Veröffentlicht am

Funktionale Sicherheit

Theoretische Grundlagen

Von funktionaler Sicherheit spricht man, wenn die Sicherheit von der korrekten und zuverlässigen Funktion eines elektrischen (E), elektronischen (E) und programmierbar elektronischen (PE) Systems abhängt.
Um funktionale Sicherheit zu erreichen, müssen zunächst alle Risiken analysiert werden, die von einer Anlage oder einem Prozess ausgehen. Hier bieten die einschlägigen Normen mit Bezug auf die Basisnorm IEC 61508 eine anerkannte Methode zur Risikobeurteilung.
Die sicherheitstechnische Beurteilung, häufig als Risikoanalyse bezeichnet, ist eine Untersuchung jener Prozesse einer Anlage, von denen Gefahren ausgehen. Üblicherweise sind dies nur wenige Prozesse. Basisprozesse für die Prozessregelung, die keine Schutzfunktion besitzen, werden nicht betrachtet.

Risikograph zur Bestimmung des SIL gemäss IEC 61508 mit Parametern für Auswirkungen, Aufenthaltsdauer, Abwendbarkeit und Eintrittswahrscheinlichkeit des gefährlichen Ereignisses.

Für jeden der gefahrbringenden Prozesse wird untersucht, welches Ausmass eine Gefährdung und der daraus resultierende Schaden infolge einer Fehlfunktion annehmen könnten.
Zur Beurteilung wird häufig ein Risikograph, wie links dargestellt, zu Hilfe genommen. Je nach Grösse der Gefahr, derer Abwendungsmöglichkeit(en) und der Eintrittswahrscheinlichkeit wird festgestellt, ob ein Prozess durch eine Sicherheitsfunktion abgesichert werden muss, und welchen Sicherheits-Integritätslevel (Safety Integrity Level, SIL) diese Sicherheitsfunktion (SIF) erreichen muss.

Entsprechend des erforderlichen Sicherheits-Integritätslevels (SIL) werden die geeigneten Komponenten zur Realisierung der Sicherheitsfunktion (Safety Integrity Function, SIF) ausgewählt. Um dies zu vereinfachen, lassen Gerätehersteller ihre Produkte für die verschiedenen Sicherheitsintegritätslevels (SIL) überprüfen. Hier stehen dann normalerweise die Sicherheitskennzahlen wie Ausfallraten (λ-Lambda) oder direkt ein PFDavg-Wert zur Verfügung. Anhand von Sicherheitskennzahlen der eingesetzten Geräte wird für jede Sicherheitsfunktion (SIF) überprüft, ob sie den geforderten Sicherheitsintegritätslevel (SIL) erreicht. Ist dies nicht der Fall, müssen zusätzliche Massnahmen ergriffen werden, wie z.B. ein redundanter Aufbau.

Darstellung eines Safety Instrumented Systems (SIS) zur Überwachung und Vermeidung von Gefahren in industriellen Prozessen.

Sicherheitsfunktionen (SIF) sind Schutzmassnahmen, die nur im Störfall aktiviert werden und dann verhindern, dass Personen, Umwelt und Sachwerte Schaden nehmen. Funktionale Sicherheit wird erreicht, wenn SIF in einer solchen Situation korrekt und zuverlässig arbeiten.
Eine SIF wird durch die Komponenten eines sogenannten sicherheitstechnischen Systems (SIS), wie rechts dargestellt, realisiert. Ein solches System besteht aus einem Sensor, einer übergeordneten Sicherheitssteuerung (S-SPS) sowie allenfalls aus Sicherheitsrelais und Aktor.

Bei der Gefährdungsbeurteilung eines Prozesses wird für jede SIF bestimmt, welchen SIL sie erfüllen muss, und erst danach werden geeignete Geräte zur Realisierung der SIF ausgewählt. Um die SIL-Fähigkeit eines Geräts ermitteln zu können, verwendet die Basisnorm DIN EN 61508-6 bzw. VDI / VDE 2180, Blatt 4, die Methoden der Wahrscheinlichkeitsrechnung.

Tortendiagramm zur Aufteilung von Ausfallraten (λ) in λSD, λSU, λDD und λDU mit Bezug auf die SIL.

Bei der Betrachtung der Ausfallraten (λ) wird unterschieden, welche Fehler gefährlich (λDU, λDD) und welche ungefährlich (λSU, λSD) sind, also keinen Einfluss auf das korrekte Ausführen der SIF haben. Die Ausfallrate λDU (Rate unerkannter gefahrbringender Fehler je Stunde) stellt die wichtigste Sicherheitskennzahl dar.
Der PFDavg-Wert beschreibt die mittlere Wahrscheinlichkeit, dass die SIF bei Anforderung nicht ausgeführt werden kann. In den einschlägigen Normen ist für jeden der vier SIL ein zulässiger Bereich für die Ausfallwahrscheinlichkeit festgelegt.
SIL1 stellt die niedrigste Sicherheitsstufe dar, SIL4 die höchste. Je höher die Sicherheitsstufe, desto geringer darf die Wahrscheinlichkeit sein, dass die SIF bei Anforderung ausfällt.

Nicht nur die Grösse des Risikos im Störfall spielt eine Rolle für die Sicherheit eines Systems. Entscheidend ist auch die Häufigkeit, mit der ein Störfall erwartet und somit die entsprechende SIF angefordert wird. Die Basisnorm IEC 61508 unterscheidet dazu die Betriebsarten «Low Demand Mode» und «High Demand Mode» (Continuous Mode).

Tabelle zur Einteilung der Safety Integrity Level (SIL 1 bis SIL 4) im Low Demand Mode mit zugehörigen Grenzwerten für die durchschnittliche Ausfallwahrscheinlichkeit pro Anforderungsfall.

Low Demand Mode: Bei einer Betriebsart mit niedriger Anforderungshäufigkeit wird die Sicherheitsfunktion nicht häufiger als einmal pro Jahr angefordert. Dies trifft typischerweise auf Sicherheitsfunktionen für die Prozessindustrie zu, die Stellantriebe einsetzt, wie z.B. bei der Überwachung des minimalen Wasserstands eines Kessels und der nachfolgenden Abschaltung der Brennstoffzufuhr.

Tabelle zur Einteilung der Safety Integrity Level (SIL 1 bis SIL 4) im High Demand Mode mit zugehörigen Grenzwerten für die durchschnittliche Ausfallwahrscheinlichkeit pro Anforderungsfall.

High Demand Mode (Continuous Mode): Betriebsart mit hoher bzw. kontinuierlicher Anforderungsrate, bei der die Sicherheitsfunktion entweder kontinuierlich arbeitet oder häufiger als einmal pro Jahr angefordert wird (üblicherweise Maschinensicherheit, z.B. Türenüberwachung einer Fräsmaschine).

Für die Berechnung des Gesamt-PFD-Werts einer SIF müssen zunächst die PFD-Werte für jede Komponente eines sicherheitstechnischen Systems (SIS) einzeln berechnet werden. Ein SIL beschreibt eine Eigenschaft einer gesamten SIF und nicht die einer Einzelkomponente. Daher muss aus den PFD-Werten der Einzelkomponenten der Gesamt-PFD-Wert für die SIF berechnet werden. Der PFD-Wert hängt immer mit einem Intervall der Wiederholungsprüfung zusammen. Je öfter eine SIF getestet wird, umso höher ist der SIL, der erreicht werden kann.

Grafische Darstellung der PFD-Werte von Sensor, Sicherheits-SPS, Antrieb und Armatur zur Berechnung des Gesamt-PFD-Werts einer SIF. Ergebnis: SIL1 trotz Einzelkomponenten mit SIL2.

Anteil sicherer Fehler (SFF) beschreibt den prozentualen Anteil ungefährlicher Fehler an der Gesamtfehlerzahl. Fehler sind ungefährlich, wenn sie das System nicht in einen gefährlichen Zustand versetzen können. Ein Wert von beispielsweise 78% bedeutet, dass 78 von 100 Fehlern keine Auswirkung auf die sichere Funktion des Systems haben.

Tabelle zur Erreichbarkeit von Sicherheits-Integritätsleveln (SIL) basierend auf dem Anteil sicherer Fehler (SFF), der Hardware-Fehlertoleranz (HFT) und dem Gerätetyp (Typ A/B-Komponenten) gemäss IEC 61508.

Hardware-Fehlertoleranz (HFT) definiert die Fähigkeit einer Funktionseinheit, eine geforderte SIF bei Bestehen von Fehlern oder Abweichungen weiter auszuführen. Beträgt die HFT zum Beispiel null, kann bereits ein Fehler zu einem Ausfall der SIF führen. Die HFT lässt sich in der Regel durch einen redundanten Systemaufbau erhöhen. Die IEC 61508 unterscheidet zwischen einfachen und komplexen Geräten.
Typ A sind «einfache» Geräte, bei denen das Ausfallverhalten (Fehlermodus) der Bauteile vollständig bekannt ist. Sie enthalten z.B. Relais, Widerstände und Transistoren, jedoch keine komplexen elektronischen Bauelemente wie z.B. Mikrokontroller.
Typ B sind «komplexe» Geräte, die elektronische Bauelemente wie Mikrokontroller, Mikroprozessoren und ASIC enthalten. Bei diesen Bauelementen, insbesondere bei softwaregesteuerten Funktionen, ist es schwierig alle Fehlermodi vollständig zu bestimmen.

Übersicht von Voting-Architekturen (1oo1, 2oo2, 1oo2, 2oo3, 1oo3), deren HFT und Vor-/Nachteilen hinsichtlich Anlagensicherheit, Anlagenverfügbarkeit inkl. Näherungsformeln zur PFDavg-Berechnung.

Die Wahl der passenden Architektur hängt immer von erforderlicher Systemsicherheit (SIL) und der geforderten Systemverfügbarkeit ab. Redundanz durch Voting ist ein zentrales Element zur Erfüllung der IEC 61508 / IEC 61511 Normen und wird systematisch in sicherheitsgerichteten Konzepten angewendet. Die meist verwendeten Architekturen (Voting) sind zum Beispiel: 1-out-of-1, 1oo2 und 2oo3. Die angeführten Näherungsformeln dienen zur vereinfachten Abschätzung in frühen Planungsphasen – für die exakte SIL-Verifizierung ist häufig eine detaillierte FMEDA oder ein Tool-gestützter Nachweis (siehe unten) notwendig.

Toolgestützte SIL-Verifizierung einer Sicherheitsfunktion (SIF) mit Berechnung des PFDavg-Wertes, SIL-Level-Bestimmung, Darstellung der Systemarchitektur (Sensor, Logik, Aktor) und Analyse der Sicherheitskennzahlen gemäss IEC 61508.

Um einen bestimmten SIL zu erreichen, muss jede einzelne Komponente eines SIS sowohl anhand der mittleren Ausfallwahrscheinlichkeit (λDU, PFD-Wert) als auch der Architektureinschränkungen (SFF, HFT) beurteilt werden.
Zur funktionalen Sicherheit gehört neben den Hardware- und Software-Einrichtungen selbst zwingend auch das Management der funktionalen Sicherheit!

Back to top