Funktionale Sicherheit

Funktionale Sicherheit (abgekürzt auch FuSi) umfasst die Sicherheitsfunktionen an technischen Einrichtungen, die durch Maßnahmen der Prozessleittechnik abgedeckt werden.

Überblick

Von technischen Anlagen oder auch Beförderungssystemen gehen Gefährdungen aus, von denen bei nicht bestimmungsgemäßem Betriebszuständen eine Gefährdung für Personen, die Umwelt oder größere materielle Schäden ausgeht. Für diese Systeme müssen am Anfang der Projektierung eine Risiko- und Gefahrenanalyse erstellt werden. Dabei werden oft systematische Verfahren wie LOPA oder HAZOP herangezogen, um Risiken zu ermitteln. An erster Stelle zur Risikominimierung steht die Auslegung der Systeme durch Anwendung produktspezifischer Anwendungsrichtlinien und Normen. So wird ein Druckbehälter nach dem europäisch harmonisiertem Regelwerk (EN 13445 ff) unter Berücksichtigung der im Betrieb auftretenden Beanspruchungen ausgelegt, um Gefährdungen im bestimmungsgemäßen Betrieb auf ein akzeptiertes Niveau zu senken.

Die in der Risikoanalyse ermittelten Restgefahren für die spezielle Anlage müssen durch Sicherheitseinrichtungen abgesichert werden. Dies kann durch mechanische Einrichtungen erfolgen (z. B. durch ein abblasendes Sicherheitsventil) oder durch elektrische Sicherheitsschaltungen SIF (z. B. Einbau eines Druckbegrenzers, der das Schließen einer Armatur bewirkt). Die funktionale Sicherheit umfasst nur die Anforderungen an die elektrischen Sicherheitsschaltkreise. In der Begriffsbestimmung der EN 61511-1 wird die funktionale Sicherheit beschrieben durch: Teil der Gesamtsicherheit, der sich auf den Prozess und die PLT-Betriebseinrichtungen bezieht und der von der korrekten Funktion der PLT-Sicherheitseinrichtung(en) und anderer Schutzebenen abhängt.

Im Rahmen der Risikoanalyse müssen die Gefährdungen quantitativ abgeschätzt werden. Dabei werden die Parameter Schadensausmaß, Aufenthaltswahrscheinlichkeit im gefährdeten Bereich, Möglichkeit zum Ergreifen von Gegenmaßnahmen und Eintrittswahrscheinlichkeit des gefährlichen Ereignisses festgelegt. Mit diesen Größen kann anhand eines Risikographens der erforderliche Sicherheitsniveaulevel der einzelnen Sicherheitsfunktionen SIF ermittelt werden. So kann das Schadensausmaß von leichten reversiblen Verletzungen bis zu dem Tod mehrere Personen reichen. Je höher das Schadensausmaß ist und umso wahrscheinlicher der Eintritt umso höher ist der Sicherheitsniveaulevel. In den Anwendungsnormen sind unterschiedliche Risikographen aufgeführt. In der Prozessindustrie wird zumeist der SIL-Level verwendet[1], der von den Stufen SIL1 bis SIL4 mit zunehmenden Anforderungen reicht. Bei der Maschinensicherheit wird bei hoher Anforderung der Sicherheitsfunktion zumeist der performance level PL verwendet, der von PLa bis PLe reicht.[2]

Bei der funktionalen Sicherheit wird der Gesamtlebenszyklus der Sicherheitsschaltkreise betrachtet. Die Normen zur funktionalen Sicherheit beinhalten die Themen Risikoanalyse, Spezifizierung der Anforderungen, Validierung, regelmäßige Funktionsprüfungen und Außerbetriebnahme.

Die Sicherheitsintegrität bezeichnet nach der EN 61508 Teil 4 die Wirksamkeit der Sicherheitsfunktionen eines sicherheitsbezogenen Systems. Bei der Betrachtung der Schaltfunktionen zur Ermittlung der Wirksamkeit wird immer der gesamte Schaltkreis, bestehend aus Sensor, Sicherheitsschaltung, Aktor und ggf. Schaltverstärkern betrachtet. Für Sicherheitsschaltungen können fest verdrahtete Schaltkreis mit Relais genutzt werden oder fehlersichere speicherprogrammierbare Steuerungen (F-SPS).

Mit der Komplexität der Anlagen und der sicherheitstechnischen Anforderungen werden vermehrt elektronische, insbesondere programmierbare Systeme eingesetzt. Diese werden z. B. verwendet, um den Druck und Wasserstand im Dampfkessel zu überwachen, die Überfüllung von Lagerbehältern zu vermeiden, die Inertisierung von Lagerbehältern bei Verwendung explosionsgefährdender Stoffe in der Chemie sicherzustellen, Absperrbereiche um Industrieroboter zu überwachen oder die Fahrstrecken von Zügen zu überwachen.

Entsprechend fordert die Normenreihe IEC 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme“ die Anwendung diverser Methoden zur Beherrschung von Fehlern:

  • Vermeidung systematischer Fehler in der Entwicklung, z. B. Spezifikations- und Implementierungsfehler;
  • Überwachung im laufenden Betrieb zur Erkennung von zufälligen Fehlern; und
  • Sichere Beherrschung von erkannten Fehlern und Übergang in einen vorher als sicher definierten Zustand.

Ursachen von zufälligen Fehlern können Alterung oder physikalische Phänomene (Softerror) sein.

Nicht zur funktionalen Sicherheit gehören u. a. elektrische Sicherheit, Brandschutz oder Strahlenschutz.

Prozessindustrie

Die spezielle Normenreihe für die funktionale Sicherheit in der Prozessindustrie ist die DIN EN 61511. bzw. international als IEC 61511. Grundsätzlich wird bei den PLT-Sicherheitseinrichtungen zwischen der Betriebsart niedrige Anforderung (low demand - Anforderung der Sicherheitsfunktion max. 1 mal/Jahr) und hohe Anforderung bzw. kontinuierliche Anforderung unterschieden. In der Fertigungsindustrie und im Bereich der Maschinensicherheit wird meistens der high demand mode angewandt. Für ein Notabschaltsystem an einer technischen Anlage ist oft die Auslegung im low demand mode relevant.

RI-Fließbild der Wasserseite eines Grosswasserraumdampfkessels mit Darstellung der Sensorik. Die Sicherheitsfunktionen (rot umrandet) sind mit dem Schaltzeichen „Z“ dargestellt, das für einen sicherheitsrelevanten Schalteingriff steht.

Nachdem im Rahmen eines Sicherheitsgesprächs mögliche Gefährdungen für eine Anlage ermittelt worden sind, ist festzulegen, ob die Gefährdungen durch konstruktive Maßnahmen, Änderung des Verfahrens oder Einsatz anderer Stoffe aufgehoben werden können, und so eine inhärente Sicherheit bezogen auf bestimmte Gefährdungen erreicht werden kann. Soweit Gefährdungen weiter bestehen, sind mechanische Schutzeinrichtungen und/oder Maßnahmen der Prozessleittechnik für einen sicheren Betrieb vorzusehen. Im Rahmen der Umsetzung der funktionalen Sicherheit sind folgende Schritte erforderlich:

  • Auswahl geeigneter physikalischer Größen, die zur Überwachung bestimmter Sicherheitsfunktionen genutzt werden sollen. Bei hohen Sicherheitsanforderungen kann eine Redundanz der Sensoren und Aktoren erforderlich sein. Die Anwendung unterschiedlicher physikalischer Verfahren oder die Auswahl unterschiedlicher Geräte können Fehler gemeinsamer Ursache (Common-Cause-Failure) ausschalten oder vermindern (diversitäre Redundanz).
  • Definition des sicheren Zustandes der Prozessanlage. Hier sind neben Abschaltungen ggf. auch Notfunktionen zum sicheren Abfahren (Notkühlkreise, Entlastungsklappen) einzubeziehen.
  • Erstellung einer Ursache-Wirkungs-Matrix, um für jede Sicherheitsfunktion eine Schaltfolge zum Erreichen des sicheren Zustandes zu beschreiben,
  • Abschätzung der Auswirkung potentieller Gefährdungen unter Anwendung eines Riskiographens[3],
  • Auswahl geeigneter zertifizierter Geräte zur Realisierung der einzelnen Sicherheitsfunktionen,
  • Rechnerischer Nachweis, dass der erforderliche Sicherheitsniveaulevel mit den ausgewählten Elementen des Sicherheitsschaltkreises erreicht wird.
Sicherheitsintegrität für Sicherheitsfunktionen im low demand mode (Ansprechen der Sicherheitseinrichtung max. 1 mal/Jahr)
Sicherheits-Integritätslvel (SIL)PFD avg - Mittlere Wahrscheinlichkeit eines gefährlichen Ausfalls bei AnforderungErforderliche Risikominimierung
4>= 10-5 bis < 10-4> 10000 bis <= 100000
3>= 10-4 bis < 10-3> 1000 bis <= 10000
2>= 10-3 bis < 10-2> 100 bis <= 1000
1>= 10-2 bis < 10-1> 10 bis <= 100
Risikograph in Anlehnungen an die IEC 61511-3 zur Ermittlung des SIL-levels einer Sicherheitsfunktion

Für die einzelnen Sicherheitsfunktion SIF muss die erforderliche Risikominimierung nachgewiesen werden. Der Nachweis erfolgt auf Grundlage der Wahrscheinlichkeitsrechnung, indem die Ausfallraten der einzelnen Geräte einer SIF vom Sensor bis zum Aktor betrachtet werden. Da die Ausfallwahrscheinlichkeiten der Bauteile addiert werden, bestimmt das Bauteil mit der höchsten Ausfallrate wesentlich die gesamte Schaltkette. Die Ermittlung der Ausfallwahrscheinlichkeit bei Anforderung (Probability of dangerous failure on demand) einer SIF erfolgt aus:

Darüber hinaus muss die Hardwarefehlertoleranz (HFT) betrachtet werden. Im Allgemeinen müssen ab dem Sicherheitslevel SIL3 auch Doppelfehler betrachtet werden (HFT >0), so dass einkanalige Geräte nicht mehr ausreichen. In der VDI/VDE 2180 Blatt 3[4] sind vereinfachte Berechnungsverfahren für Auswahlschaltungen mit redundanten Sicherheitsbauteilen aufgeführt, bei denen die Terme der Ausfallwahrscheinlichkeiten mit höherer Potenz vernachlässigt werden. Zur Erhöhung der Sicherheit und Reduzierung der Ausfallwahrscheinlichkeit können zwei Sensoren verwendet werden, die nach dem Ruhestromprinzip arbeiten und deren Kontakte in Reihe angeordnet werden. Diese Schaltung wird in Kurzform als 1°°2 (one out of two) bezeichnet; dies bedeutet, dass beim Ansprechen von einem Sicherheitssensor von 2 vorhandenen die Schutzschaltung ausgelöst wird. Für SIF mit geringem Sicherheitsniveau und hoher Verfügbarkeit wird oft auch die 2°°2-Schaltung verwendet; hier sind die Schaltkontakte parallel geführt und die SIF wird erst ausgelöst, wenn beide Sensoren abschalten. Um einen hohen Sicherheitslevel bei hoher Verfügbarkeit zu erreichen, wird die 2°°3-Schaltung angewandt, die tolerabel gegenüber dem Ausfall eines Sensors ist. Ein weiterer Sicherheitsgewinn wird erreicht, wenn beim Einsatz mehrerer analoger Sensoren die Signale verglichen werden (Plausibilitätsprüfung), und beim Auseinanderdriften der Signale eine Sicherheitsschaltfunktion oder eine Alarmierung erfolgt.

Zusammensetzung des PFD (Wahrscheinlichkeit eines Ausfalls bei Anforderung) einer SIF aus den Komponenten der Schaltkette (loop)

Zum Absperren eines Stoffstroms kann bis zu einem SIL2-Schutzkreis eine stromlos schließende Armatur ausreichen. Bei höheren Anforderungen können 2 seriell angeordnete Armaturen erforderlich sein, deren Funktion durch automatische Dichtheitsprüfungen und Stellungsrückmeldungen verifiziert wird. Grundsätzlich müssen bei dem Einsatz der Sensoren und Aktoren geeignete Maßnahmen ergriffen werden, um bekannte gefährliche Ausfälle auszuschließen. Dies sind z. B. das Verstopfen von Impulsleitungen, Kondensatbildung, Schutz von Membranen gegen hohen Temperaturen. Die Funktion von Armaturen kann durch zu hohe Drücke, klebende Medien oder Feststoffe beeinträchtigt werden.

Ein entscheidender Faktor für die Ermittlung des PFD ist das Prüfintervall T1 für die umfassende Prüfung einer Anordnung. Ein elektromechanischer Druckwächter liefert ein digitales Signal für eine Drucküber- oder unterschreitung. Ein Fehler des Gerätes kann im Betrieb nicht festgestellt werden, sondern nur im Rahmen einer Prüfung durch Aufgabe eines Prüfdrucks. Daher kann bei diesem Gerät ein gefährlicher Fehler maximal über den Prüfzeitraum T1 unentdeckt bleiben. Werden dagegen mehrere Drucktransmitter mit einem analogen Ausgangssignal (z. B. 4..20 mA-Signal) für eine Überwachungsfunktion eingesetzt, dann können Abweichungen, die auf die Fehlfunktion eines Gerätes hinweisen, unmittelbar festgestellt werden.

PFD für verschiedene Architekturen (Geräteanordnungen) in Anlehnung an die DIN EN 61508-6
ArchitekturPerformance level on demand (vereinfachte Berechnung)[5]
1°°1
1°°2
2°°2
2°°3
  •  : Rate der gefährlichen und unentdeckten Ausfälle. Die Werte für die Ausfallrate der Prozessgeräte werden mittlerweile von den Herstellern für definierte Einstaztbedingungen geliefert. Bei Altgeräten ist es auch zulässig, auf Grundlage statistischer Aufzeichnungen der in einem Betrieb verwendeten Geräte Ausfallraten (z. B. nach der Richtlinie NE 130[6]) zu ermitteln oder beim Einsatz von Geräten unter abweichenden Einsatzbedingungen.
  •  : Anteil der gefährlichen Ausfälle gemeinsamer Ursache. Bei diversitären Geräten und Messverfahren kann der Wert auf 0 gesetzt werden. Bei der Verwendung gleicher Geräte wird der Erfahrungswert von 0,05 oft eingesetzt.
  •  : Prüfintervall für den vollständigen Test der Anordnung. Hier wird oft ein Intervalle von 1 Jahr angewandt. Bei Qualitätsmessungen mit relativ hohen gefährlichen Ausfallraten (z. B. Messung des Sauerstoffgehaltes in einem Gasstrom) kann es sinnvoll sein, ein kürzeres Prüfintervall T1 anzusetzen, wenn die Ausfallrate λDU dieses Sensors deutlich über der Ausfallrate der anderen Glieder des loops liegt.

Managementsystem der funktionalen Sicherheit

Für die Lebensdauer von PLT-Schutzsystemen wird ein umfängliches Managementsystem der funktionalen Sicherheit[7][8] gefordert. Dieses System beinhaltet:

  • Ermittlung und Spezifizierung der Sicherheitsfunktionen und der Randparameter im Rahmen der Gefährdunsbsbeurteilung und Risikoanalyse,
  • Beschreibung des sicheren Zustands (Schwarzfallverhalten) Sicherheitsniveaulevel, Grenzwerte, Prozessantwortzeiten,
  • Auswahl geeigneter Geräte auf Grundlage der Herstellerangaben und Betriebserfahrungen und der ermittelten Sicherheitsniveaustufen,
  • Festlegung der Prüfintervalle T1 unter Berücksichtigung der ermittelten SIL-level,
  • Umfängliche Dokumentation (RI-Fließbilder, Ursache-Wirkungs-Matrix, SIL-Ermittlung, Betriebsanleitungen der Geräte, Gefährdungsbeurteilung, Explosionsschutzdokumente),
  • Einbau der Geräte und Einhaltung der Randbedingungen, geschützte Verlegung der Kabels,
  • Überwachung der Hilfsenergien,
  • Beschreibung der Geräteparametrierung und Sicherung der Einstellung,
  • Dokumentation des Sicherheitscode einer fehlersicheren speicherprogrammierbaren Steuerung,
  • Besondere Kennzeichnung sicherheitsrelevanter Komponenten im Feld,
  • Zugängliche Anordnung der Prozessgeräte in der Anlage, damit Wiederholungsprüfung einfach möglich sind,
  • Maßnahmen zur Cyber Security zur Verhinderung eines gefährlichen Eingriffs Dritter,
  • Erstellen von Betriebsanweisungen.
  • Festlegungen von Maßnahmen bei bestimmten Betriebszustände (z. B. Anfahren),
  • Qualifikation der Bediener und Einweisung der Beschäftigten,
  • Validierung, dass alle Punkte bei der Umsetzung der PLT-Sicherheitseinrichtungen entsprechend der Spezifikation umgesetzt worden sind.
  • Planung des Ablaufs Inbetriebnahme,
  • Erstellung von Prüflisten für die PLT-Sicherheitseinrichtungen, Beschreibung des Prüfumfangs und Anforderungen an das Prüfperonal (befähigte Personen),
  • Maßnahmen bei Instandsetzung, Reparatur oder Änderung sicherheitsrelevanter Einrichtungen oder Programmverknüpfungen,
  • Dokumentation von Änderungen im sicherheitsrelevanten Programmcode,
  • Überprüfung der Sicherheitsreinrichtungen der Prozessanlage bei Unfällen oder beim Auftreten von nicht bestimmungsgemäßen Zuständen oder bei Ausfällen von Sicherheitsgeräten,
  • Maßnahmen bei Stillständen und Außerbetriebnahme.

Gesetzliche Sicherheitsanforderungen

Die Gesellschaft allgemein, insbesondere Kunden und Nutzer haben hohe Erwartungen an die Sicherheit von Systemen und die Reduzierung der Risiken. Diesbezüglich hat die Politik mit dem Produktsicherheitsgesetz (ProdSG, bis Dezember 2011: GPSG) einen gesetzlichen Rahmen für die Umsetzung von Sicherheitsanforderungen geschaffen.[9] Die Vermeidung systematischer Fehler, sowie die Beherrschung systematischer und zufälliger Fehler in „sicherheitstechnischen Funktionen“ senkt das zu erwartende Risiko auf ein akzeptiertes Maß.

Wichtige Normen der funktionalen Sicherheit

Folgende Normen gehören zu den wichtigsten, die funktionale Sicherheit betreffend:

  • EN ISO 13849: Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen
  • EN/IEC 61508: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme
  • EN/IEC 61511: Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie
  • EN/IEC 62061: Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbar elektronischer Steuerungssysteme
  • EN 50126 / IEC 62278: Bahnanwendungen – Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS)
  • EN 50128 / IEC 62279: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Software für Eisenbahnsteuerungs- und Überwachungssysteme
  • EN 50129 / IEC 62425: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsbezogene elektronische Systeme für Signaltechnik
  • EN 50159 / IEC 62280: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsrelevante Kommunikation in Übertragungssystemen
  • EN 50657: Bahnanwendungen – Anwendungen für Schienenfahrzeuge – Software auf Schienenfahrzeugen
  • ISO 26262: Road vehicles – Functional safety

Normreihe für Kraftfahrzeuge: ISO 26262

Bedienungsfehler werden von den Normen jedoch nicht erfasst, da das System dann eine Bewertung des manuellen Eingriffs („vom Bediener gewollter Missbrauch zur Vermeidung eines noch größeren Schadens“ oder „Fehler des Bedieners“) treffen müsste.

Eine Anpassung dieser Normenreihe für Kraftfahrzeuge ist die Norm ISO 26262 („Road vehicles – Functional safety“). Diese ist zum ersten Mal im November 2011 erschienen und wurde im Dezember 2018 komplett überarbeitet neu veröffentlicht.

Da in den heutigen Automobilen eine immer größere Anzahl an elektronischen Bauteilen und Steuergeräten verbaut wird und auch eine steigende Vernetzung der einzelnen Elektronik-Komponenten untereinander festzustellen ist, nimmt die Entwicklungskomplexität stetig zu. In vielen Märkten unterliegt die Zulassung deshalb einer gesetzlichen Kontrolle, um die funktionalen Sicherheitsvorschriften nach ProdSG einzuhalten.

Literatur

  • David J. Smith, Kenneth G. L. Simpson: Functional Safety. A Straightforward Guide to Applying IEC 61508 and Related Standards. 2nd edition. Elsevier / Butterworth-Heinemann, Amsterdam u. a. 2004, ISBN 0-7506-6269-7.
  • Jens Braband: Funktionale Sicherheit. In: Lothar Fendrich (Hrsg.): Handbuch Eisenbahninfrastruktur. Springer, Berlin u. a. 2007, ISBN 978-3-540-29581-5, S. 649–699.
  • Peter Löw, Roland Pabst, Erwin Petry: Funktionale Sicherheit in der Praxis. Anwendung von DIN EN 61508 und ISO/DIS 26262 bei der Entwicklung von Serienprodukten. dpunkt.Verlag, Heidelberg 2010, ISBN 978-3-89864-570-6.
  • Martin Hillenbrandt: Funktionale Sicherheit nach ISO 26262 in der Konzeptphase der Entwicklung von Elektrik/Elektronik Architekturen von Fahrzeugen. KIT Scientific Publishing, Karlsruhe, 2012.
  • Dirk Dürholz, Steffen Herrmann und Ralf Stärk: SAFETY Essentials. ISO 26262 auf einen Blick – Kompakt vermittelt. 2014. ISBN 978-3-9815078-0-5.

Weblinks

Einzelnachweise

  1. DIN EN 61511-3, Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel
  2. DIN EN 13849-1, Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze
  3. DIN EN 61511-3 (IEC 61511-3) Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel
  4. VDI/VDE 2180 Blatt 3, Funktionale Sicherheit in der Prozessindustrie, Nachweis des Sicherheitsintegritätslevels (SIL)
  5. VDI/VDE 2180 Blatt 3
  6. NE 130 Betriebsbewährte Geräte für PLT-Schutzein-richtungen und vereinfachte SIL-Berechnung (“Prior use”-de-vices for safety instrumented systems and simplified SIL calculation). Leverkusen: NAMUR
  7. DIN EN 61511-1, Funktionale Sicherheit – PLT-Sicherheitseinrichtungen für die Prozessindustrie – Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Hardware und Anwendungsprogrammierung, Kapitel 5
  8. VDI/VDE 2180 Blatt 1 Funktionale Sicherheit in der Prozessindustrie Einführung, Begriffe, Konzeption
  9. P. Löw, R. Pabst, E. Petry: Funktionale Sicherheit in Serienprodukten aufgerufen am 26. August 2014, PDF

Auf dieser Seite verwendete Medien

SIL-Risikograph.png
Autor/Urheber: Rainer Sielker, Lizenz: CC BY-SA 4.0
Risikograph für die Ermittlung des Sicherheitsanforderungslevels SIL
PFD loop.png
Autor/Urheber: Rainer Sielker, Lizenz: CC BY-SA 4.0
PDF einer Sicherheitskessel
RI Dampfkessel.png
Autor/Urheber: Rainer Sielker, Lizenz: CC BY-SA 4.0
RI-Fließbild für die Wasserseite eines Dampfkessels mit Sensorik