www.wikidata.de-de.nina.az

Funktionale Sicherheit abgekürzt auch FuSi umfasst die Sicherheitsfunktionen an technischen Einrichtungen die durch Maßn

Funktionale Sicherheit

Funktionale Sicherheit (abgekürzt auch FuSi) umfasst die Sicherheitsfunktionen an technischen Einrichtungen, die durch Maßnahmen der Prozessleittechnik abgedeckt werden.

Überblick Bearbeiten

Von technischen Anlagen oder auch Beförderungssystemen gehen Gefährdungen aus, von denen bei nicht bestimmungsgemäßem Betriebszuständen eine Gefährdung für Personen, die Umwelt oder größere materielle Schäden ausgeht. Für diese Systeme müssen am Anfang der Projektierung eine Risiko- und Gefahrenanalyse erstellt werden. Dabei werden oft systematische Verfahren wie LOPA oder HAZOP herangezogen, um Risiken zu ermitteln. An erster Stelle zur Risikominimierung steht die Auslegung der Systeme durch Anwendung produktspezifischer Anwendungsrichtlinien und Normen. So wird ein Druckbehälter nach dem europäisch harmonisiertem Regelwerk (EN 13445 ff) unter Berücksichtigung der im Betrieb auftretenden Beanspruchungen ausgelegt, um Gefährdungen im bestimmungsgemäßen Betrieb auf ein akzeptiertes Niveau zu senken.

Die in der Risikoanalyse ermittelten Restgefahren für die spezielle Anlage müssen durch Sicherheitseinrichtungen abgesichert werden. Dies kann durch mechanische Einrichtungen erfolgen (z. B. durch ein abblasendes Sicherheitsventil) oder durch elektrische Sicherheitsschaltungen SIF (z. B. Einbau eines Druckbegrenzers, der das Schließen einer Armatur bewirkt). Die funktionale Sicherheit umfasst nur die Anforderungen an die elektrischen Sicherheitsschaltkreise. In der Begriffsbestimmung der EN 61511-1 wird die funktionale Sicherheit beschrieben durch: Teil der Gesamtsicherheit, der sich auf den Prozess und die PLT-Betriebseinrichtungen bezieht und der von der korrekten Funktion der PLT-Sicherheitseinrichtung(en) und anderer Schutzebenen abhängt.

Im Rahmen der Risikoanalyse müssen die Gefährdungen quantitativ abgeschätzt werden. Dabei werden die Parameter Schadensausmaß, Aufenthaltswahrscheinlichkeit im gefährdeten Bereich, Möglichkeit zum Ergreifen von Gegenmaßnahmen und Eintrittswahrscheinlichkeit des gefährlichen Ereignisses festgelegt. Mit diesen Größen kann anhand eines Risikographens der erforderliche Sicherheitsniveaulevel der einzelnen Sicherheitsfunktionen SIF ermittelt werden. So kann das Schadensausmaß von leichten reversiblen Verletzungen bis zu dem Tod mehrere Personen reichen. Je höher das Schadensausmaß ist und umso wahrscheinlicher der Eintritt umso höher ist der Sicherheitsniveaulevel. In den Anwendungsnormen sind unterschiedliche Risikographen aufgeführt. In der Prozessindustrie wird zumeist der SIL-Level verwendet, der von den Stufen SIL1 bis SIL4 mit zunehmenden Anforderungen reicht. Bei der Maschinensicherheit wird bei hoher Anforderung der Sicherheitsfunktion zumeist der performance level PL verwendet, der von PLa bis PLe reicht.

Bei der funktionalen Sicherheit wird der Gesamtlebenszyklus der Sicherheitsschaltkreise betrachtet. Die Normen zur funktionalen Sicherheit beinhalten die Themen Risikoanalyse, Spezifizierung der Anforderungen, Validierung, regelmäßige Funktionsprüfungen und Außerbetriebnahme.

Die Sicherheitsintegrität bezeichnet nach der EN 61508 Teil 4 die Wirksamkeit der Sicherheitsfunktionen eines sicherheitsbezogenen Systems. Bei der Betrachtung der Schaltfunktionen zur Ermittlung der Wirksamkeit wird immer der gesamte Schaltkreis, bestehend aus Sensor, Sicherheitsschaltung, Aktor und ggf. Schaltverstärkern betrachtet. Für Sicherheitsschaltungen können fest verdrahtete Schaltkreis mit Relais genutzt werden oder fehlersichere speicherprogrammierbare Steuerungen (F-SPS).

Mit der Komplexität der Anlagen und der sicherheitstechnischen Anforderungen werden vermehrt elektronische, insbesondere programmierbare Systeme eingesetzt. Diese werden z. B. verwendet, um den Druck und Wasserstand im Dampfkessel zu überwachen, die Überfüllung von Lagerbehältern zu vermeiden, die Inertisierung von Lagerbehältern bei Verwendung explosionsgefährdender Stoffe in der Chemie sicherzustellen, Absperrbereiche um Industrieroboter zu überwachen oder die Fahrstrecken von Zügen zu überwachen.

Entsprechend fordert die Normenreihe IEC 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme“ die Anwendung diverser Methoden zur Beherrschung von Fehlern:

  • Vermeidung systematischer Fehler in der Entwicklung, z. B. Spezifikations- und Implementierungsfehler;
  • Überwachung im laufenden Betrieb zur Erkennung von zufälligen Fehlern; und
  • Sichere Beherrschung von erkannten Fehlern und Übergang in einen vorher als sicher definierten Zustand.

Ursachen von zufälligen Fehlern können Alterung oder physikalische Phänomene (Softerror) sein.

Nicht zur funktionalen Sicherheit gehören u. a. elektrische Sicherheit, Brandschutz oder Strahlenschutz.

Prozessindustrie Bearbeiten

Die spezielle Normenreihe für die funktionale Sicherheit in der Prozessindustrie ist die DIN EN 61511. bzw. international als IEC 61511. Grundsätzlich wird bei den PLT-Sicherheitseinrichtungen zwischen der Betriebsart niedrige Anforderung (low demand - Anforderung der Sicherheitsfunktion max. 1 mal/Jahr) und hohe Anforderung bzw. kontinuierliche Anforderung unterschieden. In der Fertigungsindustrie und im Bereich der Maschinensicherheit wird meistens der high demand mode angewandt. Für ein Notabschaltsystem an einer technischen Anlage ist oft die Auslegung im low demand mode relevant.

RI-Fließbild der Wasserseite eines Grosswasserraumdampfkessels mit Darstellung der Sensorik. Die Sicherheitsfunktionen (rot umrandet) sind mit dem Schaltzeichen „Z“ dargestellt, das für einen sicherheitsrelevanten Schalteingriff steht.

Nachdem im Rahmen eines Sicherheitsgesprächs mögliche Gefährdungen für eine Anlage ermittelt worden sind, ist festzulegen, ob die Gefährdungen durch konstruktive Maßnahmen, Änderung des Verfahrens oder Einsatz anderer Stoffe aufgehoben werden können, und so eine inhärente Sicherheit bezogen auf bestimmte Gefährdungen erreicht werden kann. Soweit Gefährdungen weiter bestehen, sind mechanische Schutzeinrichtungen und/oder Maßnahmen der Prozessleittechnik für einen sicheren Betrieb vorzusehen. Im Rahmen der Umsetzung der funktionalen Sicherheit sind folgende Schritte erforderlich:

  • Auswahl geeigneter physikalischer Größen, die zur Überwachung bestimmter Sicherheitsfunktionen genutzt werden sollen. Bei hohen Sicherheitsanforderungen kann eine Redundanz der Sensoren und Aktoren erforderlich sein. Die Anwendung unterschiedlicher physikalischer Verfahren oder die Auswahl unterschiedlicher Geräte können Fehler gemeinsamer Ursache (Common-Cause-Failure) ausschalten oder vermindern (diversitäre Redundanz).
  • Definition des sicheren Zustandes der Prozessanlage. Hier sind neben Abschaltungen ggf. auch Notfunktionen zum sicheren Abfahren (Notkühlkreise, Entlastungsklappen) einzubeziehen.
  • Erstellung einer Ursache-Wirkungs-Matrix, um für jede Sicherheitsfunktion eine Schaltfolge zum Erreichen des sicheren Zustandes zu beschreiben,
  • Abschätzung der Auswirkung potentieller Gefährdungen unter Anwendung eines Riskiographens,
  • Auswahl geeigneter zertifizierter Geräte zur Realisierung der einzelnen Sicherheitsfunktionen,
  • Rechnerischer Nachweis, dass der erforderliche Sicherheitsniveaulevel mit den ausgewählten Elementen des Sicherheitsschaltkreises erreicht wird.
Sicherheitsintegrität für Sicherheitsfunktionen im low demand mode (Ansprechen der Sicherheitseinrichtung max. 1 mal/Jahr)
Sicherheits-Integritätslvel (SIL) PFD avg - Mittlere Wahrscheinlichkeit eines gefährlichen Ausfalls bei Anforderung Erforderliche Risikominimierung
4 >= 10-5 bis < 10-4 > 10000 bis <= 100000
3 >= 10-4 bis < 10-3 > 1000 bis <= 10000
2 >= 10-3 bis < 10-2 > 100 bis <= 1000
1 >= 10-2 bis < 10-1 > 10 bis <= 100
Risikograph in Anlehnungen an die IEC 61511-3 zur Ermittlung des SIL-levels einer Sicherheitsfunktion

Für die einzelnen Sicherheitsfunktion SIF muss die erforderliche Risikominimierung nachgewiesen werden. Der Nachweis erfolgt auf Grundlage der Wahrscheinlichkeitsrechnung, indem die Ausfallraten der einzelnen Geräte einer SIF vom Sensor bis zum Aktor betrachtet werden. Da die Ausfallwahrscheinlichkeiten der Bauteile addiert werden, bestimmt das Bauteil mit der höchsten Ausfallrate wesentlich die gesamte Schaltkette. Die Ermittlung der Ausfallwahrscheinlichkeit bei Anforderung (Probability of dangerous failure on demand) einer SIF erfolgt aus:

Darüber hinaus muss die Hardwarefehlertoleranz (HFT) betrachtet werden. Im Allgemeinen müssen ab dem Sicherheitslevel SIL3 auch Doppelfehler betrachtet werden (HFT >0), so dass einkanalige Geräte nicht mehr ausreichen. In der VDI/VDE 2180 Blatt 3 sind vereinfachte Berechnungsverfahren für Auswahlschaltungen mit redundanten Sicherheitsbauteilen aufgeführt, bei denen die Terme der Ausfallwahrscheinlichkeiten mit höherer Potenz vernachlässigt werden. Zur Erhöhung der Sicherheit und Reduzierung der Ausfallwahrscheinlichkeit können zwei Sensoren verwendet werden, die nach dem Ruhestromprinzip arbeiten und deren Kontakte in Reihe angeordnet werden. Diese Schaltung wird in Kurzform als 1°°2 (one out of two) bezeichnet; dies bedeutet, dass beim Ansprechen von einem Sicherheitssensor von 2 vorhandenen die Schutzschaltung ausgelöst wird. Für SIF mit geringem Sicherheitsniveau und hoher Verfügbarkeit wird oft auch die 2°°2-Schaltung verwendet; hier sind die Schaltkontakte parallel geführt und die SIF wird erst ausgelöst, wenn beide Sensoren abschalten. Um einen hohen Sicherheitslevel bei hoher Verfügbarkeit zu erreichen, wird die 2°°3-Schaltung angewandt, die tolerabel gegenüber dem Ausfall eines Sensors ist. Ein weiterer Sicherheitsgewinn wird erreicht, wenn beim Einsatz mehrerer analoger Sensoren die Signale verglichen werden (Plausibilitätsprüfung), und beim Auseinanderdriften der Signale eine Sicherheitsschaltfunktion oder eine Alarmierung erfolgt.

Zusammensetzung des PFD (Wahrscheinlichkeit eines Ausfalls bei Anforderung) einer SIF aus den Komponenten der Schaltkette (loop)

Zum Absperren eines Stoffstroms kann bis zu einem SIL2-Schutzkreis eine stromlos schließende Armatur ausreichen. Bei höheren Anforderungen können 2 seriell angeordnete Armaturen erforderlich sein, deren Funktion durch automatische Dichtheitsprüfungen und Stellungsrückmeldungen verifiziert wird. Grundsätzlich müssen bei dem Einsatz der Sensoren und Aktoren geeignete Maßnahmen ergriffen werden, um bekannte gefährliche Ausfälle auszuschließen. Dies sind z. B. das Verstopfen von Impulsleitungen, Kondensatbildung, Schutz von Membranen gegen hohen Temperaturen. Die Funktion von Armaturen kann durch zu hohe Drücke, klebende Medien oder Feststoffe beeinträchtigt werden.

Ein entscheidender Faktor für die Ermittlung des PFD ist das Prüfintervall T1 für die umfassende Prüfung einer Anordnung. Ein elektromechanischer Druckwächter liefert ein digitales Signal für eine Drucküber- oder unterschreitung. Ein Fehler des Gerätes kann im Betrieb nicht festgestellt werden, sondern nur im Rahmen einer Prüfung durch Aufgabe eines Prüfdrucks. Daher kann bei diesem Gerät ein gefährlicher Fehler maximal über den Prüfzeitraum T1 unentdeckt bleiben. Werden dagegen mehrere Drucktransmitter mit einem analogen Ausgangssignal (z. B. 4..20 mA-Signal) für eine Überwachungsfunktion eingesetzt, dann können Abweichungen, die auf die Fehlfunktion eines Gerätes hinweisen, unmittelbar festgestellt werden.

PFD für verschiedene Architekturen (Geräteanordnungen) in Anlehnung an die DIN EN 61508-6
Architektur Performance level on demand (vereinfachte Berechnung)
1°°1
1°°2
2°°2
2°°3
  •  : Rate der gefährlichen und unentdeckten Ausfälle. Die Werte für die Ausfallrate der Prozessgeräte werden mittlerweile von den Herstellern für definierte Einstaztbedingungen geliefert. Bei Altgeräten ist es auch zulässig, auf Grundlage statistischer Aufzeichnungen der in einem Betrieb verwendeten Geräte Ausfallraten (z. B. nach der Richtlinie NE 130) zu ermitteln oder beim Einsatz von Geräten unter abweichenden Einsatzbedingungen.
  •  : Anteil der gefährlichen Ausfälle gemeinsamer Ursache. Bei diversitären Geräten und Messverfahren kann der Wert auf 0 gesetzt werden. Bei der Verwendung gleicher Geräte wird der Erfahrungswert von 0,05 oft eingesetzt.
  •  : Prüfintervall für den vollständigen Test der Anordnung. Hier wird oft ein Intervalle von 1 Jahr angewandt. Bei Qualitätsmessungen mit relativ hohen gefährlichen Ausfallraten (z. B. Messung des Sauerstoffgehaltes in einem Gasstrom) kann es sinnvoll sein, ein kürzeres Prüfintervall T1 anzusetzen, wenn die Ausfallrate λDU dieses Sensors deutlich über der Ausfallrate der anderen Glieder des loops liegt.

Managementsystem der funktionalen Sicherheit Bearbeiten

Für die Lebensdauer von PLT-Schutzsystemen wird ein umfängliches Managementsystem der funktionalen Sicherheit gefordert. Dieses System beinhaltet:

  • Ermittlung und Spezifizierung der Sicherheitsfunktionen und der Randparameter im Rahmen der Gefährdunsbsbeurteilung und Risikoanalyse,
  • Beschreibung des sicheren Zustands (Schwarzfallverhalten) Sicherheitsniveaulevel, Grenzwerte, Prozessantwortzeiten,
  • Auswahl geeigneter Geräte auf Grundlage der Herstellerangaben und Betriebserfahrungen und der ermittelten Sicherheitsniveaustufen,
  • Festlegung der Prüfintervalle T1 unter Berücksichtigung der ermittelten SIL-level,
  • Umfängliche Dokumentation (RI-Fließbilder, Ursache-Wirkungs-Matrix, SIL-Ermittlung, Betriebsanleitungen der Geräte, Gefährdungsbeurteilung, Explosionsschutzdokumente),
  • Einbau der Geräte und Einhaltung der Randbedingungen, geschützte Verlegung der Kabels,
  • Überwachung der Hilfsenergien,
  • Beschreibung der Geräteparametrierung und Sicherung der Einstellung,
  • Dokumentation des Sicherheitscode einer fehlersicheren speicherprogrammierbaren Steuerung,
  • Besondere Kennzeichnung sicherheitsrelevanter Komponenten im Feld,
  • Zugängliche Anordnung der Prozessgeräte in der Anlage, damit Wiederholungsprüfung einfach möglich sind,
  • Maßnahmen zur Cyber Security zur Verhinderung eines gefährlichen Eingriffs Dritter,
  • Erstellen von Betriebsanweisungen.
  • Festlegungen von Maßnahmen bei bestimmten Betriebszustände (z. B. Anfahren),
  • Qualifikation der Bediener und Einweisung der Beschäftigten,
  • Validierung, dass alle Punkte bei der Umsetzung der PLT-Sicherheitseinrichtungen entsprechend der Spezifikation umgesetzt worden sind.
  • Planung des Ablaufs Inbetriebnahme,
  • Erstellung von Prüflisten für die PLT-Sicherheitseinrichtungen, Beschreibung des Prüfumfangs und Anforderungen an das Prüfperonal (befähigte Personen),
  • Maßnahmen bei Instandsetzung, Reparatur oder Änderung sicherheitsrelevanter Einrichtungen oder Programmverknüpfungen,
  • Dokumentation von Änderungen im sicherheitsrelevanten Programmcode,
  • Überprüfung der Sicherheitsreinrichtungen der Prozessanlage bei Unfällen oder beim Auftreten von nicht bestimmungsgemäßen Zuständen oder bei Ausfällen von Sicherheitsgeräten,
  • Maßnahmen bei Stillständen und Außerbetriebnahme.

Gesetzliche Sicherheitsanforderungen Bearbeiten

Die Gesellschaft allgemein, insbesondere Kunden und Nutzer haben hohe Erwartungen an die Sicherheit von Systemen und die Reduzierung der Risiken. Diesbezüglich hat die Politik mit dem Produktsicherheitsgesetz (ProdSG, bis Dezember 2011: GPSG) einen gesetzlichen Rahmen für die Umsetzung von Sicherheitsanforderungen geschaffen. Die Vermeidung systematischer Fehler, sowie die Beherrschung systematischer und zufälliger Fehler in „sicherheitstechnischen Funktionen“ senkt das zu erwartende Risiko auf ein akzeptiertes Maß.

Wichtige Normen der funktionalen Sicherheit Bearbeiten

Folgende Normen gehören zu den wichtigsten, die funktionale Sicherheit betreffend:

  • EN ISO 13849: Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen
  • EN/IEC 61508: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme
  • EN/IEC 61511: Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie
  • EN/IEC 62061: Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbar elektronischer Steuerungssysteme
  • EN 50126 / IEC 62278: Bahnanwendungen – Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS)
  • EN 50128 / IEC 62279: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Software für Eisenbahnsteuerungs- und Überwachungssysteme
  • EN 50129 / IEC 62425: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsbezogene elektronische Systeme für Signaltechnik
  • EN 50159 / IEC 62280: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsrelevante Kommunikation in Übertragungssystemen
  • EN 50657: Bahnanwendungen – Anwendungen für Schienenfahrzeuge – Software auf Schienenfahrzeugen
  • ISO 26262: Road vehicles – Functional safety

Normreihe für Kraftfahrzeuge: ISO 26262 Bearbeiten

Bedienungsfehler werden von den Normen jedoch nicht erfasst, da das System dann eine Bewertung des manuellen Eingriffs („vom Bediener gewollter Missbrauch zur Vermeidung eines noch größeren Schadens“ oder „Fehler des Bedieners“) treffen müsste.

Eine Anpassung dieser Normenreihe für Kraftfahrzeuge ist die Norm ISO 26262 („Road vehicles – Functional safety“). Diese ist zum ersten Mal im November 2011 erschienen und wurde im Dezember 2018 komplett überarbeitet neu veröffentlicht.

Da in den heutigen Automobilen eine immer größere Anzahl an elektronischen Bauteilen und Steuergeräten verbaut wird und auch eine steigende Vernetzung der einzelnen Elektronik-Komponenten untereinander festzustellen ist, nimmt die Entwicklungskomplexität stetig zu. In vielen Märkten unterliegt die Zulassung deshalb einer gesetzlichen Kontrolle, um die funktionalen Sicherheitsvorschriften nach ProdSG einzuhalten.

Literatur Bearbeiten

  • David J. Smith, Kenneth G. L. Simpson: Functional Safety. A Straightforward Guide to Applying IEC 61508 and Related Standards. 2nd edition. Elsevier / Butterworth-Heinemann, Amsterdam u. a. 2004, ISBN 0-7506-6269-7.
  • Jens Braband: Funktionale Sicherheit. In: Lothar Fendrich (Hrsg.): Handbuch Eisenbahninfrastruktur. Springer, Berlin u. a. 2007, ISBN 978-3-540-29581-5, S. 649–699.
  • Peter Löw, Roland Pabst, Erwin Petry: Funktionale Sicherheit in der Praxis. Anwendung von DIN EN 61508 und ISO/DIS 26262 bei der Entwicklung von Serienprodukten. dpunkt.Verlag, Heidelberg 2010, ISBN 978-3-89864-570-6.
  • Martin Hillenbrandt: Funktionale Sicherheit nach ISO 26262 in der Konzeptphase der Entwicklung von Elektrik/Elektronik Architekturen von Fahrzeugen. KIT Scientific Publishing, Karlsruhe, 2012.
  • Dirk Dürholz, Steffen Herrmann und Ralf Stärk: SAFETY Essentials. ISO 26262 auf einen Blick – Kompakt vermittelt. 2014. ISBN 978-3-9815078-0-5.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. DIN EN 61511-3, Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel
  2. DIN EN 13849-1, Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze
  3. DIN EN 61511-3 (IEC 61511-3) Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel
  4. VDI/VDE 2180 Blatt 3, Funktionale Sicherheit in der Prozessindustrie, Nachweis des Sicherheitsintegritätslevels (SIL)
  5. VDI/VDE 2180 Blatt 3
  6. NE 130 Betriebsbewährte Geräte für PLT-Schutzein-richtungen und vereinfachte SIL-Berechnung (“Prior use”-de-vices for safety instrumented systems and simplified SIL calculation). Leverkusen: NAMUR
  7. DIN EN 61511-1, Funktionale Sicherheit – PLT-Sicherheitseinrichtungen für die Prozessindustrie – Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Hardware und Anwendungsprogrammierung, Kapitel 5
  8. VDI/VDE 2180 Blatt 1 Funktionale Sicherheit in der Prozessindustrie Einführung, Begriffe, Konzeption
  9. P. Löw, R. Pabst, E. Petry: Funktionale Sicherheit in Serienprodukten aufgerufen am 26. August 2014, PDF
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Funktionale Sicherheit abgekurzt auch FuSi umfasst die Sicherheitsfunktionen an technischen Einrichtungen die durch Massnahmen der Prozessleittechnik abgedeckt werden Inhaltsverzeichnis 1 Uberblick 1 1 Prozessindustrie 1 1 1 Managementsystem der funktionalen Sicherheit 1 2 Gesetzliche Sicherheitsanforderungen 1 3 Wichtige Normen der funktionalen Sicherheit 1 3 1 Normreihe fur Kraftfahrzeuge ISO 26262 2 Literatur 3 Weblinks 4 EinzelnachweiseUberblick BearbeitenVon technischen Anlagen oder auch Beforderungssystemen gehen Gefahrdungen aus von denen bei nicht bestimmungsgemassem Betriebszustanden eine Gefahrdung fur Personen die Umwelt oder grossere materielle Schaden ausgeht Fur diese Systeme mussen am Anfang der Projektierung eine Risiko und Gefahrenanalyse erstellt werden Dabei werden oft systematische Verfahren wie LOPA oder HAZOP herangezogen um Risiken zu ermitteln An erster Stelle zur Risikominimierung steht die Auslegung der Systeme durch Anwendung produktspezifischer Anwendungsrichtlinien und Normen So wird ein Druckbehalter nach dem europaisch harmonisiertem Regelwerk EN 13445 ff unter Berucksichtigung der im Betrieb auftretenden Beanspruchungen ausgelegt um Gefahrdungen im bestimmungsgemassen Betrieb auf ein akzeptiertes Niveau zu senken Die in der Risikoanalyse ermittelten Restgefahren fur die spezielle Anlage mussen durch Sicherheitseinrichtungen abgesichert werden Dies kann durch mechanische Einrichtungen erfolgen z B durch ein abblasendes Sicherheitsventil oder durch elektrische Sicherheitsschaltungen SIF z B Einbau eines Druckbegrenzers der das Schliessen einer Armatur bewirkt Die funktionale Sicherheit umfasst nur die Anforderungen an die elektrischen Sicherheitsschaltkreise In der Begriffsbestimmung der EN 61511 1 wird die funktionale Sicherheit beschrieben durch Teil der Gesamtsicherheit der sich auf den Prozess und die PLT Betriebseinrichtungen bezieht und der von der korrekten Funktion der PLT Sicherheitseinrichtung en und anderer Schutzebenen abhangt Im Rahmen der Risikoanalyse mussen die Gefahrdungen quantitativ abgeschatzt werden Dabei werden die Parameter Schadensausmass Aufenthaltswahrscheinlichkeit im gefahrdeten Bereich Moglichkeit zum Ergreifen von Gegenmassnahmen und Eintrittswahrscheinlichkeit des gefahrlichen Ereignisses festgelegt Mit diesen Grossen kann anhand eines Risikographens der erforderliche Sicherheitsniveaulevel der einzelnen Sicherheitsfunktionen SIF ermittelt werden So kann das Schadensausmass von leichten reversiblen Verletzungen bis zu dem Tod mehrere Personen reichen Je hoher das Schadensausmass ist und umso wahrscheinlicher der Eintritt umso hoher ist der Sicherheitsniveaulevel In den Anwendungsnormen sind unterschiedliche Risikographen aufgefuhrt In der Prozessindustrie wird zumeist der SIL Level verwendet 1 der von den Stufen SIL1 bis SIL4 mit zunehmenden Anforderungen reicht Bei der Maschinensicherheit wird bei hoher Anforderung der Sicherheitsfunktion zumeist der performance level PL verwendet der von PLa bis PLe reicht 2 Bei der funktionalen Sicherheit wird der Gesamtlebenszyklus der Sicherheitsschaltkreise betrachtet Die Normen zur funktionalen Sicherheit beinhalten die Themen Risikoanalyse Spezifizierung der Anforderungen Validierung regelmassige Funktionsprufungen und Ausserbetriebnahme Die Sicherheitsintegritat bezeichnet nach der EN 61508 Teil 4 die Wirksamkeit der Sicherheitsfunktionen eines sicherheitsbezogenen Systems Bei der Betrachtung der Schaltfunktionen zur Ermittlung der Wirksamkeit wird immer der gesamte Schaltkreis bestehend aus Sensor Sicherheitsschaltung Aktor und ggf Schaltverstarkern betrachtet Fur Sicherheitsschaltungen konnen fest verdrahtete Schaltkreis mit Relais genutzt werden oder fehlersichere speicherprogrammierbare Steuerungen F SPS Mit der Komplexitat der Anlagen und der sicherheitstechnischen Anforderungen werden vermehrt elektronische insbesondere programmierbare Systeme eingesetzt Diese werden z B verwendet um den Druck und Wasserstand im Dampfkessel zu uberwachen die Uberfullung von Lagerbehaltern zu vermeiden die Inertisierung von Lagerbehaltern bei Verwendung explosionsgefahrdender Stoffe in der Chemie sicherzustellen Absperrbereiche um Industrieroboter zu uberwachen oder die Fahrstrecken von Zugen zu uberwachen Entsprechend fordert die Normenreihe IEC 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbar elektronischer Systeme die Anwendung diverser Methoden zur Beherrschung von Fehlern Vermeidung systematischer Fehler in der Entwicklung z B Spezifikations und Implementierungsfehler Uberwachung im laufenden Betrieb zur Erkennung von zufalligen Fehlern und Sichere Beherrschung von erkannten Fehlern und Ubergang in einen vorher als sicher definierten Zustand Ursachen von zufalligen Fehlern konnen Alterung oder physikalische Phanomene Softerror sein Nicht zur funktionalen Sicherheit gehoren u a elektrische Sicherheit Brandschutz oder Strahlenschutz Prozessindustrie Bearbeiten Die spezielle Normenreihe fur die funktionale Sicherheit in der Prozessindustrie ist die DIN EN 61511 bzw international als IEC 61511 Grundsatzlich wird bei den PLT Sicherheitseinrichtungen zwischen der Betriebsart niedrige Anforderung low demand Anforderung der Sicherheitsfunktion max 1 mal Jahr und hohe Anforderung bzw kontinuierliche Anforderung unterschieden In der Fertigungsindustrie und im Bereich der Maschinensicherheit wird meistens der high demand mode angewandt Fur ein Notabschaltsystem an einer technischen Anlage ist oft die Auslegung im low demand mode relevant nbsp RI Fliessbild der Wasserseite eines Grosswasserraumdampfkessels mit Darstellung der Sensorik Die Sicherheitsfunktionen rot umrandet sind mit dem Schaltzeichen Z dargestellt das fur einen sicherheitsrelevanten Schalteingriff steht Nachdem im Rahmen eines Sicherheitsgesprachs mogliche Gefahrdungen fur eine Anlage ermittelt worden sind ist festzulegen ob die Gefahrdungen durch konstruktive Massnahmen Anderung des Verfahrens oder Einsatz anderer Stoffe aufgehoben werden konnen und so eine inharente Sicherheit bezogen auf bestimmte Gefahrdungen erreicht werden kann Soweit Gefahrdungen weiter bestehen sind mechanische Schutzeinrichtungen und oder Massnahmen der Prozessleittechnik fur einen sicheren Betrieb vorzusehen Im Rahmen der Umsetzung der funktionalen Sicherheit sind folgende Schritte erforderlich Auswahl geeigneter physikalischer Grossen die zur Uberwachung bestimmter Sicherheitsfunktionen genutzt werden sollen Bei hohen Sicherheitsanforderungen kann eine Redundanz der Sensoren und Aktoren erforderlich sein Die Anwendung unterschiedlicher physikalischer Verfahren oder die Auswahl unterschiedlicher Gerate konnen Fehler gemeinsamer Ursache Common Cause Failure ausschalten oder vermindern diversitare Redundanz Definition des sicheren Zustandes der Prozessanlage Hier sind neben Abschaltungen ggf auch Notfunktionen zum sicheren Abfahren Notkuhlkreise Entlastungsklappen einzubeziehen Erstellung einer Ursache Wirkungs Matrix um fur jede Sicherheitsfunktion eine Schaltfolge zum Erreichen des sicheren Zustandes zu beschreiben Abschatzung der Auswirkung potentieller Gefahrdungen unter Anwendung eines Riskiographens 3 Auswahl geeigneter zertifizierter Gerate zur Realisierung der einzelnen Sicherheitsfunktionen Rechnerischer Nachweis dass der erforderliche Sicherheitsniveaulevel mit den ausgewahlten Elementen des Sicherheitsschaltkreises erreicht wird Sicherheitsintegritat fur Sicherheitsfunktionen im low demand mode Ansprechen der Sicherheitseinrichtung max 1 mal Jahr Sicherheits Integritatslvel SIL PFD avg Mittlere Wahrscheinlichkeit eines gefahrlichen Ausfalls bei Anforderung Erforderliche Risikominimierung4 gt 10 5 bis lt 10 4 gt 10000 bis lt 1000003 gt 10 4 bis lt 10 3 gt 1000 bis lt 100002 gt 10 3 bis lt 10 2 gt 100 bis lt 10001 gt 10 2 bis lt 10 1 gt 10 bis lt 100 nbsp Risikograph in Anlehnungen an die IEC 61511 3 zur Ermittlung des SIL levels einer SicherheitsfunktionFur die einzelnen Sicherheitsfunktion SIF muss die erforderliche Risikominimierung nachgewiesen werden Der Nachweis erfolgt auf Grundlage der Wahrscheinlichkeitsrechnung indem die Ausfallraten der einzelnen Gerate einer SIF vom Sensor bis zum Aktor betrachtet werden Da die Ausfallwahrscheinlichkeiten der Bauteile addiert werden bestimmt das Bauteil mit der hochsten Ausfallrate wesentlich die gesamte Schaltkette Die Ermittlung der Ausfallwahrscheinlichkeit bei Anforderung Probability of dangerous failure on demand einer SIF erfolgt aus P F D S I F P F D S e n s o r P F D S c h a l t u n g P F D A k t o r displaystyle PFD SIF PFD Sensor PFD Schaltung PFD Aktor nbsp Daruber hinaus muss die Hardwarefehlertoleranz HFT betrachtet werden Im Allgemeinen mussen ab dem Sicherheitslevel SIL3 auch Doppelfehler betrachtet werden HFT gt 0 so dass einkanalige Gerate nicht mehr ausreichen In der VDI VDE 2180 Blatt 3 4 sind vereinfachte Berechnungsverfahren fur Auswahlschaltungen mit redundanten Sicherheitsbauteilen aufgefuhrt bei denen die Terme der Ausfallwahrscheinlichkeiten mit hoherer Potenz vernachlassigt werden Zur Erhohung der Sicherheit und Reduzierung der Ausfallwahrscheinlichkeit konnen zwei Sensoren verwendet werden die nach dem Ruhestromprinzip arbeiten und deren Kontakte in Reihe angeordnet werden Diese Schaltung wird in Kurzform als 1 2 one out of two bezeichnet dies bedeutet dass beim Ansprechen von einem Sicherheitssensor von 2 vorhandenen die Schutzschaltung ausgelost wird Fur SIF mit geringem Sicherheitsniveau und hoher Verfugbarkeit wird oft auch die 2 2 Schaltung verwendet hier sind die Schaltkontakte parallel gefuhrt und die SIF wird erst ausgelost wenn beide Sensoren abschalten Um einen hohen Sicherheitslevel bei hoher Verfugbarkeit zu erreichen wird die 2 3 Schaltung angewandt die tolerabel gegenuber dem Ausfall eines Sensors ist Ein weiterer Sicherheitsgewinn wird erreicht wenn beim Einsatz mehrerer analoger Sensoren die Signale verglichen werden Plausibilitatsprufung und beim Auseinanderdriften der Signale eine Sicherheitsschaltfunktion oder eine Alarmierung erfolgt nbsp Zusammensetzung des PFD Wahrscheinlichkeit eines Ausfalls bei Anforderung einer SIF aus den Komponenten der Schaltkette loop Zum Absperren eines Stoffstroms kann bis zu einem SIL2 Schutzkreis eine stromlos schliessende Armatur ausreichen Bei hoheren Anforderungen konnen 2 seriell angeordnete Armaturen erforderlich sein deren Funktion durch automatische Dichtheitsprufungen und Stellungsruckmeldungen verifiziert wird Grundsatzlich mussen bei dem Einsatz der Sensoren und Aktoren geeignete Massnahmen ergriffen werden um bekannte gefahrliche Ausfalle auszuschliessen Dies sind z B das Verstopfen von Impulsleitungen Kondensatbildung Schutz von Membranen gegen hohen Temperaturen Die Funktion von Armaturen kann durch zu hohe Drucke klebende Medien oder Feststoffe beeintrachtigt werden Ein entscheidender Faktor fur die Ermittlung des PFD ist das Prufintervall T1 fur die umfassende Prufung einer Anordnung Ein elektromechanischer Druckwachter liefert ein digitales Signal fur eine Druckuber oder unterschreitung Ein Fehler des Gerates kann im Betrieb nicht festgestellt werden sondern nur im Rahmen einer Prufung durch Aufgabe eines Prufdrucks Daher kann bei diesem Gerat ein gefahrlicher Fehler maximal uber den Prufzeitraum T1 unentdeckt bleiben Werden dagegen mehrere Drucktransmitter mit einem analogen Ausgangssignal z B 4 20 mA Signal fur eine Uberwachungsfunktion eingesetzt dann konnen Abweichungen die auf die Fehlfunktion eines Gerates hinweisen unmittelbar festgestellt werden PFD fur verschiedene Architekturen Gerateanordnungen in Anlehnung an die DIN EN 61508 6 Architektur Performance level on demand vereinfachte Berechnung 5 1 1 P F D 1 2 l D U T 1 displaystyle PFD frac 1 2 lambda DU T 1 nbsp 1 2 P F D 1 3 l D U 2 T 1 2 b 1 2 l D U T 1 displaystyle PFD frac 1 3 lambda DU 2 T 1 2 beta frac 1 2 lambda DU T 1 nbsp 2 2 P F D l D U T 1 displaystyle PFD lambda DU T 1 nbsp 2 3 P F D l D U 2 T 1 3 3 2 b 1 2 l D U T 1 displaystyle PFD lambda DU 2 T 1 3 frac 3 2 beta frac 1 2 lambda DU T 1 nbsp l D U displaystyle lambda DU nbsp Rate der gefahrlichen und unentdeckten Ausfalle Die Werte fur die Ausfallrate der Prozessgerate werden mittlerweile von den Herstellern fur definierte Einstaztbedingungen geliefert Bei Altgeraten ist es auch zulassig auf Grundlage statistischer Aufzeichnungen der in einem Betrieb verwendeten Gerate Ausfallraten z B nach der Richtlinie NE 130 6 zu ermitteln oder beim Einsatz von Geraten unter abweichenden Einsatzbedingungen b displaystyle beta nbsp Anteil der gefahrlichen Ausfalle gemeinsamer Ursache Bei diversitaren Geraten und Messverfahren kann der Wert auf 0 gesetzt werden Bei der Verwendung gleicher Gerate wird der Erfahrungswert von 0 05 oft eingesetzt T 1 displaystyle T 1 nbsp Prufintervall fur den vollstandigen Test der Anordnung Hier wird oft ein Intervalle von 1 Jahr angewandt Bei Qualitatsmessungen mit relativ hohen gefahrlichen Ausfallraten z B Messung des Sauerstoffgehaltes in einem Gasstrom kann es sinnvoll sein ein kurzeres Prufintervall T1 anzusetzen wenn die Ausfallrate lDU dieses Sensors deutlich uber der Ausfallrate der anderen Glieder des loops liegt Managementsystem der funktionalen Sicherheit Bearbeiten Fur die Lebensdauer von PLT Schutzsystemen wird ein umfangliches Managementsystem der funktionalen Sicherheit 7 8 gefordert Dieses System beinhaltet Ermittlung und Spezifizierung der Sicherheitsfunktionen und der Randparameter im Rahmen der Gefahrdunsbsbeurteilung und Risikoanalyse Beschreibung des sicheren Zustands Schwarzfallverhalten Sicherheitsniveaulevel Grenzwerte Prozessantwortzeiten Auswahl geeigneter Gerate auf Grundlage der Herstellerangaben und Betriebserfahrungen und der ermittelten Sicherheitsniveaustufen Festlegung der Prufintervalle T1 unter Berucksichtigung der ermittelten SIL level Umfangliche Dokumentation RI Fliessbilder Ursache Wirkungs Matrix SIL Ermittlung Betriebsanleitungen der Gerate Gefahrdungsbeurteilung Explosionsschutzdokumente Einbau der Gerate und Einhaltung der Randbedingungen geschutzte Verlegung der Kabels Uberwachung der Hilfsenergien Beschreibung der Gerateparametrierung und Sicherung der Einstellung Dokumentation des Sicherheitscode einer fehlersicheren speicherprogrammierbaren Steuerung Besondere Kennzeichnung sicherheitsrelevanter Komponenten im Feld Zugangliche Anordnung der Prozessgerate in der Anlage damit Wiederholungsprufung einfach moglich sind Massnahmen zur Cyber Security zur Verhinderung eines gefahrlichen Eingriffs Dritter Erstellen von Betriebsanweisungen Festlegungen von Massnahmen bei bestimmten Betriebszustande z B Anfahren Qualifikation der Bediener und Einweisung der Beschaftigten Validierung dass alle Punkte bei der Umsetzung der PLT Sicherheitseinrichtungen entsprechend der Spezifikation umgesetzt worden sind Planung des Ablaufs Inbetriebnahme Erstellung von Pruflisten fur die PLT Sicherheitseinrichtungen Beschreibung des Prufumfangs und Anforderungen an das Prufperonal befahigte Personen Massnahmen bei Instandsetzung Reparatur oder Anderung sicherheitsrelevanter Einrichtungen oder Programmverknupfungen Dokumentation von Anderungen im sicherheitsrelevanten Programmcode Uberprufung der Sicherheitsreinrichtungen der Prozessanlage bei Unfallen oder beim Auftreten von nicht bestimmungsgemassen Zustanden oder bei Ausfallen von Sicherheitsgeraten Massnahmen bei Stillstanden und Ausserbetriebnahme Gesetzliche Sicherheitsanforderungen Bearbeiten Die Gesellschaft allgemein insbesondere Kunden und Nutzer haben hohe Erwartungen an die Sicherheit von Systemen und die Reduzierung der Risiken Diesbezuglich hat die Politik mit dem Produktsicherheitsgesetz ProdSG bis Dezember 2011 GPSG einen gesetzlichen Rahmen fur die Umsetzung von Sicherheitsanforderungen geschaffen 9 Die Vermeidung systematischer Fehler sowie die Beherrschung systematischer und zufalliger Fehler in sicherheitstechnischen Funktionen senkt das zu erwartende Risiko auf ein akzeptiertes Mass Wichtige Normen der funktionalen Sicherheit Bearbeiten Folgende Normen gehoren zu den wichtigsten die funktionale Sicherheit betreffend EN ISO 13849 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen EN IEC 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbarer elektronischer Systeme EN IEC 61511 Funktionale Sicherheit Sicherheitstechnische Systeme fur die Prozessindustrie EN IEC 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbar elektronischer Steuerungssysteme EN 50126 IEC 62278 Bahnanwendungen Spezifikation und Nachweis von Zuverlassigkeit Verfugbarkeit Instandhaltbarkeit und Sicherheit RAMS EN 50128 IEC 62279 Bahnanwendungen Telekommunikationstechnik Signaltechnik und Datenverarbeitungssysteme Software fur Eisenbahnsteuerungs und Uberwachungssysteme EN 50129 IEC 62425 Bahnanwendungen Telekommunikationstechnik Signaltechnik und Datenverarbeitungssysteme Sicherheitsbezogene elektronische Systeme fur Signaltechnik EN 50159 IEC 62280 Bahnanwendungen Telekommunikationstechnik Signaltechnik und Datenverarbeitungssysteme Sicherheitsrelevante Kommunikation in Ubertragungssystemen EN 50657 Bahnanwendungen Anwendungen fur Schienenfahrzeuge Software auf Schienenfahrzeugen ISO 26262 Road vehicles Functional safetyNormreihe fur Kraftfahrzeuge ISO 26262 Bearbeiten Bedienungsfehler werden von den Normen jedoch nicht erfasst da das System dann eine Bewertung des manuellen Eingriffs vom Bediener gewollter Missbrauch zur Vermeidung eines noch grosseren Schadens oder Fehler des Bedieners treffen musste Eine Anpassung dieser Normenreihe fur Kraftfahrzeuge ist die Norm ISO 26262 Road vehicles Functional safety Diese ist zum ersten Mal im November 2011 erschienen und wurde im Dezember 2018 komplett uberarbeitet neu veroffentlicht Da in den heutigen Automobilen eine immer grossere Anzahl an elektronischen Bauteilen und Steuergeraten verbaut wird und auch eine steigende Vernetzung der einzelnen Elektronik Komponenten untereinander festzustellen ist nimmt die Entwicklungskomplexitat stetig zu In vielen Markten unterliegt die Zulassung deshalb einer gesetzlichen Kontrolle um die funktionalen Sicherheitsvorschriften nach ProdSG einzuhalten Literatur BearbeitenDavid J Smith Kenneth G L Simpson Functional Safety A Straightforward Guide to Applying IEC 61508 and Related Standards 2nd edition Elsevier Butterworth Heinemann Amsterdam u a 2004 ISBN 0 7506 6269 7 Jens Braband Funktionale Sicherheit In Lothar Fendrich Hrsg Handbuch Eisenbahninfrastruktur Springer Berlin u a 2007 ISBN 978 3 540 29581 5 S 649 699 Peter Low Roland Pabst Erwin Petry Funktionale Sicherheit in der Praxis Anwendung von DIN EN 61508 und ISO DIS 26262 bei der Entwicklung von Serienprodukten dpunkt Verlag Heidelberg 2010 ISBN 978 3 89864 570 6 Martin Hillenbrandt Funktionale Sicherheit nach ISO 26262 in der Konzeptphase der Entwicklung von Elektrik Elektronik Architekturen von Fahrzeugen KIT Scientific Publishing Karlsruhe 2012 Dirk Durholz Steffen Herrmann und Ralf Stark SAFETY Essentials ISO 26262 auf einen Blick Kompakt vermittelt 2014 ISBN 978 3 9815078 0 5 Weblinks BearbeitenSafety and functional safety IEC abgerufen am 8 Januar 2022 englisch VDE Verband fur Elektrotechnik Was ist funktionale Sicherheit aufgerufen am 25 August 2014Einzelnachweise Bearbeiten DIN EN 61511 3 Funktionale Sicherheit Sicherheitstechnische Systeme fur die Prozessindustrie Teil 3 Anleitung fur die Bestimmung der erforderlichen Sicherheits Integritatslevel DIN EN 13849 1 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil 1 Allgemeine Gestaltungsleitsatze DIN EN 61511 3 IEC 61511 3 Funktionale Sicherheit Sicherheitstechnische Systeme fur die Prozessindustrie Teil 3 Anleitung fur die Bestimmung der erforderlichen Sicherheits Integritatslevel VDI VDE 2180 Blatt 3 Funktionale Sicherheit in der Prozessindustrie Nachweis des Sicherheitsintegritatslevels SIL VDI VDE 2180 Blatt 3 NE 130 Betriebsbewahrte Gerate fur PLT Schutzein richtungen und vereinfachte SIL Berechnung Prior use de vices for safety instrumented systems and simplified SIL calculation Leverkusen NAMUR DIN EN 61511 1 Funktionale Sicherheit PLT Sicherheitseinrichtungen fur die Prozessindustrie Teil 1 Allgemeines Begriffe Anforderungen an Systeme Hardware und Anwendungsprogrammierung Kapitel 5 VDI VDE 2180 Blatt 1 Funktionale Sicherheit in der Prozessindustrie Einfuhrung Begriffe Konzeption P Low R Pabst E Petry Funktionale Sicherheit in Serienprodukten aufgerufen am 26 August 2014 PDF Abgerufen von https de wikipedia org w index php title Funktionale Sicherheit amp oldid 231964904