Funktionale Sicherheit – SILSchutzeinrichtungen in der Prozessindustrie

Products Solutions ServicesFu

nktio

nale

Sic

herh

eit

© B

ASF

- Pr

esse

foto

Funktionale Sicherheit2

section or rubric

Das Thema „Funktionale Sicherheit“ ist seit dem Erscheinen der Norm IEC/EN 61508 und IEC/EN 61511 sehr stark in den Vordergrund getreten. Oft wird in diesem Zusammen-hang der Begriff SIL (Safety Integrity Level) verwendet. Doch was ist SIL?

Diese Broschüre soll einen ersten Überblick zum Thema „Funktionale Sicherheit“ bieten. Sie beschränkt sich inhaltlich im Wesentlichen auf die Bereiche und Anwen-dungen, in denen Endress+Hauser Produkte zum Einsatz kommen.

Vorwort

Wer genauere Informationen benötigt, muss sich mit entsprechender Literatur und einschlägigen Regelwerken auseinandersetzen. Die Angaben in dieser Broschüre sind daher als Beispiele zu verstehen und können nicht für eine reale Auslegung herangezogen werden.

Detailinformationen und SIL-Bescheinigungen über Endress+Hauser-Produkte finden Sie unter

www.de.endress.com/SIL

Vorwort

Inhalt

1. Gefahr und Risiko .................................................................................................................. 4

2. Normen für die funktionale Sicherheit ............................................................................... 5

3. Lebenszyklus .......................................................................................................................... 6

4. Risikominderung ................................................................................................................... 7

5. Ermittlung des erforderlichen SIL ........................................................................................ 8

6. Betriebsarten ......................................................................................................................... 9

7. Welche Geräte können bei welchem SIL eingesetzt werden? ..........................................10

8. Kenngrößen .........................................................................................................................12

9. Glossar ..................................................................................................................................14

3

Funktionale Sicherheit

Im täglichen Leben sind wir ständig den verschiedensten Gefahren ausgesetzt. Die Bandbreite dieser Gefahren reicht bis hin zu Katastrophen, die schwere Schäden an der Gesundheit der Menschen, der Umwelt sowie Sachwerten haben können. Nicht immer besteht die Möglichkeit, einer Gefahr und den damit verbundenen Risiken aus dem Weg zu gehen. So muss die Gesellschaft mit den Gefahren von Erdbeben oder Überschwemmungen und anderen Katas-trophen leben. Schutz gegen diese Ereignisse gibt es nur begrenzt; Schutzmaßnahmen für die drohenden Folgen solcher Ereignisse können sehr wohl berücksichtigt werden.

Daher hat der Gesetzgeber in den unterschiedlichen Be-reichen Gesetze und andere Rechtsvorschriften erlassen, die die jeweiligen Anforderungen bezüglich der Sicherheit definieren.

In Europa hat die EU-Kommission entsprechende Richt-linien zum Schutz von Menschen und Umwelt veröffentlicht. In Deutschland haben z. B. die Berufsgenossenschaften als gesetzliche Unfallversicherung Vorschriften erlassen und diese werden von ihnen überwacht. Anforderungen an Anlagen und Produkte zum Schutz der Gesundheit der Menschen und der Umwelt legen heute internationale Re-geln fest. Diese legen bestimmte Produkteigenschaften fest, um die entsprechenden Sicherheitsziele zu erreichen.

1. Gefahr und Risiko

Risiko ohne Schutzmaßnahmen

Risik

o oh

ne

Schu

tzm

aßna

hmen

tolerierbares Risiko

Restrisiko

Risikoreduzierung

Risik

o

Schu

tzm

aßna

hmen

SIL

1… 4

Definition von Risiko:

Risiko = Wahrscheinlichkeit des Eintritts eines gefährlichen Ereignisses × Schadensausmaß (Kosten) eines gefährlichen Ereignisses.

Das akzeptierbare Restrisiko ist von verschiedenen Faktoren abhängig:

•Land/Region•Gesellschaft•Gesetze•Kosten

Das akzeptierte Restrisiko muss individuell eingeschätzt werden. Es muss für die Gemeinschaft akzeptabel sein.

4

section or rubricRichtlinien und Normen

Auslöser war ein Giftgasunfall im norditalienischen Ort Seveso im Juli 1976. Die EU-Richtlinie 96/82/EU definiert seitdem die rechtlichen Bestimmungen für Anlagen mit großem Gefahrenpotential (Seveso II-Richtlinie). Die deutsche Umsetzung dieser Richtlinie erfolgt durch die Störfallverordnung im Bundes-Immissionsgesetz und der Betriebssicherheitsverordnung (12. BImSchV und BetrSichV).

Hierbei ist zu unterscheiden zwischen der Produktsicher-heit im allgemeinen Sinne und von Produkten, die speziell für Sicherheitsaufgaben entwickelt und konstruiert sind. Für die letzteren ist die IEC/DIN EN 61508 unumgänglich, da diese zwischenzeitlich den „Stand der Technik“ für die funktionale Sicherheit definiert.

Sie definiert vier Sicherheitsstufen: SIL 1 bis SIL 4.Die IEC/DIN EN 61508 ist eine generische, d. h. anwend-ungs-unabhängige Norm. Sie ist eine Basisnorm und daher allgemeingültig für alle elektrischen, elektronischen und programmierbaren elektronischen Systeme (E, E, PES). Sie ist das erste Regelwerk, das weltweit für Sicherheitsfunk-tionen in sicherheitskritischen Anwendungen veröffentlicht wurde.

Für wen ist die IEC/DIN EN 61508 bzw. IEC/DIN EN 61511 relevant? Anhand einer Gefährdungs- und Risikoanalyse können sämtliche Gefahren erfasst werden, die von einer Anlage ausgehen. Dadurch kann ermittelt werden, ob die funktionale Sicherheit erforderlich ist. Die funktionale Sicherheit findet Anwendung in der Prozessin-dustrie, wo bisher vergleichsweise Sicherheitssysteme mit entsprechendem Standard eingesetzt wurden. In anderen Anlagen mit vergleichbarem Sicherheitsrisiko können solche Produkte eingesetzt werden. Dabei muss berücksi-chtigt werden, dass die gesamte Sicherheitseinrichtung mit allen Komponenten zu betrachten ist und nicht Einzel-geräte zur Sicherheit bei-tragen. Zusätzlich wurde die IEC/DIN EN 61511 als Grundnorm für die Prozessindustrie von der IEC/DIN EN 61508 abgeleitet. Ebenso werden für die Maschinenrichtlinie die DIN EN 62061, für Feuerungstech-nik die Norm DIN EN 50156, daraus abgeleitet.

Änderungen gegenüber den bisherigen Sicherheitsnor-men  In der Norm IEC/DIN EN 61508 für die funktionale Sicherheit sind die Anforderungen an sicherheitsbezogene Systeme eingeteilt. Sensoren, Steuerungen oder Aktoren (Stellglieder) müssen daher eine SIL-Einstufung im Sinne der Norm erhalten. Während bisher bei der sicherheits-technischen Einstufung eine rein qualitative Betrachtung üblich war, verlangt die neue Norm eine quantitative

2. Richtlinien und Normen für die funktionale Sicherheit

Betrachtung des gesamten Systems und den Nachweis eines entsprechenden Sicherheits-Managementsystems. Der Betreiber und die Überwachungsorganisationen müs-sen klären, welche wirtschaftlich vertretbaren Maßnahmen gefordert werden. Zielsetzung ist es, systematische Fehler in sicherheitsbezogenen Systemen zu vermeiden und zu-fällige Ausfälle zu beherrschen, bzw. die Wahrscheinlich-keit gefährlicher Ausfälle (Risiko) auf definierte Weise zu begrenzen.

© B

ASF

- Pr

esse

foto

5

Funktionale Sicherheit

Die Betreiber von sicherheitstechnischen Anlagen haben während des gesamten Lebenszyklus geeignete Maßnahmen zur Risikobeurteilung und Risikominderung zu ergrei-fen. Hierzu schreibt die Norm IEC/DIN EN 61508 bestimmte Schritte vor:

3. Lebenszyklus

Spezifikation

Planung undImplementierung

Installation undInbetriebnahme

Betrieb undWartung

Änderung nach Inbetriebnahme

Außerkraftsetzung

Sicherheits-Lebenszyklus

Sicherheits-Management

+

+

TechnischeAnforderungen

QualifikationPersonalFehlerursachen

• Risikodefinition und -bewertung nach detaillierten Versagenswahrscheinlichkeiten für den gesamten Sicher-heitskreis (Loop) vom Sensor über die Steuerung bis zum Stellglied (Aktor) über den gesamten Lebenszyklus (Lifecycle).

• Festlegung und Umsetzung der Maßnahmen (Management der Funktionalen Sicherheit).

• Einsatz geeigneter (qualifizierter) Geräte.

6

section or rubric

4. Risikominderung

Jede Anwendung von Technik bedeutet gleichzeitig ein sicherheitstechnisches Risiko. Je größer die Gefährdung von Menschen, Umwelt und Sachwerten ist, desto mehr Maß-nahmen müssen zur Risikominderung umgesetzt werden. In der Industrie gibt es viele Anlagen und Maschinen, die ein unterschiedliches Gefahrenpotential besitzen. Um die erforderliche Sicherheit solcher Anlagen zu erreichen, ist es notwendig, dass die sicherheitsrelevanten Teile der Schutz- und Sicherheitseinrichtungen korrekt funktionieren und sich im Fehlerfall so verhalten, dass die Anlage in einem sicheren Zustand bleibt oder in einen sicheren Zustand gebracht wird.

Zielsetzung der IEC EN 61508 ist es, Fehler in sicherheits-bezogenen Systemen zu vermeiden oder zu beherrschen und die Wahrscheinlichkeit gefährlicher Ausfälle auf definierte Weise zu begrenzen. Für das verbleibende Restrisiko wird ein quantitativer Nachweis gefordert. Die notwendige Risikominderung wird durch eine Kombina-tion aller Schutzmaßnahmen erreicht. Das Restrisiko sollte höchstens gleich dem tolerierbaren Risiko sein. Das verblei-bende Restrisiko muss letztlich von dem Anlagenbetreiber getragen und akzeptiert werden.

Risikominderung

© W

olfg

ang

Jarg

stor

ff -

Foto

lia.c

om

7

Funktionale Sicherheit

Von Anlagen gehen unterschiedliche Risiken aus. Somit steigern sich mit zunehmendem Risiko auch die Anforde-rungen an die Fehlersicherheit von sicherheitstechnischen Einrichtungen (Safety Instrumented Systems – SIS). Die Normen IEC/DIN EN 61508 und IEC/DIN EN 61511 definieren dabei vier unterschiedliche Sicherheitsstufen, welche die Maßnahmen zur Risikobeherrschung dieser Komponenten beschreiben. Diese vier Sicherheitsstufen sind der sogenannte Safety Integrity Level – SIL.

5. Ermittlung des erforderlichen SIL

Je höher der Zahlenwert des Safety Integrity Level (SIL) ist, desto größer ist die Risikoreduzierung. Der SIL ist somit das Maß für die Wahrscheinlichkeit, dass das Sicherheitssystem die geforderten Sicherheitsfunktionen für einen bestimm-ten Zeitraum korrekt erfüllen kann. Pro Sicherheitsstufe nimmt die mittlere Versagenswahrscheinlichkeit (PFD oder PFH) um den Faktor 10 ab.

PLT-Schutz- einrichtung nicht ausreichend

Keine PLT-Schutzeinrichtung(z.B. technische Maßnahmen)

G1

G2

G1

G2

A1

A2

A2

A1

S1

S2

S3

S4

W3 W2 W1

SIL 1SIL 1

SIL 2

SIL 2

SIL 3

SIL 3

SIL 4

SIL 1

SIL 2

SIL 2

SIL 3

SIL 3

SIL 4

SIL 1

SIL 1

SIL 2

SIL 2

SIL 3

SIL 3

Eintrittswahrscheinlichkeit

Schadensausmaß

Aufenthaltsdauer

Gefahrenabwehr

SchadensausmaßS1 leichte Verletzung einer Person oder kleinere schädliche Umwelteinflüsse, die z.B. nicht unter die Störfallverordnung fallen.S2 schwere, irreversible Verletzung einer oder mehrerer Personen oder Tod einer Person oder vorübergehende größere schädliche Umwelteinflüsse, z. B. nach Störfallverordnung.S3 Tod mehrerer Personen oder lang andauernde größere schädliche Umwelteinflüsse, z. B. nach Störfallverordnung.S4 katastrophale Auswirkung, sehr viele Tote.

AufenthaltsdauerA1 selten bis öfterA2 häufig bis dauernd

GefahrenabwehrG1 möglich unter bestimmten BedingungenG2 kaum möglich

EintrittswahrscheinlichkeitW1 sehr geringW2 geringW3 relativ hoch

–

–

–

–

Der erreichbare SIL wird durch folgende Kenngrößen bestimmt:

•Wahrscheinlichkeit gefährlicher Ausfälle einer Sicherheitsfunktion (PFD oder PFH),

•Hardware Fehlertoleranz (HFT),•Anteil ungefährlicher Ausfälle (SFF),•Art der Komponenten (Typ A oder Typ B),•Proof-Test-Intervall (wiederkehrende Prüfung),•Gebrauchsdauer

8

section or rubric

Low Demand Mode  Bei der Betriebsart mit niedriger Anforderungsrate (Low Demand Mode) nimmt man an, dass das Sicherheitssystem nicht häufiger als einmal pro Jahr angefordert wird. In diesem Fall ergibt sich der SIL-Wert aus dem PFD-Wert (Probability of failure on demand). Typischerweise findet man den Low Demand Mode in der Prozessindustrie.

6. Betriebsarten: Low Demand und High DemandFür die SIL-Einstufung eines Gerätes unterscheidet man zwei Betriebsarten: Low Demand Mode und High Demand Mode.

High Demand Mode  Bei der Betriebsart mit hoher An-forderungsrate (High Demand Mode) nimmt man an, dass die Sicherheitsfunktion kontinuierlich oder durchschnitt-lich einmal pro Stunde angefordert wird. Typischerweise findet man den High Demand Mode bei Anlagen oder Maschinen, die eine ständige Überwachung erfordern (Fertigungsindustrie).

Betriebsart mit niedriger Anforderungsrate (Low Demand Mode)

Sicherheits- Integritätslevel

PFD (mittlere Ausfallwahr-scheinlichkeit der Sicher-heitsfunktion bei niedriger Anforderung)

SIL 4 ≥ 10-5 bis < 10-4

SIL 3 ≥ 10-4 bis < 10-3

SIL 2 ≥ 10-3 bis < 10-2

SIL 1 ≥ 10-2 bis < 10-1

Betriebsart mit hoher Anforderungsrate (High Demand Mode)

Sicherheits- Integritätslevel

PFH (Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde)

SIL 4 ≥ 10-9 bis < 10-8

SIL 3 ≥ 10-8 bis < 10-7

SIL 2 ≥ 10-7 bis < 10-6

SIL 1 ≥ 10-6 bis < 10-5

Betriebsarten 9

Funktionale Sicherheit

Um eine Sicherheits-Integrität (SIL 1… SIL 4) zu erreichen, muss das gesamte SIS die Forderungen für die systema-tischen Fehler (Software) und zufälligen Fehler (Hardware) erfüllen. Somit muss das Ergebnis bei der Berechnung des Schutzkreises dem geforderten SIL entsprechen. In der Regel ist dies abhängig vom Aufbau bzw. Architektur der Sicherheitseinrichtung. So können in SIL 3-Anlagen auch SIL 2-Geräte in redundanten Auswahlschaltungen einge-setzt werden. Durch den redundanten Aufbau des Systems mit gleichen SIL 2-Geräten in homogener Redundanz muss bezüglich der systematischen Fehler darauf geachtet werden, dass die Software SIL 3 erfüllt oder betriebsbe-währt ist.

Fehlerarten  Man unterscheidet in einem Schutzkreis sowohl systematische als auch zufällige Fehler. Um den geforderten SIL-Level zu erfüllen, müssen beide Fehlerarten jeweils für sich betrachtet werden.

7. Welche Geräte können bei welchem SIL eingesetzt werden?

Zufällige Fehler  Zufällige Fehler ergeben sich aus Fehlern der Hardware und treten in der Regel während des Betriebs auf. Die Fehler und die damit verbundene Höhe der Ausfall-wahrscheinlichkeit sind berechenbar. Berechnet werden die einzelnen Komponenten auf Bau-teilebene. Als Ergebnis erhält man den PFD-Wert. Dies ist die Berechnungsgrundlage zur Ermittlung des SIL-Wertes.

Systematische Fehler  Systematische Fehler sind typischer- weise Entwicklungsfehler oder Fehler beim Aufbau oder der Projektierung. Der größte Anteil an systematischen Fehlern kann in der Regel in der Gerätesoftware auftreten. Um die Anforderung bei einem bestimmten SIL (z. B. SIL 3) an die systematischen Fehler zu erfüllen, muss das gesamte System entsprechend nach SIL 3 ausgelegt werden. Alter-nativ kann dies erreicht werden, wenn zwei unterschiedli-che Geräte verwendet werden (diversitäre Redundanz).

© W

olfg

ang

Jarg

stor

ff -

Foto

lia.c

om

10

section or rubric

Berechnung der Sicherheitsfunktion Bei der Auslegung und Berechnung eines Sicherheitskreises ist die Architektur mit zu berücksichtigen. Dabei ist zu unterscheiden, ob es sich um ein einkanaliges oder mehrkanaliges System handelt (MooN). Damit ein System tatsächlich auch die Anforderungen an einen geforderten SIL erfüllt, müssen systematische Fehler durch ein dem SIL entsprechendes Sicherheitsmanagement vermieden werden. Die hier auf-geführten Beispiele sind vereinfacht dargestellt und können nicht alle Anwendungen abdecken. Hier ist die VDE/VDI 2180 Teil 4 mit den vereinfachten Nähe-rungsformeln für die häufigsten Auswahlschaltungen eine wichtige Unterstützung.

QuelleIEC/DIN EN 61508 Teil 1 – Teil 7 | IEC/DIN EN 61511 Teil 1 – Teil 3 | VDI/VDE 2180

Bei einer mehrkanaligen Architektur ist die Ermittlung des PFD- bzw. PFH-Wertes sehr komplex. Vereinfachte Nähe-rungsformeln zur PFD-Berechnung kann der VDI/VDE 2180 Teil 4 entnommen werden.

Zweikanalige Architektur

Sensor A SIL 2

Sensor B SIL 2

Steuerung 1oo2SIL 3

Aktor SIL 3

Bei der einkanaligen Struktur sind neben der Berücksichti-gung des Sicherheits-Integritätslevel (SIL) auch die Addi-tion der PFD- oder PFH-Werte der einzelnen Komponenten zu berücksichtigen. Nur dann ist sichergestellt, dass die gesamte Sicherheitskette den Anforderungen an einen geforderten SIL entspricht.

Sensor SIL 2

Steuerung SIL 3

Aktor SIL 2

Einkanalige Architektur

Wichtig:

Der niedrigste SIL der Teilsysteme (Sensor, Steuerung, Aktor) bestimmt den Sicherheits-Integritätslevel des gesamten Systems.

Geräte

© O

tto

Durs

t - F

otol

ia.c

om

11

Funktionale Sicherheit

Sicherheitsintegrität der Hardware (HFT, SFF)Zusätzlich werden zur SIL-Klassifizierung folgende Kenngrößen verwendet:• die Hardware-Fehlertoleranz HFT (Hardware Fault

Tolerance) und• der Anteil ungefährlicher Ausfälle SFF (Safe Failure

Fraction). Die nachstehenden Tabellen zeigen den Zusammenhang.

Dabei wird zwischen den Systemen vom Typ A und Systemen vom Typ B unterschieden.

Systeme vom Typ A  Ein System kann als Typ A betrachtet werden, wenn für die verwendeten Bauteile, die für die Sicherheitsfunktion erforderlich sind, das Ausfallver-halten einfach beschreibbar ist. Solche Bauteile sind z. B. Metallschichtwiderstände, Transistoren, Relais usw.

Systeme vom Typ B  Alle anderen Systeme sind kom-plexe Systeme (Typ B), wenn Bauteile verwendet wer-den, bei denen das Ausfallverhalten nicht vollständig bekannt ist. Solche Bauteile sind z. B. Mikroprozessoren, Halbleiterschaltungen.

Die Ausfallraten von Bauteilen können aus einschlägigen Tabellenwerken entnommen werden.

8. Kenngrößen

Hardware Fehlertoleranz (HFT)  Die Hardware Fehler-toleranz ist die Fähigkeit eines Gerätes, eine Sicherheits-funktion bei Bestehen von Fehlern weiter korrekt aus-zuführen. Eine HFT von N bedeutet, dass N+1 Fehler zu einem Verlust der Sicherheitsfunktion führen können.

Safe Failure Fraction (SFF)  Die Safe Failure Fraction beschreibt den prozentualen Anteil von ungefährlichen Ausfällen. Je höher der erforderliche SIL-Wert ist, umso höher muss der SFF sein. Der SFF eines Systems wird aus den einzelnen Ausfallraten ( -Werte) der Einzelkompo-nenten ermittelt.

* Mit Nachweis der Betriebsbewährung nach IEC/EN 61511 (nur für SIL < 4)

SFF – HFT – SIL – Typ A, Typ B

Safe Failure Fraction (SFF) Hardware Fehlertoleranz (HFT) (Typ A – einfaches Betriebsmittel)

Hardware Fehlertoleranz (Typ B – komplexes Betriebsmittel)

0 1 2 0 1 (0*) 2 (1*)< 60 % SIL 1 SIL 2 SIL 3 nicht erlaubt SIL 1 SIL 260 %... < 90 % SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 390 %... < 99 % SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4≥99% SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4

12

section or rubric

SDSU

DUDD

Ausfallrate  Eine wichtige Rolle ist die Fähigkeit eines Systems, Fehler aufzudecken und damit entsprechend zu reagieren. Deshalb unterscheidet man gefährliche und ungefährliche Fehler sowie die Möglichkeit, diese Fehler zu entdecken.

Die Ausfallrate durch Fehler wird in der Größe λ definiert und teilt sich in vier Gruppen auf.• λ SD = safe detected failure rate

(entdeckte und ungefährliche Fehler)• λ SU = safe undetected failure rate

(unentdeckte und ungefährliche Fehler)• λ DD = dangerous detected failure rate

(entdeckte und gefährliche Fehler)• λ DU = dangerous undetected failure rate

(unentdeckte und gefährliche Fehler)

Die unentdeckten und gefährlichen Fehler (λDU) führen zum nicht erkennbaren Verlust der Sicherheitsfunktion und müssen durch entsprechende Maßnahmen so gering wie möglich gehalten werden. Die Einheit für die λ-Werte ist FIT (Fehler pro Zeit, 1 × 10-9 pro h)

Testintervall (Ti)  Die wiederkehrende Funktionsprü-fung (Ti) dient dazu, gefährliche Fehler aufzudecken. Die Funktionsfähigkeit eines Gerätes ist deshalb in angemes-senen Zeitabständen durchzuführen. Dieser Wert geht in die Berechnung der Kenngröße PFD/PFH ein und ist so zu wählen, dass diese im für den angestrebten SIL geforderten Bereich liegt.

Es liegt in der Verantwortung des Betreibers, die Art der Überprüfung und die Zeitabstände zu wählen. Die Prüfung ist so durchzuführen, dass die einwandfreie Funktion der Sicherheitseinrichtung im Zusammenhang aller Komponenten nachgewiesen wird.

Empfehlungen zu wiederkehrenden Funktionsprüfungen können aus den Safety Manuals der Geräte entnommen werden.

Kenngrößen

Gebrauchsdauer   Die Gebrauchsdauer von Sicherheits-komponenten hängt hauptsächlich von den internen Bauteilen und den Betriebsbedingungen ab (z. B. Umge-bungstemperatur, Vibration, elektrische Auslastung). Für elektrische Komponenten gibt die IEC 61508-2 einen ty-pischen Bereich zwischen 8-12 Jahren an, die ISO 13849-1 geht von einem Wert von 20 Jahren aus.

Innerhalb der Gebrauchsdauer bleiben die Fehlerraten der Bauteile näherungsweise konstant. Wenn dieser Zeitrah-men überschritten wird, können Fehlerraten durch Ver-schleiß und Alterung allmählich ansteigen und die berech-neten PFDav-Werte können nicht mehr angewandt werden. Der Betreiber muss dann entweder zusätzliche Maßnah-men ergreifen (z. B. das Prüfintervall verkürzen) oder die Sicherheitskomponenten ersetzen, um das geforderte SIL-Niveau zu erhalten. Wenn alterungskritische Bauteile vom Hersteller der Sicherheitskomponente vermieden werden und die Geräte unter normalen Umgebungsbedingungen eingesetzt werden, kann man davon ausgehen, dass die Gebrauchsdauer eher bei dem Wert des ISO-Standards liegt als bei der Angabe im IEC-Standard.

Hinweis: IEC/DIN EN 61508-2:2011 Absch. 7.4.9.5 Nationale Fußnote N3

Die Gebrauchsdauer hängt stark vom Gerät selbst und seinen Betriebsbedingungen ab. Nach Ablauf der Gebrauchsdauer kann die Ausfallwahrscheinlichkeit mit der Zeit ansteigen (ca. 8…12 Jahre).Durch entsprechende Maßnahmen des Herstellers und des Betreibers ist eine längere Gebrauchsdauer zu erreichen (z. B. Instandhaltungsmaßnahmen).

PFD0,1

0,01

0,001

0,0001

SIL 1

SIL 3

SIL 4GebrauchsdauerTi z. B. 1 Jahr

PFDav

PFDav = ½ λDU x Ti

SIL 2

ohne

Funk

tions

-

prüf

ung

Funktionsprüfung (Testinterval Ti)

13

Funktionale Sicherheit

9. Glossar

SIL (Safety Integrity Level) Der Sicherheits-Integritätslevel (SIL) ist ein Maß für die Sicherheitsintegrität eines Systems. Die Sicherheitsintegrität ist die Wahrscheinlichkeit, dass das System die erforderliche sicherheitstechnische Funktion unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes ausführt. Der SIL ist in vier Stufen eingeteilt, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste darstellt.

E/E/EPS Elektrische, elektronische und programmierbare elektronische Systeme

Funktionale Sicherheit (Functional Safety)

Die Fähigkeit eines Systems, die notwendigen Aktionen durchzuführen, um einen definierten sicheren Zustand für Anlagen unter Systemkontrolle zu erlangen oder zu erhalten.

Ausfallrate (Failure rate) Die Ausfallrate eines Systems durch Fehler teilt sich generell in vier Gruppen auf:SD = safe detected failure rate (entdeckte und ungefährliche Fehler),SU = safe undetected failure rate (unentdeckte und ungefährliche Fehler)DD = dangerous detected failure rate (entdeckte und gefährliche Fehler)DU = dangerous undetected failure rate (unentdeckte und gefährliche Fehler)

FIT (Failure in Time) Fehler pro Zeit (1 × 10-9 pro h)

HFT (Hardware fault tolerance)

Eine Fehlertoleranz der Hardware von N bedeutet, dass N+1-Fehler zu einem Verlust der Sicherheitsfunktion führen können.

SFF (Safe failure fraction) Anteil ungefährlicher Ausfälle

PFD (Probability of failure on demand)

PFD ist eine Maßzahl für die Wahrscheinlichkeit eines Ausfalles der Sicherheitsfunk-tion in einer Betriebsart mit niedriger Anforderungsrate (Wahrscheinlichkeit, dass das System bei Anforderung gefährlich versagt).

PFH (Probability of failure per hour)

Für eine hohe oder kontinuierliche Anforderungsrate wird die Maßzahl PFH verwendet, die die Wahrscheinlichkeit eines Ausfalls der Sicherheitsfunktion pro Stunde angibt (gefährliche Versagensrate).

MooN (M out of N) Sicherheitsarchitektur mit M aus N-Kanälen; z. B. bedeutet 1oo2 eine Architektur mit zwei Kanälen, wobei jeder der beiden Kanäle der Sicherheitsfunktion ausführen kann.

Proof-Test (Ti) Der Proof-Test ist eine wiederkehrende Prüfung zur Aufdeckung von Ausfällen in einem SIL-System, sodass nötigenfalls das System in einen „Quasi-Neu-Zustand“ gebracht werden kann.

SIS Safety Instrumented System

14

section or rubricGlossar 15

Deutschland

Endress+HauserMesstechnikGmbH+Co. KGColmarer Straße 679576 Weil am RheinFax 0800 EHFAXENFax 0800 3432936www.de.endress.com

Technische Büros

HamburgBerlinHannoverRatingenFrankfurtStuttgartMünchen

Vertrieb

BeratungInformationAuftragBestellung

Tel 0800 EHVERTRIEBTel 0800 3483787info@de.endress.com

Österreich

Endress+Hauser GmbHLehnergasse 41230 Wien

Tel +43 1 880 560Fax +43 1 880 56335info@at.endress.comwww.at.endress.com

Service

Technischer SupportVor-Ort-ServicesErsatzteile/ReparaturKalibrierung

Tel 0800 EHSERVICETel 0800 3473784service@de.endress.com

Schweiz

Endress+HauserMetso AGKägenstraße 24153 Reinach

Tel +41 61 715 7575Fax +41 61 715 2775info@ch.endress.comwww.ch.endress.com

CP01

008Z

/11/

DE/0

3.13

– 7

1192

909