Ein einfaches Funktionssicherheitssystem ermittelt einen möglicherweise gefährlichen Zustand und leitet die korrektiven oder vorbeugenden Maßnahmen ein, welche ergriffen werden müssen. Typisch enthält ein System einen Sensor, der Informationen einer Variablen zur Verfügung stellt, einem Prozessor, der den Wert mit einem vorbestimmten Grenzwert vergleicht und eine Aktion auslöst, die entweder die Variable korrigiert oder eine Notfunktion auslöst.
Abgesehen von dem Hinweis auf Gefahren könnte diese Beschreibung in gleicher Weise auf die Anlagen-Prozesssteuerung angewendet werden, die diese Funktion durchführt. In der Vergangenheit wurde die Sicherheitsfunktion unabhängig von der Prozessfunktion betrachtet. Das Aufkommen der Mikroprozessoren ermöglichte es, beträchtliche Datenmengen in Echtzeit zu speichern und zu analysiert, welche folglich die Möglichkeit der hoch entwickelten Sicherheitssysteme einschließlich solche Eigenschaften wie Eigendiagnose erbrachte. Weil viele unterschiedliche Gruppierungen mit Spezifikation, Entwurf, Herstellung, Installation, Betrieb und Wartung der Sicherheitssysteme beschäftigt sind, wurde die Notwendigkeit einer Standardisierung erkannt - die IEC 61508 ist das Resultat.
Der internationale Standard IEC 61508 dient als generischer
Standard für die Entwicklung von sicherheitskritischen elektrischen, elektronischen und
programmierbaren elektronischen Systemen. Er ist als Grundlage für die Entwicklung
zukünftiger anwendungsorientierter Standards vorgesehen. Der neue
Standard erfordert jedoch ein Umdenken im Hinblick auf die Betrachtung des ganzheitlichen
Systemansatzes, der die sicherheitstechnischen Anforderungen an einzelne komplexe
Geräte auf die komplette Sicherheitsinstallation vom Sensor bis Aktor einschließlich
der Managementrahmenbedingungen erweitert. (Phasenmodell, Lebenszyklusmodell).
Die Analyse der Gefahr und die Definition der Gefährdungen stehen im Vordergrund
der Sicherheitsbetrachtung. Der Standard fordert ferner einen quantitativen Nachweis
für das verbleibende Risiko, auf Basis einer Berechnung der Versagenswahrscheinlichkeit.
Zusätzlich zu den technischen Forderungen sind organisatorische Maßnahmen
zur Vermeidung von Fehlern vorgeschrieben, die das verbleibende Risiko
minimieren.
Mit der IEC 61508 (Funktionale Sicherheit sicherheitsbezogener elektrischer/programmierbarer elektronischer Systeme) werden nun die Anforderungen an Sicherheitssysteme in der Anlagensicherheit unabhängig von der Anwendung definiert. Dabei geht es nicht allein um die Angleichung des nationalen Regelwerks an die internationalen Normen. Vielmehr werden zunehmend Geräte und Sensoren mit Mikroprozessoren für Sicherheitsaufgaben eingesetzt.
In diesem Standard für „Funktionale Sicherheit“ (
IEC-Broschüre) sind die Anforderungen an diese Systeme allgemein in Safety Integrity Levels (SIL 1-4) eingeteilt. Geräte, Sensoren oder Steuerungen müssen daher eine SIL-Einstufung erhalten. Hinzu kommt ein neues Verständnis von Sicherheit. Während in Deutschland eine rein qualitative Betrachtung üblich ist, verlangen die internationalen Normen erstmals die Umsetzung von konkreten Zahlen für die Prozessindustrie. Zudem beziehen sich diese numerischen Mindestanforderungen auf die Ausfallwahrscheinlichkeit von PLT-Schutzeinrichtungen in Abhängigkeit vom Schutzziel.
Häufig gestellte Fragen über „Funktionale Sicherheit“ und die internationale Norm IEC/EN 61508 ("Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme"). Die Antworten auf die Fragen erheben nicht den Anspruch einer definitiven technischen Klärung, sondern sollen insbesondere Erstanwender über die Norm informieren. elektrischer/elektronischer/programmierbar elektronischer Systeme“) werden im Folgenden angesprochen.
Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion eines sicherheitsbezogenen E/E/PE-Systems, sicherheitsbezogenen Systemen anderer Technologie und externer Einrichtungen zur Risikominderung abhängt. Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.
Ein sicherheitsbezogenes System schließt alles (Hardware, Software, menschliche Faktoren) ein, das zur Ausführung von einer oder mehrerer Sicherheitsfunktionen erforderlich ist, wobei Ausfälle der Sicherheitsfunktion eine signifikante Zunahme des Sicherheitsrisikos für Personen und/oder Umwelt bedeuten würden.
Ein sicherheitsbezogenes System kann eine eigenständige Anlage zur Ausführung einer bestimmten Sicherheitsfunktion sein (z.B. Brandmeldesystem) oder in eine andere Anlage integriert sein (z.B. Motordrehzahlüberwachung in einer Maschine).
Eine formale Definition ist ein IEC/EN 61508-4, Abschnitt 3.4.1, gegeben.
E/E/PE ist eine Abkürzung für elektrisch/elektronisch/programmierbar elektronisch. In IEC/EN 61508-4, Abschnitt 3.2.6, ist der Begriff definiert als "basierend auf elektrischer (E) und/oder elektronischer (E) und/oder programmierbar elektronischer (PE) Technologie".
Funktion, die von einem sicherheitsbezogenen E/E/PE-System, einem sicherheitsbezogenen System anderer Technologie oder externen Einrichtungen zur Risikominderung ausgeführt wird mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Anlagenzustand zu erreichen oder aufrechtzuerhalten.
Ein Sicherheits-Integritätslevel ist eine von vier diskreten Stufen, wobei jede Stufe einem Bereich für die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion entspricht. SIL4 stellt die höchste Stufe dar, SIL1 die niedrigste. Dabei ist zu beachten, dass ein Sicherheits-Integritätslevel eine Eigenschaft einer Sicherheitsfunktion ist und sich nicht auf ein System oder Teilsystem bezieht.
Die angegebenen Ausfallgrenzwerte (unten aufgeführte Liste) sind hierbei gültig für eine Sicherheitsfunktion, die in der Betriebsart mit niedriger Anforderungsrate betrieben wird.
Sicherheits-
Integritätslevel |
Betriebsart mit niedriger Anforderungsrate
(mitlere Wahrscheinlichkeit eines Ausfalls bei Anforderung - PFDavg) |
4
|
>10-5 to <10-4
|
3
|
>10-4 to <10-3
|
2
|
>10-3 to <10-2
|
1
|
>10-2 to <10-1
|
Die zweite Liste (unten angezeigt) ist für die Betriebsart mit hoher oder kontinuierlicher Anforderungsrate.
Sicherheits-
Integritätslevel |
Betriebsart mit hoher oder kontinuierlicher Anforderungsrate
(Ausfälle pro Stunde) |
4
|
>10-9 to <10-8
|
3
|
>10-8 to <10-7
|
2
|
>10-7 to <10-6
|
1
|
>10-6 to <10-5
|
Die IEC/EN 61508 unterscheidet zwei Bewertungsverfahren, um eine Aussage über die Eignung einer Sicherheitseinrichtung zu treffen. Es müssen immer beide Bewertungsverfahren durchgeführt werden.
Ein Sicherheits-Integritätslevel (SIL) bezieht sich auf eine durchgehende Sicherheitsfunktion eines sicherheitsbezogenen Systems. Wie jede andere Komponente verfügt Software über keinen Sicherheits-Integritätslevel, wenn sie isoliert von einem sicherheitsbezogenen System betrachtet wird. Integriert in ein System, kann sich die Software zur Unterstützung von Sicherheitsfunktionen zu einem bestimmten Sicherheits-Integritätslevel eignen. Dies ist davon abhängig, wie die Software spezifiziert, entwickelt, implementiert, verifiziert, usw. wurde. SILn Software ist eine Kurzform für "Software, entwickelt unter Verwendung angemessener Techniken und Maßnahmen, die sicherstellen, dass die Software die Anforderungen an systematische Ausfälle einer bestimmten Sicherheitsfunktion X für SILn erfüllt".
Hardware zeigt Alterungserscheinungen. Die daraus resultierenden zufälligen Ausfallraten können unter Verwendung statistischer Methoden numerisch beschrieben werden. Diese Effekte treten bei Software nicht auf. Alle Softwareausfälle ergeben sich aus systematischen Fehlern bei der Entwicklung und im Betrieb. Die Anwendung von konventioneller Sicherheitsanalyse auf systematisches Verhalten findet keine breite Akzeptanz. Deswegen sagt die Norm aus, dass es nur hinsichtlich der Sicherheitsintegrität der Hardware möglich ist, quantitativ zu arbeiten und Methoden zur Voraussage der Zuverlässigkeit bei der Beurteilung, ob die Ausfallgrenzwerte (siehe IEC/EN 61508-1, Tabellen 2 und 3) erreicht worden sind, anzuwenden. Um die Ausfallgrenzwerte im Hinblick auf die systematische Sicherheitsintegrität (insbesondere Software) zu erreichen, müssen qualitative Methoden und Beurteilungen unter Berücksichtigung der erforderlichen Vorsichtsmaßnahmen angewendet werden.
Trotz der genannten Schwierigkeiten liefern die Tabellen 2 und 3 von IEC/EN 61508-1 einen nützlichen Rahmen zum Vergleich der verschiedenen Erfüllungsgrade systematischer Sicherheitsintegrität.
Ein Sicherheits-Integritätslevel (SIL) ist keine Eigenschaft von Systemen, Teilsystemen oder Komponenten. Die korrekte Interpretation dieser Aussage ist, dass das System, Teilsystem oder die Komponente in Sicherheitsfunktionen bis zum Sicherheits-Integritätslevel n eingesetzt werden kann. Dies allein ist aber nicht ausreichend, um eine Sicherheitsfunktion für den geforderten Sicherheits-Integritätslevel aufzubauen.
Der Sicherheits-Integritätslevel eines Teilsystems bestimmt den höchsten Sicherheits-Integritätslevel, der für eine Sicherheitsfunktion unter Verwendung dieses Teilsystems geltend gemacht werden kann. Aus diesem Grund wird statt dessen manchmal der Begriff "Sicherheits-Integritätslevel claim limit" verwendet. Die Befähigung bzw. Einsetzbarkeit eines Teilsystems für SILn (mit n=1, 2, 3 oder 4) wird erreicht, wenn das Teilsystem die Anforderungen 1 oder 2 (siehe unten) erfüllt.
Dies ist eine auf Nachweise gestützte Untersuchung, die sicherstellt, dass die Funktionale Sicherheit erreicht wurde. Diejenigen Personen, die die Beurteilung der funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein und einen ausreichenden Unabhängigkeitsgrad besitzen. Sie müssen die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse betrachten und beurteilen, inwieweit die Ziele und Anforderungen der Norm IEC/EN 61508 erreicht worden sind.
Weitere Details sind in IEC/EN 61508-1, Abschnitt 8, zu finden.
Die IEC/EN 61508 beschreibt zwei Betriebsarten für Sicherheitsfunktionen. Diese sind die Betriebsart mit niedriger Anforderungsrate (low demand mode) und die Betriebsart mit hoher oder kontinuierlicher Anforderungsrate (high demand or continuous mode). Formale Definitionen der Begriffe sind in IEC/EN 61508-4, Abschnitt 3.5.12, gegeben.
Zum Verständnis dieser beiden Betriebsarten muss zunächst der Unterschied zwischen einer Betriebsart auf Anforderung und einer kontinuierlichen Betriebsart erklärt werden.
Eine Sicherheitsfunktion, die im Anforderungsmodus arbeitet, wird nur auf Anforderung ausgeführt und bringt das zu überwachende System (equipment under control - EUC) in einen definierten sicheren Zustand. Das sicherheitsbezogene E/E/PE-System, das diese Sicherheitsfunktion ausführt, hat keinen Einfluss auf das EUC bevor eine Anforderung an die Sicherheitsfunktion auftritt. Beispiele hierfür: Schutzsysteme in chemischen Anlagen, Antiblockiersysteme in Kraftfahrzeugen.
Eine Sicherheitsfunktion, die im kontinuierlichen Modus arbeitet, hält das EUC immer in seinem normalen sicheren Zustand. Das sicherheitsbezogene E/E/PE-System überwacht das EUC also ständig. Ein gefährlicher Ausfall dieses Systems führt unmittelbar zu einer Gefährdung, falls keine weiteren sicherheitsbezogenen Systeme oder externe Maßnahmen zur Risikominderung wirksam werden. Beispiele hierfür: Drehzahlüberwachung an Maschinen, Brennersteuerungen.
Die IEC/EN 61508 unterscheidet zwischen:
Die IEC/EN 61508 verwendet Betriebsarten zur Unterscheidung zweier Typen von Sicherheitsfunktionen, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt werden. Die Betriebsarten sind wichtig, wenn die Ausfallgrenzwerte einer Sicherheitsfunktion zum Sicherheits-Integritätslevel in Bezug gesetzt werden. Die IEC/EN 61508 setzt den Sicherheits-Integritätslevel einer Sicherheitsfunktion in Bezug zur
Low demand mode liegt vor, wenn die Anforderungsrate an das
sicherheitsbezogene System nicht mehr als einmal pro Jahr beträgt und
nicht größer als die doppelte Frequenz der Wiederholungsprüfung ist.
High demand or continuous mode liegt vor, wenn die Anforderungsrate an
das sicherheitsbezogene System mehr als einmal pro Jahr beträgt oder
größer als die doppelte Frequenz der Wiederholungsprüfung ist (siehe
auch IEC/EN 61508-4, Abschnitt 3.5.12).
Einrichtung, Maschine, Gerät oder Anlage, verwendet zur Fertigung, Stoffumformung, zum Transport, zu medizinischen oder anderen Tätigkeiten (siehe IEC 61508-4, Abschnitt 3.2.3).
Falls eine vernünftigerweise vorhersehbare Aktivität oder Inaktivität zu durch das EUC verursachten Gefährdungen mit unvertretbarem Risiko führt, sind Sicherheitsfunktionen erforderlich, um einen sicheren Zustand für das EUC zu erreichen oder aufrecht zu erhalten. Diese Sicherheitsfunktionen werden durch ein oder mehrere sicherheitsbezogene Systeme ausgeführt.
Das EUC umfasst also alle Einrichtungen, Maschinen, Geräte oder Anlagen, die Gefährdungen verursachen können und für die sicherheitsbezogene Systeme erforderlich sind. Beispiel: Für sicherheitsbezogene Schutzsysteme auf Bohrplattformen beinhaltet die EUC alle Teile der Plattform, die die Sicherheitsanforderungen beeinflussen könnten.
Die IEC/EN 61508 ist auf sicherheitsbezogene Systeme anzuwenden, wenn eines oder mehrere dieser Systeme elektrische und/oder elektronische und/oder programmierbare elektronische (E/E/PE) Geräte enthalten. Sie deckt mögliche Risiken ab, die durch den Ausfall der von sicherheitsbezogenen E/E/PE-Systemen ausgeführten Sicherheitsfunktionen verursacht werden. Nicht abgedeckt werden Gefährdungen durch die E/E/PE-Geräte selbst, wie z.B. elektrischer Schlag. Die Norm ist allgemein auf sicherheitsbezogene E/E/PE-Systeme anwendbar, unabhängig von der jeweiligen Applikation.
Die Norm ist immer auf das gesamte sicherheitsbezogene E/E/PE-System anzuwenden, z.B. vom Sensor über Steuerelektronik und Kommunikationssysteme bis zum Aktor, unter Berücksichtigung möglicher Fehler des Bedienpersonals. Für eine effektive Spezifikation und Implementierung von Sicherheitsfunktionen ist wesentlich, dass das System als Ganzes betrachtet wird.
Die Norm beschränkt sich nicht auf die Fehlerbaumanalyse, wie es von vielen vertreten wird. Dabei werden in der IEC 61508 viele Verfahren beschrieben, angefangen von der Gefahrenanalyse (HazOp) über das Zuverlässigkeitsblockdiagramm (RBD) und der Ausfalleffekt- und Bedeutungsanalyse (FMEDA/FMECA) bis hin zur Fehlerbaumanalyse (FaultTree).
Der Standard setzt sich aus sieben Teilen zusammen, wie unten gezeigt. Nur die ersten drei Teile enthalten normative Anforderungen.
Das Ingenieurbüro QMTI Luciano Bianchin berät Sie umfassend und unterrichtet Sie zum Thema Sicherheit und EN 61511/61508. Weitere Informationen erhalten Sie hier ...
 |
|