508 beschreibt drei
Betriebsarten für Sicherheitsfunktionen. Diese sind
- die Betriebsart mit niedriger Anforderungsrate (low demand mode),
- die Betriebsart mit hoher Anforderungsrate (high demand mode) und
- die Betriebsart mit kontinuierlicher Anforderungsrate (continuous mode).
Formale Definitionen der
Begriffe sind in IEC/EN 61508-4, Abschnitt 3.5.16,
gegeben.
Zum Verständnis
dieser Betriebsarten muss zunächst der Unterschied
zwischen "auf Anforderung" und "kontinuierlich" erklärt werden.
Eine Sicherheitsfunktion, die im Anforderungsmodus
arbeitet, wird nur auf Anforderung ausgeführt und
bringt das zu überwachende System (equipment under control -
EUC) in einen definierten sicheren Zustand. Das
sicherheitsbezogene E/E/PE-System, das diese Sicherheitsfunktion
ausführt, hat keinen Einfluss auf das EUC bevor eine
Anforderung an die Sicherheitsfunktion auftritt.
Beispiele
hierfür: Schutzsysteme in chemischen Anlagen,
Antiblockiersysteme in Kraftfahrzeugen.
Eine Sicherheitsfunktion, die im kontinuierlichen
Modus arbeitet, hält das EUC immer in seinem normalen
sicheren Zustand. Das sicherheitsbezogene E/E/PE-System
überwacht das EUC also ständig. Ein gefährlicher
Ausfall dieses Systems führt unmittelbar zu einer
Gefährdung, falls keine weiteren sicherheitsbezogenen
Systeme oder externe Maßnahmen zur Risikominderung wirksam
werden.
Beispiele hierfür:
Drehzahlüberwachung an Maschinen, Brennersteuerungen.
Was ist der
Unterschied zwischen den Betriebsarten "low demand mode", "high
demand mode" und "continuous mode"?
Die IEC/EN 61508 verwendet
Betriebsarten zur Unterscheidung zweier Typen von
Sicherheitsfunktionen, die von sicherheitsbezogenen
E/E/PE-Systemen ausgeführt werden. Die Betriebsarten sind
wichtig, wenn die Ausfallgrenzwerte einer Sicherheitsfunktion zum
Sicherheits-Integritätslevel in Bezug gesetzt
werden.
Die IEC/EN 61508
setzt den Sicherheits-Integritätslevel einer Sicherheitsfunktion
in Bezug zur
- mittleren Wahrscheinlichkeit eines Ausfalls bei Anforderung
der Sicherheitsfunktion (low demand mode, siehe IEC/EN 61508-1,
Tabelle 2);
- mittlere Häufigkeit
eines gefahrbringenden Ausfalls der Sicherheitsfunktion pro Stunde (high demand
oder continuous mode, siehe IEC/EN 61508-1, Tabelle 3).
Betriebsart
mit niedriger Anforderungsrate (low demand mode)
Die Sicherheitsfunktion wird nur auf Anforderung ausgeführt, um die EUC
in einen festgelegten sicheren Zustand zu überführen.
Die Häufigkeit von Anforderungen beträgt nicht mehr als einmal
pro Jahr.
Betriebsart mit hoher Anforderung
(high demand mode)
Die Sicherheitsfunktion wird nur
auf Anforderung ausgeführt, um die EUC in einen festgelegten sicheren Zustand zu überführen.
Die Häufigkeit von Anforderungen beträgt mehr als einmal pro Jahr.
Betriebsart
mit kontinuierlicher Anforderung (continuous mode)
Die Sicherheitsfunktion hält die EUC in einem sicheren Zustand als Teil des normalen Betriebs.
(siehe auch IEC/EN 61508-4, Abschnitt 3.5.16) |