www.de.endress.com/SIL

Funktionale Sicherheit (SIL)

CP

013Z

/11/

de/1

1.05

7100

8610

SIL – PFDav – PFH – Betriebsarten

Safety Integrity

Level(SIL)

mittlere Wahrscheinlichkeit eines Ausfalls der Sicherheitsfunktion bei Anforderung –

PFDav (Betriebsart Low demand mode)

Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde – PFH (Betriebsart High demand oder continuous mode)

SIL4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-8

SIL3 ≥ 10-4 bis < 10-3 ≥ 10-8 bis < 10-7

SIL2 ≥ 10-3 bis < 10-2 ≥ 10-7 bis < 10-6

SIL1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5

Safe Failure Fraction (SFF)

Hardware Fehlertoleranz (Typ A – einfaches Teilsystem)

Hardware Fehlertoleranz (Typ B – komplexes Teilsystem)

0 1 (0*) 2 (1*) 0 1 (0*) 2 (1*)< 60 % SIL1 SIL2 SIL3 nicht erlaubt SIL1 SIL2

60 %... < 90 % SIL2 SIL3 SIL4 SIL1 SIL2 SIL390 %... < 99 % SIL3 SIL4 SIL4 SIL2 SIL3 SIL4

≥ 99% SIL3 SIL4 SIL4 SIL3 SIL4 SIL4

SFF – HFT – SIL – Typ A, Typ B

Terminologie

Technische Anforderungen

= Safe Failure Fraction (SFF) in %

Ausfallarten von Sicherheitsfunktionen und Teilsystemen

Ermittlungen der sicherheits-technischen Kenngrößen

Anlagenrisiko verfahrenstechnische Anlage, Maschine

Risiken für Personen, Umwelt und Sachwerte

Risikoreduzierung

notwendige Risikoreduzierung

Restrisiko Tolerierbares Risiko Anlagenrisiko

tatsächliche Risikoreduzierung

zunehmendes Risiko

Gefahren- und Risikoanalyse

Risikoreduzierung mit elektrischen/elektronischen/programmierbar elektronischen sicherheitsbezogenen Systemen

Funktionale Sicherheit nach IEC 61508 bzw. anwendungsspezifi schen Normen

Sicherheitsfunktion (sicherheitsbezogenes System)

Sensor 35 %*

Logikeinheit 15 %*

Aktor 50 %*

*Verteilung PFDav auf

Teilsysteme

• Funktionale Sicherheit: Teil der Gesamtanlagen- sicherheit, der von der korrekten Funktion sicherheits-bezogener Systeme zur Risikoreduzierung abhängt. Funktionale Sicherheit ist gegeben, wenn jede Sicher-heitsfunktion wie spezifi ziert ausgeführt wird.• Sicherheitsbezogenes System: System, das Sicher-heitsfunktionen ausführt, um einen sicheren Zustand für ein überwachtes System zu erreichen oder aufrecht zu erhalten.• Sicherheitsfunktion: Aufgabe: Sicheren Zustand für ein überwachtes System erreichen oder aufrecht erhalten, wenn vorher festgelegte Bedingungen verletzt werden. • Safety Lifecycle: Beschreibt alle notwendigen Tätig-keiten bei der Realisierung sicherheitsbezogener Systeme von der Konzeptphase bis zur Außerbetriebnahme.• Management der Funktionalen Sicherheit: Erfor-derliche Managementtätigkeiten, technische Tätigkeiten und Verantwortlichkeiten während des Safety Lifecycle zur Erreichung der Funktionalen Sicherheit.• Beurteilung der Funktionalen Sicherheit:Untersuchung, ob die Funktionale Sicherheit durch die sicherheitsbezogenen Systeme erreicht wurde.• Safety Integrity Level (SIL): Vier diskrete Stufen (SIL1 bis SIL4). Je höher der SIL eines sicherheitsbezo-genen Systems, umso geringer ist die Wahrscheinlichkeit, dass das System die geforderten Sicherheitsfunktionen nicht ausführen kann.• Average Probability of Failure on Demand (PFDav): Mittlere Versagenswahrscheinlichkeit einer Sicherheits-funktion bei niedriger Anforderung.• Probability of Failure per Hour (PFH): Versagens-wahrscheinlichkeit einer Sicherheitsfunktion bei hoher oder kontinuierlicher Anforderung.• Safe Failure Fraction (SFF): Prozentualer Anteil sicherheitsgerichteter Ausfälle eines sicherheitsbezogenen Systems (Sicherheitsfunktion) bzw. Teilsystems.• Hardware Fehlertoleranz (HFT): HFT = n bedeutet, dass n+1 Fehler zu einem Verlust der Sicherheitsfunktion führen können.• Betriebsart Low demand mode: Betriebsart mit niedriger Anforderungsrate. Anforderungsrate an sicherheitsbezogenes System nicht mehr als einmal pro Jahr und nicht größer als die doppelte Frequenz der Wiederholungsprüfung.• Betriebsart High demand oder continuous mode: Betriebsart mit hoher oder kontinuierlicher Anforderung der Sicherheitsfunktion. Anforderungsrate an sicherheits-bezogenes System mehr als einmal pro Jahr oder größer als die doppelte Frequenz der Wiederholungsprüfung.• Gerätetyp A (einfaches Teilsystem): Gerät, bei dem das Ausfallverhalten aller eingesetzten Bauteile und das Verhalten unter Fehlerbedingungen vollständig bekannt ist.• Gerätetyp B (komplexes Teilsystem): Gerät, bei dem das Ausfallverhalten der eingesetzten Bauteile und das Verhalten unter Fehlerbedingungen nicht vollständig bekannt ist (z. B. µC, ASIC).• FMEDA (Failure Modes, Effects and Diagnostic Analysis): Analysemethode für elektronische Schaltungen und Mechanik zur quantitativen Ermittlung von Ausfall-arten und Ausfallraten.• Ausfallraten λ:λSD: Gesamtausfallrate für sichere erkannte AusfälleλSU: Gesamtausfallrate für sichere unerkannte AusfälleλDD: Gesamtausfallrate für gefährliche erkannte AusfälleλDU: Gesamtausfallrate für gefährliche unerkannte Ausfälle• Mean Time Between Failures (MTBF): Mittlere Ausfallwahrscheinlichkeit• Intervall für Wiederholungsprüfungen (T1):Zeitintervall zwischen wiederkehrenden Prüfungen einer Sicherheitsfunktion zur Aufdeckung gefährlicher Ausfälle.

Basisstandard

IEC 61508 (generische Norm)

anwendungsspezifi sche NormenIEC 61511 (Prozessindustrie)IEC 61513 (Kernkraftwerke)IEC 62061 (Maschinenbereich)IEC 61800-5-2 (Antriebssysteme)

Ausfallart erkannt unerkanntsicher safe

detected SD

safe undetected

SUgefährlich dangerous

detected DD

dangerous undetected

DU

* Mit Nachweis der Betriebsbewährung nach IEC 61511

FMEDA

Ausfallraten λSD, λSU, λDD, λDU

SFF, PFDav, HFT, MTBF, T1

Normen

Safety Lifecycle

zurü

ck z

u an

gem

esse

ner P

hase

Modifi kation, Nachrüstung

Konzept

Gefahren- und Risikoanalyse

Sicherheitsanforderungen

Planung, Realisierung

Installation, Inbetriebnahme

Betrieb, Wartung, Reparatur

Außerbetriebnahme, Entsorgung

Management und Beurteilung der Funktionalen Sicherheit

Qualifi kation, Schulung und Dokumentation

Organisatorische Anforderungen