Endress+ Hauser

Safety Integrity Level

SIL

CP00

013Z

/11/

DE/1

5.14

– 7

1008

610

Begriffe Normen•FunktionaleSicherheit:Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Syste-me zur Risikoreduzierung abhängt. Funktionale Sicherheit ist gegeben, wenn jede Sicherheits-funktion wie spezifiziert ausgeführt wird.

•SicherheitsbezogenesSystem:System, das Sicherheitsfunktionen ausführt, um einen sicheren Zustand für ein überwachtes System zu erreichen oder aufrecht zu erhalten.

•Sicherheitsfunktion:Aufgabe; Sicheren Zustand für ein überwachtes System erreichen oder aufrecht erhalten, wenn vorher festgelegte Bedingungen verletzt werden.

•SafetyLifeCycle:Beschreibt alle notwendigen Tätigkeiten bei der Realisierung sicherheitsbezogener Systeme von der Konzeptphase bis zur Außerbetriebnahme.

•ManagementderFunktionalenSicherheit:Erforderliche Managementtätigkeiten, tech-nische Tätigkeiten und Verantwortlichkeiten während des Safety Life Cycle zur Erreichung der Funktionalen Sicherheit.

•BeurteilungderFunktionalenSicherheit:Untersuchung, ob die Funktionale Sicherheit durch die sicherheitsbezogenen Systeme erreicht wurde.

•SafetyIntegrityLevel(SIL):Vier diskrete Stufen (SIL 1 bis SIL 4). Je höher der SIL eines sicherheitsbezogenen Systems, umso geringer ist die Wahrscheinlichkeit, dass das System die geforderte Sicherheitsfunktion nicht ausführt.

•AverageProbabilityofFailureonDemand(PFD):Mittlere Versagenswahrscheinlichkeit einer Sicherheitseinrichtung bei niedriger Anforderungsrate.

•ProbabilityofFailureperHour(PFH):Versagenswahrscheinlichkeit einer Sicher-heitsfunktion bei hoher oder kontinuierlicher Anforderungsrate.

•SafeFailureFraction(SFF):Prozentualer Anteil sicherheitsgerichteter Ausfälle eines sicherheitsbezogenen Systems (Sicherheitsfunktion) bzw. Teilsystems.

•HardwareFehlertoleranz(HFT):HFT = n bedeutet, dass n + 1 Fehler zu einem Verlust der Sicherheitsfunktion führen kann.

•Betriebsart:Lowdemandmode:Betriebsart mit niedriger Anforderungsrate. Anforderungsrate an sicherheitsbezogene Systemen mit nicht mehr als einmal pro Jahr und nicht größer als die doppelte Frequenz der Wiederholungsprüfung.

•Betriebsart:Highdemandmodeodercontinuousmode:Betriebsart mit hoher oder kontinuierlicher Anforderung der Sicherheitsfunktion. Anforde-rungsrate an sicherheitsbezogenes System mehr als einmal pro Jahr oder größer als die doppelte Frequenz der Widerholungsprüfung.

•GerätetypA(einfachesBetriebsmittel):Gerät, bei dem das Ausfallverhalten aller einge-setzten Bauteile und das Verhalten unter Fehler-bedingungen vollständig bekannt ist.

•GerätetypB(komplexeBetriebsmittel):Gerät, bei dem das Ausverhalten der eingesetz-ten Bauteile und das Verhalten unter Fehlbe-dingungen nicht vollständig bekannt ist (z. B. µ-Prozessoren).

•FMEDA(FailureModes,EffectsandDiag-nosticAnalysis):Analysemethode für elektronische Schaltungen und Mechanik zur quantitativen Ermittlung von Ausfallarten und Ausfallraten.

•Ausfallraten:λ SD: Gesamtausfallrate für sichere erkannte Ausfälleλ SU: Gesamtausfallrate für sichere unerkannte Ausfälleλ DD: Gesamtausfallrate für gefährliche erkannte Ausfälleλ DU: Gesamtausfallrate für gefährliche uner- kannte Ausfälle

•MeanTimeBetweenFailures(MTBF):Mittlere Ausfallwahrscheinlichkeit

•MeanTimetorepair(MTTR):Mittlere Reparaturzeit

•IntervallfürWiederholungsprüfungen(Ti):Zeitintervall zwischen wiederkehrenden Prüfun-gen einer Sicherheitsfunktion zur Aufdeckung gefährlicher, unerkannter Fehler

BasisstandardIEC/EN61508AnwendungsspezifischeNormenIEC/EN 61511 (Prozessindustrie)IEC/EN 61513 (Kernenergie)IEC/EN 62061 (Maschinensicherheit)VDI/VDE 2180

Ausgangsrisiko

Restrisiko

Restrisiko

Restrisiko

Restrisiko

tolerierbares Risiko

Risik

o

Products Solutions Services

SIL(SafetyIntegrityLevel)Funktionale Sicherheit

RisikoreduzierungdurchSIL

---

SIL 1 ---

---

SIL 1

SIL 2

SIL 2

SIL 3

SIL 3

SIL 4

SIL 1

SIL 2

SIL 2

SIL 3

SIL 3

SIL 4

SIL 1

SIL 1

SIL 2

SIL 2

SIL 3

SIL 3

Eintrittswahrscheinlichkeit

SchadensausmaßAufenthaltsdauer

GefahrenabwehrPLT-Schutzeinrichtungnichtausreichend

KeinePLT-Schutzeinrichtung(z.B.technischeMaßnahmen)

SchadenausmaßS1 leichte Verletzung einer Person oder kleinere schädliche Umweltein-

flüsse, die z. B. nicht unter die Störfallverordnung fallen.S2 schwere, irreversible Verletzung einer oder mehrerer Personen oder Tod

einer Person oder vorübergehende größere schädliche Umwelteinflüsse, z. B. nach Störfallverordnung.

S3 Tod mehrerer Personen oder lang andauernde größere schädliche Um-welteinflüsse, z. B. nach Störfallverordnung.

S4 katastrophale Auswirkung, sehr viele Tote.

AufenthaltsdauerA1 selten bis öfterA2 häufig bis dauernd

GefahrenabwehrG1 möglich unter bestimmten BedingungenG2 kaum möglich

EintrittswahrscheinlichkeitW1 sehr geringW2 geringW3 relativ hoch

SFF–HFT–SIL–TypA,TypBSafeFailureFraction(SFF)

HardwareFehlertoleranz(TypA–einfachesBetriebsmittel)

HardwareFehlertoleranz(TypB–komplexesBetriebsmittel)

0 1 2 0 1 (0*) 2 (1*)

< 60 % SIL 1 SIL 2 SIL 3 nicht erlaubt

SIL 1 SIL 2

60 % bis < 90 %

SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3

90 % bis < 99 %

SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4

≥ 99 % SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4

* Mit Nachweis der Betriebsbewährung nach IEC/EN 61511 (nur für SIL ≤ 3)

TechnischeAnforderungen OrganisatorischeAnforderungen

zurückzuangemessenenPh

asen

SafetyLifeCycle

Managem

entF

unktionaleSicherheit

Anlagenrisiko Verfahrenstechnische Anlage, MaschineRisiken für Personen, Umwelt und Sachwerte

Konzept

Gefahren-undRisikoanalyse

Sicherheitsanforderungen

Planung,Realisierung

Installation,Inbetriebnahme

Betrieb,Wartung,Reparatur

Außerbetriebnahme,Entsorgung

ManagementundBeurteilungderFunktionalenSicherheit

Qualifikation,SchulungundDokumentation

Modifikation,Nachrüstung

W3 W2 W1

S1

S2

S3

S4

G1

G2

G1

G2

A1

A2

A1

A2

EinkanaligerSystemaufbauSensorsystem

DiePFD-/PFH-WerteallerKomponentenmüssenaddiertundentsprechendbewertetwerden.

PFD=½ DU×Ti PFH= DU

Steuerung Aktorsystem

SIL–PFD–PFH-BetriebsartenSafetyIntegrityLevel(SIL)

MittlereWahrscheinlich-keiteinesAusfallsderSicherheitsfunktionbeiAn-forderung–PFD(Betriebs-art:Lowdemandmode)(wenigerals1x/Jahr)

WahrscheinlichkeiteinesgefahrbringendenAusfallsproStunde–PFH(Be-triebsart:Highdemandmodeodercontiniusmode)

SIL 4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-8

SIL 3 ≥ 10-4 bis < 10-3 ≥ 10-8 bis < 10-7

SIL 2 ≥ 10-3 bis < 10-2 ≥ 10-7 bis < 10-6

SIL 1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5

ErmittlungdersicherheitstechnischenKenngrößenFMEDATechnischeAnforderungenAusfallartenvonSicherheitsfunktionenAusfallart erkannt (detected) unerkannt (undetected)

sicher safe detected SD safe undetected SUgefährlich dangerous detected DD dangerous undetected DU

RechnerischeSIL-Nachweis

PFD0,1

0,01

0,001

0,0001

GebrauchsdauerTi z. B. 1 Jahr

PFDav

SIL 1

SIL 3SIL 4

SIL 2

ohne

Funk

tions

-

prüf

ung

Funktionsprüfung (Testinterval Ti)

SIL 1

SIL 2

SIL 3

SIL 4