Bauchschmerzen ade

Dr. Andreas Hildebrandt

Die funktionale Sicherheit elektrischer/elektronischer/programmierbar elektronischer (kurz: E/E/PE) Schutzeinrichtungen wurde mit Einführung der IEC/EN 61508 auf eine neue Basis gestellt. Die in der Vergangenheit übliche deterministische Betrachtung von sicherheitstechnischen Einrichtungen stößt bei modernen Komponenten und Bauteilen schnell an ihre Grenzen, da das Ausfallverhalten von komplexen Bauteilen und Geräten (wie z. B. Mikroprozessoren oder Feldbuskomponenten) nicht bis ins Detail vorhergesagt werden kann. Trotzdem – oder gerade deshalb – ordnet der Gesetzgeber die Verantwortung für das Risiko, das von einer Anlage ausgeht, dem Anlagenbetreiber zu (Bild 1). Schließlich kennt niemand die Anlage und die damit verbundenen Risiken besser als der Betreiber. Er muss den Nachweis führen, dass die von der Anlage ausgehenden Risiken bewertet und ggf. ausreichend reduziert wurden. Dies geschieht üblicherweise im Rahmen einer Risikoanalyse. Hierzu existieren Verfahren und Werkzeuge, die ein strukturiertes Vorgehen unterstützen und eine vollständige Dokumentation sicherstellen. Als Ergebnis liefert die Risikoanalyse eine Aussage, welche sicherheitstechnischen Einrichtungen nötig sind. Diese müssen dann sowohl hinsichtlich ihrer Funktion als auch ihrer Qualität spezifiziert werden. Als Maßzahl für die Qualität wurde der Safety Integrity Level (SIL) eingeführt. Dieser beschreibt, wie zuverlässig eine sicherheitstechnische Einrichtung funktioniert, wobei hier unter anderem auch ein Versagen aufgrund zufälliger Fehler betrachtet wird. Auf diese Weise wird dem Umstand Rechnung getragen, dass eine rein deterministische Betrachtung bei modernen Komponenten nur unzureichend möglich ist. Zusammenfassend ist festzustellen, dass die Integrität einer sicherheitstechnischen Einrichtung durch drei Maßnahmen erreicht wird: die Fehlervermeidung, die Fehlererkennung und die Fehlerbeherrschung.

Während Fehlervermeidung ausschließlich bei systematischen Fehlern möglich ist, sind Maßnahmen zur Fehlererkennung und zur Fehlerbeherrschung in Bezug auf zufällige Fehler das Mittel der Wahl. Vereinfacht dargestellt beruht die Wirkung der Fehlererkennung auf dem Grundsatz „Gefahr erkannt – Gefahr gebannt“, wohingegen die Fehlerbeherrschung durch Redundanz erreicht wird. Beide Maßnahmen (Fehlererkennung u. Fehlerbeherrschung) können u. U. auch bei systematischen Fehlern wirken. Hier sind allerdings besondere Bedingungen zu beachten (z. B. können systematische Fehler nicht durch homogene Redundanz beherrscht werden). Ein grundlegendes Prinzip der IEC/EN 61508 besteht darin, dass die Maßnahmen zur Fehlervermeidung, Fehlerbeherrschung und Fehlererkennung in Abhängigkeit des zu erreichenden SIL’s mehr oder weniger aufwendig bzw. umfangreich sein müssen. Für jede Sicherheitsfunktion muss daher eine SIL-Bewertung durchgeführt werden, um das Erreichen des geforderten SILs nachzuweisen.

Im Rahmen der SIL-Bewertung einer sicherheitstechnischen Einrichtung muss sowohl die richtige Anwendung des QM-Systems nachgewiesen werden, als auch die korrekte Implementierung von Fehlererkennungs- und Fehlerbeherrschungsmaßnahmen verifiziert werden. Da Fehlerbeherrschungs- und Fehlererkennungs-Maßnahmen primär auf zufällige Fehler abzielen, ist hierzu eine probabilistische Betrachtung nötig. Im Folgenden wird die Durchführung der SIL-Bewertung dargestellt, soweit sie die Umsetzung der Fehlerbeherrschungs- und Fehlererkennungsmaßnahmen betrifft. Alle Aspekte, die das QM-System betreffen (Vermeidung systematischer Fehler), bleiben außen vor.

Sowohl zur Fehlererkennung als auch zur Fehlerbeherrschung sind entsprechende technische Einrichtungen nötig. Die Vorgaben der IEC/EN 61508 stellen somit im Grunde eine Strukturanforderung dar, ähnlich wie dies aus früheren Normenwerken heraus bereits bekannt ist. Allerdings bietet die IEC/EN 61508 im Vergleich zu früheren Werken hier eine größere Flexibilität. Darüber hinaus muss neuerdings auch die ausreichende Wirksamkeit der implementierten Maßnahmen nachgewiesen werden, indem die Versagenswahrscheinlichkeit der sicherheitstechnischen Einrichtung (PFD) berechnet wird. Die SIL-Bewertung einer Sicherheitsfunktion erfolgt somit in zwei Schritten: Im ersten Schritt wird überprüft, ob die für den jeweiligen SIL vorgegebene Strukturanforderung erfüllt wird. Im zweiten Schritt ist dann zu überprüfen, ob die für den jeweiligen SIL maximal zulässige Versagenswahrscheinlichkeit des sicherheitstechnischen Systems eingehalten wird. Der erste Schritt (Beurteilung der Struktur) erfolgt mithilfe von Tabelle 1, die den maximal erreichbaren SIL in Abhängigkeit der Hardware-Fehlertoleranz (Grad der Fehlerbeherrschung) und dem Anteil der sicheren Fehler (engl.: Safe Failure Fraction, kurz: SFF) darstellt. Hierbei ist zu beachten, dass sowohl Fehler, die die Sicherheitsfunktion irrtümlich auslösen, als auch Fehler, die durch die Diagnose erkannt werden, als sicher angesehen werden (Bild 2). Da der Anteil sicherer Fehler nur bei vergleichsweise einfachen Geräten (Geräte ohne hochintegrierte Schaltungen) genau bestimmbar ist, unterscheidet die Norm zwischen einfachen Geräten (Typ-A-Geräte) und komplexen Geräten (Typ-B-Geräte). Vereinfacht ausgedrückt sind Typ-A-Geräte diejenigen, bei denen das Verhalten im Fehlerfall genau bekannt ist. Bei Geräten vom Typ B ist das Verhalten im Fehlerfall nicht in vollem Umfang vorhersagbar. Um dieses Defizit auszugleichen, ist die Strukturanforderung für Typ-B-Geräte um eine Stufe höher als für Typ-A-Geräte (Tabelle 1 und 2).

Unabhängig von der Strukturforderung gemäß den Tabellen 1 und 2 muss die Versagenswahrscheinlichkeit der sicherheitstechnischen Einrichtung bestimmten Anforderungen genügen. Dies bedeutet, dass von der betreffenden Schutzeinrichtung die Versagenswahrscheinlichkeit (PFD) berechnet werden muss. Die für den jeweiligen SIL maximal zulässigen Werte sind in Tabelle 3 dargestellt. Erst wenn beide Ergebnisse (Strukturanforderung und Versagenswahrscheinlichkeit) mindestens dem geforderten SIL entsprechen, ist die SIL-Bewertung erfolgreich abgeschlossen. Der Vollständigkeit halber sei hier noch erwähnt, dass alle Tätigkeiten entsprechend den Vorgaben des in der IEC/EN 61508 beschriebenen QM-Systems ausgeführt und dokumentiert werden müssen. Dies schließt auch die Verifikation bzw. Validierung der SIL-Bewertung mit ein. Erfahrungsgemäß bereitet die SIL-Bewertung im Hinblick auf die Strukturforderungen keine Probleme. Etwas aufwendiger ist oftmals die Berechnung der Versagenswahrscheinlichkeit (PFD), insbesondere dann, wenn mehrkanalige Strukturen vorliegen. Hier kann man zwar auf Formeln zurückgreifen, die im Teil 6 der IEC/EN 61508 genannt werden. Diese sind jedoch aufgrund ihrer Komplexität meist nicht auf Anhieb nachvollziehbar. Ein vereinfachtes Formelwerk findet man in der VDI/VDE 2180. Bei den dort genannten Formeln wird die Reparaturzeit MTTR (MTTR = Mean Time To Repair) vernachlässigt. Dies hat in der Regel nur einen geringen Einfluss auf das Ergebnis, sodass in den meisten Fällen mit den einfacheren Formeln aus der VDI/VDE 2180 gerechnet werden kann. Mithilfe der oben erwähnten Formeln kann für alle gebräuchlichen Grundstrukturen (einkanalig, zweikanalig, 2-aus-3-Struktur, etc.) die PFD berechnet werden. In der Praxis treten jedoch häufig auch gemischte Strukturen auf. So könnte z. B. der Sensorkreis redundant ausgeführt sein, wohin gegen der Aktorkreis einkanalig aufgebaut ist. In solchen Fällen muss die Struktur Schritt für Schritt auf die bekannten Grundstrukturen zurückgeführt werden (vergleichbar mit der Berechnung elektrischer Netzwerke, bei denen Parallel- und Serienschaltungen schrittweise zusammengefasst werden). Das folgende Beispiel soll die Vorgehensweise näher erläutern.

Es soll eine sicherheitstechnische Einrichtung betrachtet werden, die aus einer Temperaturmessung, einer Druckmessung, einem Absperrventil und einer Logikeinheit besteht. Bei Überschreiten einer bestimmten Temperatur oder eines bestimmten Drucks soll das Absperrventil geschlossen werden. Die Auswertung der Sensorsignale und die Ansteuerung des Absperrventils erfolgen mithilfe einer Sicherheits-SPS (SSPS), wobei sowohl die Sensoren als auch der Aktor jeweils über Trennbausteine mit den E/A-Modulen der SSPS verbunden sind (Bild 3). Diese Struktur muss nun schrittweise vereinfacht werden, bis schließlich nach dem letzten Schritt ein Gesamtergebnis für die Versagenswahrscheinlichkeit des Systems vorliegt. Hierzu werden zunächst alle in Reihe liegenden Blöcke durch Addition der PFD- bzw. Lambda-Werte zusammengefasst. Man erhält dann die in Bild 4 gezeigte vereinfachte Struktur. Anschließend wird das diversitär redundante Sensorteilsystem zu einem Block zusammengefasst, indem die PFD dieses Teilsystems mithilfe einer entsprechenden Formel berechnet wird. Hierbei ist zu beachten, dass die o. g. Formeln nur für homogene Systeme gelten. Liegt – wie im Beispiel – ein diversitäres System vor, empfiehlt es sich, zur PFD-Berechnung die Daten des schlechteren Kanals heranzuziehen. Der so berechnete Wert stellt dann eine Worst-case-Abschätzung dar. Die genaue PFD-Berechnung diversitärer Systeme ist aufwendig und erfordert die Anwendung anderer Berechnungsmethoden wie z. B. der Markovmodellierung. Hat man das System so weit vereinfacht (Bild 5), muss abschließend lediglich die jetzt noch vorliegende serielle Struktur berechnet werden, indem – wie im ersten Schritt bereits dargestellt – die Summe der PFD-Werte gebildet wird.

Damit eine sicherheitstechnische Einrichtung einen bestimmten SIL erreicht, müssen drei Forderungen erfüllt werden. Als Erstes muss das für den jeweiligen SIL geforderte QM-System erfüllt werden. Dies dient der Vermeidung systematischer Fehler. Zum Zweiten muss das System in der Lage sein, zufällige Fehler in ausreichendem Maß aufzudecken und/oder zu beherrschen. Dies stellt im Prinzip eine bereits aus früheren Normen bekannte Strukturanforderung dar, wobei im Rahmen der IEC/EN 61508 eine höhere Flexibilität gegeben ist, da der Anwender jetzt wählen kann, ob Maßnahmen zur Fehlererkennung oder Maßnahmen zur Fehlerbeherrschung bevorzugt werden. Last but not least muss die Versagenswahrscheinlichkeit ausreichend klein sein, was durch eine PFD-Berechnung nachzuweisen ist. Beschränkt man sich – wie im vorliegenden Fall geschehen – auf die rein technischen Anforderungen (d. h. die Anforderungen des QM-Systems werden an dieser Stelle außer Acht gelassen), so kann das Vorgehen bei der SIL-Bewertung einer sicherheitstechnischen Einrichtung wie folgt zusammengefasst werden:

Abschließend sei noch angemerkt, dass verschiedene Software-Tools am Markt erhältlich sind, die die SIL-Bewertung unterstützen und die Dokumentation deutlich erleichtern können.

cav 455

Grundlagen zur IEC 61508

Direkt zu den Seiten der IEC zum Thema

Handbuch SIL in der Prozessautomation von Pepperl+Fuchs