Funktionale Sicherheit nach IEC/EN 61508 Nur der Blick auf's Ganze zählt - wirautomatisierer

Funktionale Sicherheit nach IEC/EN 61508

Nur der Blick auf’s Ganze zählt

Anzeige
Jede Anwendung von Technik bedeutet gleichzeitig ein sicherheitstechnisches Risiko. Ausfälle und Fehlfunktionen von verfahrenstechnischen Anlagen und Maschinen können Personen, Umwelt und Sachwerte gefährden. Schadensauswirkungen und Eintrittswahrscheinlichkeiten bestimmen dabei die erforderlichen Maßnahmen zur Risikoreduzierung. Mit dem Einzug von mikroprozessor- und software-basierten Systemen in der Automatisierungstechnik wurden applikationsunabhängige Regeln an die Sicherheitsanforderungen solcher Systeme erforderlich.

Um dieses Ziel zu erreichen, wurden verschiedene Normen und Standards entwickelt. Zuerst befasste sich die DIN mit der funktionalen Sicherheit von Mess- und Regelsystemen (DIN V 19250, 1994) und den zugehörigen Sicherheitsfunktionen (DIN V 19251, 1995). Auf Grundlage dieser Vornormen wurden Risikobeurteilungen durchgeführt, und die Sicherheitsfunktion einer Anlage in acht Sicherheits- bzw. Anforderungsklassen (AK 1 bis AK 8) kategorisiert. Mit der Beurteilung eines Systems nach DIN V 19250 und DIN V 19251 war der qualitative, nicht aber der quantitative Nachweis eines Restrisikos erbracht.

Nachdem die genannten Vornormen am 1.8.2004 zurückgezogen wurden, trat die weltweit anwendbare Sicherheitsnorm IEC/EN 61508 an ihre Stelle. Diese fordert auf Basis einer Berechnung der Versagenswahrscheinlichkeit einen quantitativen Nachweis für das verbleibende Restrisiko. Neu an der Norm ist zudem, dass sie im Gegensatz zu den nationalen Vornormen die komplette Sicherheitsinstallation vom Sensor bis zum Aktor inklusive der Management-Rahmenbedingungen beschreibt. Der Fokus liegt hier auf den organisatorischen Maßnahmen, wie Schulung des Personals und regelmäßige Funktionsprüfungen. Der Gerätehersteller muss sich auf eine grundlegende Neustrukturierung der Anforderungen an die Sicherheitsnachweise in der Hard- und Software-Entwicklung einstellen. So gelingt es in der Regel nicht, ein bestehendes System nachträglich nach IEC/EN 61508 zu qualifizieren.
Laut IEC-Definitionen handelt es sich bei IEC 61508 (auch als DIN EN 61508 verfügbar) um eine „Basic Safety Publication“, die als ein ihrer Hauptziel hat, die Entwicklung branchenspezifischer Normen zu erleichtern. Zur Zeit sind dies beispielsweise die IEC/EN 61511 für die Prozessindustrie und die IEC/EN 62061 für den Maschinenbau. Ein weiteres Ziel der IEC/EN 61508 ist es aber auch, die Entwicklung von sicherheitsgerichteten Systemen zu ermöglichen, für die noch keine anwendungsspezifischen internationalen Normen vorhanden sind.
Im Ernstfall zuverlässige Sicherheitsfunktionen
Die in der IEC/EN 61508 betrachteten sicherheitstechnischen Systeme beruhen auf elektrischer, elektronischer und programmierbarer elektronischer Technologie. Der Begriff „Funktionale Sicherheit“ beschreibt den Teil der Gesamtanlagensicherheit, der von der korrekten Funktion der Sicherheitssysteme abhängt. Die Sicherheitsfunktion ist eine Einrichtung zur Risikominderung, die mit dem Ziel installiert wird, bei einem gefährlichen Vorfall einen sicheren Anlagenzustand zu erreichen oder aufrechtzuerhalten. Aus technischer Sicht muss dafür gesorgt werden, dass die Sicherheitsfunktion im Anforderungsfall zuverlässig ausgeführt wird, das heißt, die Wahrscheinlichkeit für das gefährliche Versagen des Schutzsystems muss hinreichend gering sein.
Die IEC/EN 61508 behandelt sicherheitstechnische Systeme über den gesamten Sicherheitslebenszyklus, vom ersten Konzept bis hin zur Außerbetriebnahme. Insgesamt handelt es sich dabei um 16 Phasen, die vom Anlagenbetreiber betrachtet werden müssen. Einen der wichtigsten Punkte bei der Gesamtplanung stellt zweifellos die Realisierung dar. In dieser Phase ist die tatsächliche Umsetzung des konzipierten sicherheitsbezogenen Systems zu planen und die eigentliche Entwicklung entsprechend durchzuführen. Eine Abstimmung zwischen Anlagenbetreiber, Engineering und Gerätehersteller ist dabei sinnvoll.
Das verbleibende Restrisiko einer Sicherheitsfunktion wird durch Berechnung der Versagenswahrscheinlichkeit aller im Sicherheitskreis beteiligten Komponenten und deren Verschaltung bestimmt. Die Festlegung eines Sicherheits-Integritätslevels (SIL) bedeutet, der Sicherheitsfunktion einen sogenannten Versagensgrenzwert zuzuweisen. Unterschieden werden vier Sicherheitsstufen: SIL 4 für die höchste Stufe der Sicherheitsintegrität bis SIL 1 für die niedrigste. Jede Stufe entspricht einem Bereich für die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion. Typischerweise werden die Messkreise in SIL 2 oder SIL 3 ausgelegt, eine SIL 4 Kategorie ist unseres Wissens in Prozessgeräten bisher noch nicht umgesetzt worden.
Unterschiedliche Grenzwerte je nach Anwendung
Je nach Anwendung werden der Ausfallwahrscheinlichkeit unterschiedliche Versagensgrenzwerte zugeordnet:
  • Versagensgrenzwert PFD (Probability of Failure on Demand bzw. mittlere Wahrscheinlichkeit, dass die Sicherheitsfunktion auf Anforderung nicht ausgeführt wird)
  • Versagensgrenzwert PFH (Probability of Failure per Hour bzw. Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde)
Dabei ist die PFD für niedrige Anforderungsraten bestimmt, während die PFH für hohe Anforderungsraten gilt. Die IEC/EN 61508 unterscheidet daher zwei Betriebsarten für Sicherheitsfunktionen: Betriebsarten mit niedriger und mit hoher oder kontinuierlicher Anforderungsrate. Von niedriger Anforderungsrate wird gesprochen, wenn eine Sicherheitsfunktion nur im Gefahrenfall angefordert wird, um das zu überwachende System in einen definierten sicheren Zustand zu bringen. Dabei wird vorausgesetzt, dass die übliche prozessführende Steuerung weniger als einmal pro Jahr versagt, und somit die Anforderungsrate an das Sicherheitssystem entsprechend gering ist. Schutzsysteme in chemischen Anlagen arbeiten inder Regel mit niedriger Anforderungsrate.
Eine Sicherheitsfunktion, die in kontinuierlicher Anforderungsrate arbeitet, hält das zu überwachende System dauerhaft in seinem normalen sicheren Zustand. Ein gefährlicher Ausfall dieses Systems führt unmittelbar zu einer Gefährdung, falls keine weiteren sicherheitsbezogenen Systeme oder externen Maßnahmen zur Risikominderung wirksam werden. Beispiele hierfür sind die Drehzahlüberwachung an Maschinen oder Brennersteuerungen.
Neben der gefährlichen Versagenswahrscheinlichkeit PFD bzw. PFH werden zwei weitere Kenngrößen zur SIL-Klassifizierung herangezogen:
  • Hardware-Fehlertoleranz HFT (Hardware Fault Tolerance)
  • Anteil ungefährlicher Ausfälle SFF (Safe Failure Fraction)
Die HFT beschreibt die Güte einer Sicherheitsfunktion und steht für die Fähigkeit, die Funktion bei Bestehen von Fehlern weiter korrekt auszuführen. Beispielsweise steht eine HFT von 1 für ein System mit einfacher Redundanz, d.h., es müssen mindestens zwei Fehler gleichzeitig auftreten, um zu einem Ausfall der Sicherheitsfunktion zu führen.
Bei der SFF geht es um die Berechnung des Anteils sogenannter sicherer Ausfälle. Ein Wert von 95 % beschreibt, dass 95 von 100 Ausfällen in bezug auf die Sicherheitsfunktion unkritisch sind. Eine bedeutende Rolle spielt dabei die Fehleraufdeckung durch Selbsttests und die Fähigkeit, angemessen zu reagieren. Deshalb unterscheidet man gefährliche und ungefährliche Fehler sowie die Möglichkeit, diese Fehler selbständig entdecken zu können oder nicht.
Kein SIL für das Einzelgerät sondern das ganze System
Der erreichbare SIL nach IEC/EN 61508 einer Sicherheitsfunktion ist von der gefährlichen Versagenswahrscheinlichkeit PFD beziehungsweise PFH und der Kombination der Kenngrößen SFF und HFT abhängig. Diese Sicherheitskennzahlen werden in der technischen Dokumentation des Gerätes angegeben. Im Gegensatz zur bisherigen Betrachtung nach DIN müssen die Versagenswahrscheinlichkeiten PFD beziehungsweise PFH aller am Sicherheitskreis beteiligten Komponenten und deren Verschaltung zusammengefasst werden. Insofern hat ein einzelnes Gerät keinen SIL, sondern kann vielmehr aufgrund seiner Sicherheitskennzahlen in einem sicherheitsgerichteten Messkreis gemäß eines SIL X eingesetzt werden. Zu beachten ist, dass das einzelne Gerät möglichst wenig von der zulässigen Versagenswahrscheinlichkeit PFD/PFH des gesamten Messkreises beanspruchen sollte. Anderenfalls besteht die Gefahr, dass ein Sicherheitskreis aus Komponenten, die gemäß Spezifikation alle für SIL 2 geeignet sind, in der Summe nur SIL 1 erreicht.
Bei redundanten Strukturen ist die Betrachtung von Fehlern gemeinsamer Ursache von besonderer Relevanz, da hier die Wahrscheinlichkeit besteht, dass systematische Fehler identischer Geräte zu gleichen Auswirkungen führen und so einen Mehrfachfehler verursachen. Die beabsichtigte Fehlertoleranz wird aufgehoben und ein Systemausfall entsteht. Das Problem besteht insbesondere bei der Software: Ein Fehler würde in beiden Geräten gleichermaßen auftreten, da die Software identisch ist. Bei redundanter Verschaltung ist daher gezielt darauf zu achten, dass die Software des Geräts bereits für den höheren SIL geeignet und zertifiziert ist. Fehler gemeinsamer Ursache werden mit dem sogenannten b-Faktor ausgedrückt. Er beschreibt das Verhältnis der Wahrscheinlichkeit von Ausfällen mit gemeinsamer Ursache zu der Wahrscheinlichkeit zufälliger Ausfälle.
Die Wahrscheinlichkeit eines gefährlichen Ausfalls tendiert nach dem ersten Einschalten eines Sicherheitssystems gegen Null. Mit fortlaufender Betriebszeit steigt die Ausfallwahrscheinlichkeit an. Mit der Durchführung einer Wiederholungsprüfung kann erneut von einer Ausfallwahrscheinlichkeit von nahezu Null ausgegangen werden („Wie-Neu“-Zustand). Der Proof-Test muss dazu in der Lage sein, alle nicht durch die Selbstdiagnose erkennbaren Fehler aufzudecken. Kürzere Prüfintervalle verringern die Ausfallwahrscheinlichkeit. Das Verkürzen der Intervalle kann aber nur bei Geräten mit niedriger Anforderungsrate angewendet werden, da bei 1-kanaligen Anordnungen nur PFD, nicht jedoch PFH variabel ist.
Fehlervermeidung beginnt schon bei der Entwicklung
Bei der Erstellung der IEC/EN 61508 wurde besonderer Wert darauf gelegt, die gesamte Entwicklung und Projektierung von sicherheitsrelevanten Systemen von vornherein auf Fehlervermeidung auszurichten beziehungsweise auftretende Fehler ohne Einschränkungen für die Funktionalität der Anlage oder der Maschinen zu beherrschen. Bereits während der Entwicklung, Fertigung aber auch während des Betriebes (Sicherheitslebenszyklus) müssen alle Fehlervermeidungs- und Fehlerbeherrschungsmaßnahmen, sowie die verwendeten Methoden und Werkzeuge beachtet und bewertet werden.
Die Hardware-Architektur muss dem geforderten Sicherheits-Integritätslevel angepasst sein. Zur Beherrschung von zufälligen Hardware-Fehlern, systematischen Fehlern sowie von umweltbedingten und betriebsbedingten Ausfällen müssen Techniken und Maßnahmen in das Geräte-Design einfließen. Hierbei werden insbesondere die Ausfallraten der Teilsysteme und Komponenten sowie die Entdeckungswahrscheinlichkeit eines Ausfalls durch Diagnoseeinrichtungen betrachtet. Es ist notwendig, jede spezifizierte Sicherheitsfunktion durch Tests oder Analyse zu validieren und zu dokumentieren. Selbstverständlich müssen bei dieser Vorgehensweise auch alle Modifikationen entsprechend sorgsam überprüft und dokumentiert werden.
Ein ähnliches Vorgehen gilt für die Software: Die Sicherheitsanforderungen sind detailliert zu spezifizieren. Mittels Reviews muss geprüft werden, ob alle sich daraus ergebenden Anforderungen an die Software ausreichend berücksichtigt wurden. Die entwickelte Software muss analysierbar und verifizierbar sein, sodass alle Prüfungen in bezug auf die Sicherheitsintegrität vollständig durchgeführt werden können. Auch die verwendete Software-Entwicklungsumgebung unterliegt dabei den Anforderungen der IEC/EN 61508. Bei der Integration der Software auf die Zielhardware muss durch Tests die Kompatibilität von Soft- und Hardware überprüft werden, um sicherzustellen, dass die gewünschte Sicherheitsintegrität erreicht werden kann.
Nur Neuentwicklungen erfüllen umfassend IEC 61508
Zusätzlich zu den technischen Forderungen sind organisatorische Maßnahmen zur Vermeidung von Fehlern vorgeschrieben, mit dem Ziel, das verbleibende Restrisiko zu minimieren. Im Bereich des „Functional Safety Management“ hat die sichere Durchführung aller Arbeitsabläufe und Maßnahmen oberste Priorität. Dazu gehören auch die Definition und Qualifikation verantwortlicher Personen. Im Grundsatz heißt dies, dass die Gesamtheit der Forderungen aus der IEC/EN 61508 nur bei Neuentwicklungen umfassend abgebildet werden kann.
Zur Bewertung bereits entwickelter und gefertigter Komponenten besteht gemäß IEC/EN 61511 die Möglichkeit einer Qualifizierung auf Basis der Betriebsbewährtheit. Eine Komponente ist dann betriebsbewährt, wenn eine dokumentierte Prüfung geeigneter Nachweise der früheren Einsätze belegt, dass die Komponente für ein sicherheitstechnisches System geeignet ist. Der Detaillierungsgrad des Nachweises muss mit dem gewählten SIL übereinstimmen.
Bei dieser Methodik ist zu berücksichtigen, dass die oben dargestellten umfangreichen Anforderungen der IEC/EN 61508 an den Entwicklungsprozess nicht anwendbar sind. In enger Abstimmung mit dem Anwender kann die Betriebsbewährtheit aber ein durchaus adäquates Mittel zur Erreichung eines sicherheitsrelevanten Messkreises sein. Dabei ist die Relevanz der bisherigen Betriebserfahrung für den neuen Einsatz (vergleichbares Anforderungsprofil, Berücksichtigung der Systemumgebung) und ein nachvollziehbares, umfassendes Konfigurationsmanagement zu berücksichtigen.
eA 462

eA-INFO-TIPP
Informationen und Dokumente zu der Norm IEC 61508 gibt es auf der IEC-Website zu Functional Safety:

Informationen und dokumente zu der Norm IEC 61508 gibt es auf der IEC-Website zu Functional Safety:
Das Haus der Technik, eine Außenstelle der RWTH Aachen, bietet Seminare zum Thema „funktionale Sicherheit SIL“ und „sicherheitstechnische Systeme nach IEC 61508/IEC 61511“ an. Zudem finden sich auf der Internetseite auch Antworten zu häufig gestellten Fragen aus dem Bereich.
Eine Broschüre in Englisch zu den Grundzügen der Norm kann unter folgender Adresse heruntergeladen werden:
Informationen zu den Produkten von Knick finden Sie unter:

praxis plus
Die IEC 61508 ist ein weltweiter Standard, der die maßgeblichen Sicherheitsanforderungen an elektrische, elektronische und programmierbare elektronische Systeme beschreibt. Sie ist das erste international harmonisierte Regelwerk, das anwendungsunabhängig gilt. Am 1. August 2002 wurde sie als DIN EN 61508 in das deutsche Normenwerk übernommen und definiert den Stand der Technik in sicherheitsgerichteten Anwendungen. Mit dieser Norm wird erstmals ein quantitativer Nachweis für das verbleibende Risiko für die komplette Schutzeinrichtung, bestehend aus Sensor, Steuerung und Aktor, gefordert.
Anzeige

Video aktuell

VX25 - Michael Schell, Hauptabteilungsleiter Produktmanagement bei Rittal, stellt das neue Großschranksystem vor.

Aktuelle Ausgabe

Newsletter

Unsere Dosis Wissensvorsprung für Sie. Jetzt kostenlos abonnieren!

Webinare & Webcasts

Technisches Wissen aus erster Hand

Videos

Hier finden Sie alle aktuellen Videos

Alle Whitepaper

Hier finden Sie alle Whitepaper unserer Industrieseiten

Produkttester werden!

Sie möchten Differenzdrucksensoren testen. Jetzt bewerben!

Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de