24.09.2018
Die nachstehenden Informationen sollen Ihnen helfen die Komplexität zu erfassen, um sich dem Thema der funktionalen Sicherheit auseinandersetzen zu können. Dieser Teil des Newsletter, ergänzt den Newsletter „Anwendung der Normenreihe DIN EN 61508 Teil 1 bis Teil 7 Funktionale Sicherheit“
Basis:
Die Anforderung an die Ausfallwahrscheinlichkeit nach IEC 61508 bezieht sich immer auf eine komplette Schutzeinrichtung und nicht auf einzelne Komponenten. Eine Komponente kann deshalb für sich genommen kein SIL-Level haben, sondern nur der gesamte SIS. Komponenten gleichen SIL-Level in einer SIS, ergeben nicht automatisch den SIL-Level der gesamt SIS.
Der SIL ist das Maß für die Wahrscheinlichkeit, dass das Sicherheitssystem die geforderten Sicherheitsfunktionen für einen bestimmten Zeitraum korrekt erfüllen kann. Nachweisführung nach EN 61508 / EN 61511 erforderlich.
Kenngrößen:
Low Demand (PFD Probability of Failure on Deman)
Betriebsart mit niedriger Anforderungsrate an das Sicherheitssystem. Das Sicherheitssystem darf nicht häufiger als einmal pro Jahr angefordert werden. Versagenswahrscheinlichkeit einer Sicherheitsfunktion bei niedriger Anforderungsrate.
(Beispiel: Not-Aus – wird erst aktiv, wenn der Prozess außer Kontrolle gerät)
High Demand (PFH Probability of Failure per Hour)
Betriebsart mit hoher Anforderungsrate oder kontinuierlicher Anforderung an das Sicherheitssystem. Das Sicherheitssystem arbeitet kontinuierlich oder wird häufiger als einmal pro Jahr angefordert. Versagenswahrscheinlichkeit einer Sicherheitsfunktion bei kontinuierlicher Nutzung.
(Beispiel: kontinuierliche Überwachung der Prozesse)
Gerätetyp A (einfach Teilsystem)
Gerät, bei dem das Ausfallverhalten aller eingesetzten Bauteile und das Fehlerverhalten ausreichend bestimmt ist (z.B. durch Betriebsbewährung).
Gerätetyp B (komplexes Teilsystem)
Gerät, bei dem das Ausfallverhalten mindestens eines eingesetzten Bauteils und das Verhalten im Fehlerfall nicht ausreichend genug bestimmt ist.
HFT (Hardware Failure Tolerance)
Fähigkeit, eine geforderte Funktion bei Fehlern und Abweichungen weiter auszuführen
HFT0: Ein einzelner Fehler kann zum Verlust der Sicherheitsfunktion führen, z. B. 1oo1 Verschaltungen
HFT1: Mindestens 2 Fehler müssen gleichzeitig auftreten, um einen Sicherheitsverlust zu verursachen (z. B. 1oo2 Verschaltungen)
HFT2: Mindestens 3 Fehler müssen gleichzeitig auftreten, um einen Sicherheitsverlust zu verursachen (z. B. 1oo3 Verschaltungen)
Lambda λ (Ausfallraten)
S : Gesamtausfallrate für sichere Ausfälle
SD: Ausfallrate für sichere, erkennbare Ausfälle
SU: Ausfallrate für sichere, unerkennbare Ausfälle
D: Gesamtausfallrate für gefährliche Ausfälle
DD: Ausfallrate für gefährliche, erkennbare Ausfälle
DU: Ausfallrate für gefährliche, unerkennbare Ausfälle
SFF (Safe Failure Fraction)
Anteil sicherer Fehler an der Gesamtfehleranzahl.
Der SFF Wert, ergibt sich rechnerisch aus den Angaben Lambda λ.
Weitere Kenngrößen:
– β (%) Anteil der Ausfälle infolge gemeinsamer Ursache
– T1 (h) Intervall der Wiederholungsprüfung
– T2 (h) Intervall der Anforderungen an das System
–MTTR (h) mittlere Wiederherstellungszeit
–MRT (h) mittlere Reparaturdauer
Fehlerarten:
Zufällige Fehler
Zufällige Fehler existieren nicht zum Lieferzeitpunkt. Sie ergeben sich aus Fehlern der Hardware und treten zufällig während des Betriebs auf. Beispiele für zufällige Fehler sind: Kurzschluss, Unterbrechung, Wertedrift eines Bauelements.
Die Fehler und damit verbunden die Höhe der Ausfallwahrscheinlichkeit sind berechenbar. Berechnet werden die einzelnen Hardwarekomponenten eines SIS. Die daraus resultierenden Ergebnisse werden durch den PFD-Wert ausgedrückt und sind Berechnungsgrundlage zur Ermittlung des SIL-Wertes.
Systematische Fehler
Systematische Fehler existieren bereits zum Lieferzeitpunkt in jedem gelieferten Gerät. Typischerweise sind es Entwicklungsfehler oder Fehler im Aufbau oder der Projektierung. Beispiele sind Softwarefehler, falsche Dimensionierung oder falsche Auslegung des Messgerätes.
Besondere systematische Fehler sind „Common-Cause-Fehler“ CCF. Dies sind Fehler, die durch äußere Einflüsse, wie z. B. elektromagnetische Störungen (EMV) oder sonstige Umwelteinflüsse, wie z. B. Temperatur oder mechanische Beanspruchung, verursacht werden. Sie wirken gleichzeitig auf alle Komponenten eines SIS.
Die Gerätehersteller müssen Angaben über die SIL-Einstufung bezüglich der systematischen Fehler liefern. (SIL Angabe des Herstellers)
Diversitäre Redundanz bei systematischen Fehlern
Dies erreicht man z. B. durch den Einsatz von zwei unterschiedlichen Geräten, am besten unterschiedlicher Hersteller. Als diversitäre Redundanz kann auch gelten, wenn statt unterschiedlicher Geräte unterschiedliche Technologien (sofern sinnvoll) eingesetzt werden, beispielsweise mit einem Druckmessgerät und einem Temperaturmessgerät.
Zusammenfassung:
Nachstehend wichtige Aussagen zum Thema „funktionale Sicherheit“ (SIL) eines SIS:
Der Gerätelieferant hat keinen Einfluss auf die SIL-Einstufung der Anlage
Um beurteilen zu können, ab wann ein SIS einen geforderten SIL einhält, muss immer die Ausfallwahrscheinlichkeit der zufälligen Fehler berechnet werden.
Letztendlich ist daher der Wert der Ausfallwahrscheinlichkeit der eingesetzten Komponenten für den Anlagenbetreiber von Bedeutung. Die SIL-Einstufung des Gerätes kann daher oftmals für die Berechnung nur als Anhaltspunkt betrachtet werden.
Zusätzlich muss die Verarbeitungskette den Anforderungen an die Vermeidung systematischer Fehler genügen.
Die Aussage über die SIL-Stufe eines Gerätes bedeutet nur, dass es prinzipiell für den Einsatz einer Anlage mit entsprechender SIL-Stufe geeignet ist.
Die Normen fordern eine rechnerische Beurteilung/Nachweis der funktionalen Sicherheit.
Zertifikate sind weder von der Norm gefordert noch gesetzlich vorgeschrieben.
Autor:
Mario Haake
Co-Founder IFAN