Funktionale Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der korrekten Funktion der sicherheitsbezogenen (Sub-)Systeme und externer Einrichtungen zur Risikominderung abhängt. Nicht zur funktionalen Sicherheit gehören u. a. elektrische Sicherheit, Brandschutz, Strahlenschutz. Da Sicherheit auch erreicht werden kann, indem notfalls die bestimmungsgemäße Funktion eingestellt und ein sicherer Zustand eingenommen wird, spricht man auch von der Sicherheitsintegrität des Systems.
Mit der Komplexität elektronischer, insbesondere programmierbarer Systeme steigt auch die Vielfalt der Fehlermöglichkeiten. Entsprechend fordert die Normenreihe IEC 61508 "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme" die Anwendung diverser Methoden zur Beherrschung von Fehlern:
- Vermeidung systematischer Fehler in der Entwicklung, z.B. Spezifikations- und Implementierungsfehler
- Überwachung im laufenden Betrieb zur Erkennung von zufälligen Fehlern
- Sichere Beherrschung von erkannten Fehlern und Übergang in einen vorher als sicher definierten Zustand.
|
Literaturquelle : Wikipedia
In der Sicherheitsnorm EN 61508, entstanden aus der internationalen Norm IEC 61508, wird der Sicherheits-Integritätslevel wie folgt definiert:
- „Vier wohlunterschiedene Stufen zur Spezifizierung der Anforderung für die Sicherheitsintegrität von Sicherheitsfunktionen, die dem E/E/PE-sicherheitsbezogenen System zugeordnet werden, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste darstellt.“
Literaturquelle : Honeywell
Während die „gute Ingenieurskunst“, gepaart mit wissenschaftlicher Erkenntnis der Produkt- und Materialtechnik, für stabile Prozesse und gleichbleibende Produktqualität sorgt, wurden auf Grund von Unglücksfällen in den letzten Jahren Forderungen nach "Funktionaler Sicherheit" immer lauter.
Darunter versteht der Gesetzgeber die sichere Beherrschung der unerwartet eintretenden Störfälle.
Zu diesen vorbeugenden Maßnahmen zählen Schutzeinrichtungen der Prozeßleittechnik (PLT-Schutzeinrichtungen), die zusätzlich zur regeltechnischen und inhärenten Bauweise verwirklicht werden müssen. Diese PLT-Schutzeinrichtungen sollen die Anlage im Fehlerfall sicher abschalten, so daß sie keine Gefahr mehr für Mensch und Umwelt darstellt. Auf diese Weise wird ein hohes Risikopotenzial auf ein vertretbares Risiko gesenkt.
Als weltweit wichtigstes Normenwerk für die Generierung funktionaler Sicherheit gilt die IEC 61508.
Diese Basisnorm schreibt vor, wie Einzelkomponenten und Baugruppen entwickelt und gebaut werden müssen, damit sie höchsten Sicherheitsanforderungen entsprechen. Die Norm bezieht sich ausschließlich auf Elektrische Geräte, Elektronische Geräte sowie Programmierbare Elektronische Geräte – sogenannte E/P/PE-Geräte.
Diese Norm regelt außerdem die Dokumentation, die Prüfungs-und Serviceintervalle und den Lebenszyklus der Schutzeinrichtung von der Planung über die Errichtung bis zur Außerbetriebnahme.
Aus der Basisnorm IEC 61508 wurde die IEC 61511 erarbeitet.
Sie ist ein Leitfaden für die Vorgehensweise zur technischen Absicherung verfahrenstechnischer Anlagen. Ein wesentlicher Teil dieser Norm bezieht sich auf die quantitative Erfassung des Gefährdungspotenzials, das von der Anlage für Mensch und Umwelt ausgehen kann. Im Hinblick auf dieses Gefährdungspotenzial kann der Anlagenplaner PLT-Schutzeinrichtungen entwickeln, die diese Gefährdung minimieren und damit das Restrisiko auf ein tolerierbares Maß absenken. PLT-Schutzeinrichtungen sind etwa Schalt- und Regeleinrichtungen, für deren Einzelkomponenten ein Sicherheits-Integritäts-Niveau SIL ermittelt wurde – auf Basis der Betriebsbewährung, rechnerisch oder entwicklungsmethodisch.
In der nationalen Sicherheitsnorm DIN EN-61508, entstanden aus der internationalen Norm IEC 61508 wird der Sicherheits-Integritätslevel wie folgt definiert:
"Vier diskrete Stufen zur Spezifizierung der Anforderung für die Sicherheitsintegrität von Sicherheitsfunktionen, die dem E/E/PE-sicherheitsbezogenen System zugeordnet werden, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste darstellt." Dabei hat sich bei Systemen, die keinerlei Sicherheitsanforderungen genügen müssen, sich die Bezeichnung Sicherheits-Integritätslevel 0 eingebürgert.
Diese Sicherheitsfunktionen werden durch einen Sicherheitskreis, der aus verschiedenen Betriebsmitteln, wie z.B. Sensoren (Transmitter), Steuerungselementen (PLS, SPS, sicherheitsgerichtete Steuerungen) und Aktoren bestehen kann, realisiert.
Die Sicherheitsanfordungsstufe stellt ein Maß für die Zuverlässigkeit des Systems in Abhängigkeit von der Gefährdung dar. Prozesse mit einer geringeren Gefährdung werden durch einen Sicherheitskreis mit geringerem Level aufgebaut als Prozesse mit höherer Gefährdung.
Typische Sicherheitsfunktionen sind Notausschaltungen, Abschalten überhitzter Geräte oder auch die Überwachung gefährlicher Bewegungen.
Die Gerätehersteller beurteilen innerhalb eines Assessments ihre Geräte entsprechend der Normen.
Bis zum Level 2 kann dies der Hersteller in eigener Verantwortung vornehmen; ab Level 3 wird dies durch einen unabhängigen Dritten durchgeführt, der nach erfolgreicher Zertifizierung ein entsprechendes Zertifikat ausstellt.
Für die Festlegung der Stufe der Sicherheitsintegrität ist zum einen eine Betrachtung des Ausfallverhaltens der betrachteten Baugruppe notwendig. Weiterhin wird in dem Assessment genau beurteilt, ob redundante Strukturen vorliegen, wie das Verhältnis zwischen sicheren Fehlern und unsicheren Fehlern ist und ob die Sicherheitsfunktion kontinuierlich oder auf Anforderung zu betrachten ist.
Aus diesen Angaben werden dann die Ausfallraten bestimmt. Diese Kennwerte dienen einer Beurteilung des Sicherheitsintegritäts-Levels entsprechend der Vorgaben der Norm.
Die Betrachtung der Kennzahlen ist aber für die Einstufung der Geräte nicht hinreichend. Es ist noch eine Betrachtung des Lebensdauerprozesses des Gerätes notwendig. Hierbei werden z.B. die sicherheitsgerichtete Konstruktion und ähnliche Bereiche betrachtet. Das Normenwerk gibt hier spezielle Maßnahmen für die einzelnen Stufen der funktionalen Sicherheit an. Erst die Betrachtung aller Punkte läßt eine Einschätzung zu, ob sich das Betriebsmittel in einem Sicherheitskreis der entsprechenden Sicherheitsanforderungsstufe einsetzen läßt.
Kennwerte für sicherheitsgerichtete Feldgeräte nach IEC 61508
Werden Feldgeräte auf der Grundlage der Norm IEC 61508 entwickelt, können daraus folgende Aussagen abgeleitet werden:
- PFD (Probability of Failure on Demand)
- SIL-Level 1-4 (Safety Integrity Level)
- HFT Hardware-Fehlertoleranz
- MTBF-Wert (mean Time Between Failure)
|
