Endress+ Hauser
Safety Integrity Level
SIL
CP00
013Z
/11/
DE/1
4.13
– 7
1008
610
Begriffe Normen•FunktionaleSicherheit:Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Syste-me zur Risikoreduzierung abhängt. Funktionale Sicherheit ist gegeben, wenn jede Sicherheits-funktion wie spezifiziert ausgeführt wird.
•SicherheitsbezogenesSystem:System, das Sicherheitsfunktionen ausführt, um einen sicheren Zustand für ein überwachtes System zu erreichen oder aufrecht zu erhalten.
•Sicherheitsfunktion:Aufgabe; Sicheren Zustand für ein überwachtes System erreichen oder aufrecht erhalten, wenn vorher festgelegte Bedingungen verletzt werden.
•SafetyLifeCycle:Beschreibt alle notwendigen Tätigkeiten bei der Realisierung sicherheitsbezogener Systeme von der Konzeptphase bis zur Außerbetriebnahme.
•ManagementderFunktionalenSicherheit:Erforderliche Managementtätigkeiten, tech-nische Tätigkeiten und Verantwortlichkeiten während des Safety Life Cycle zur Erreichung der Funktionalen Sicherheit.
•BeurteilungderFunktionalenSicherheit:Untersuchung, ob die Funktionale Sicherheit durch die sicherheitsbezogenen Systeme erreicht wurde.
•SafetyIntegrityLevel(SIL):Vier diskrete Stufen (SIL 1 bis SIL 4). Je höher der SIL eines sicherheitsbezogenen Systems, umso geringer ist die Wahrscheinlichkeit, dass das System die geforderte Sicherheitsfunktion nicht ausführt.
•AverageProbabilityofFailureonDemand(PFD):Mittlere Versagenswahrscheinlichkeit einer Sicherheitseinrichtung bei niedriger Anforderungsrate.
•ProbabilityofFailureperHour(PFH):Versagenswahrscheinlichkeit einer Sicher-heitsfunktion bei hoher oder kontinuierlicher Anforderungsrate.
•SafeFailureFraction(SFF):Prozentualer Anteil sicherheitsgerichteter Ausfälle eines sicherheitsbezogenen Systems (Sicherheitsfunktion) bzw. Teilsystems.
•HardwareFehlertoleranz(HFT):HFT = n bedeutet, dass n + 1 Fehler zu einem Verlust der Sicherheitsfunktion führen kann.
•Betriebsart:Lowdemandmode:Betriebsart mit niedriger Anforderungsrate. Anforderungsrate an sicherheitsbezogene Systemen mit nicht mehr als einmal pro Jahr und nicht größer als die doppelte Frequenz der Wiederholungsprüfung.
•Betriebsart:Highdemandmodeodercontinuousmode:Betriebsart mit hoher oder kontinuierlicher Anforderung der Sicherheitsfunktion. Anforde-rungsrate an sicherheitsbezogenes System mehr als einmal pro Jahr oder größer als die doppelte Frequenz der Widerholungsprüfung.
•GerätetypA(einfachesBetriebsmittel):Gerät, bei dem das Ausfallverhalten aller einge-setzten Bauteile und das Verhalten unter Fehler-bedingungen vollständig bekannt ist.
•GerätetypB(komplexeBetriebsmittel):Gerät, bei dem das Ausverhalten der eingesetz-ten Bauteile und das Verhalten unter Fehlbe-dingungen nicht vollständig bekannt ist (z. B. µ-Prozessoren).
•FMEDA(FailureModes,EffectsandDiag-nosticAnalysis):Analysemethode für elektronische Schaltungen und Mechanik zur quantitativen Ermittlung von Ausfallarten und Ausfallraten.
•Ausfallraten:λ SD: Gesamtausfallrate für sichere erkannte Ausfälleλ SU: Gesamtausfallrate für sichere unerkannte Ausfälleλ DD: Gesamtausfallrate für gefährliche erkannte Ausfälleλ DU: Gesamtausfallrate für gefährliche uner- kannte Ausfälle
•MeanTimeBetweenFailures(MTBF):Mittlere Ausfallwahrscheinlichkeit
•MeanTimetorepair(MTTR):Mittlere Reparaturzeit
•IntervallfürWiederholungsprüfungen(Ti):Zeitintervall zwischen wiederkehrenden Prüfun-gen einer Sicherheitsfunktion zur Aufdeckung gefährlicher, unerkannter Fehler
BasisstandardIEC/EN61508AnwendungsspezifischeNormenIEC/EN 61511 (Prozessindustrie)IEC/EN 61513 (Kernenergie)IEC/EN 62061 (Maschinensicherheit)VDI/VDE 2180
Products Solutions Services
SIL(SafetyIntegrityLevel)Funktionale Sicherheit
RisikoreduzierungdurchSIL
SIL 1
SIL 2
SIL 3
SIL 4
Schutzmaßnahmen (Risikoreduzierung)
Risiko ohne Schutzmaßnahmen
Tole
rierb
ares
Res
trisi
ko
Risiko
---
SIL 1 ---
---
SIL 1
SIL 2
SIL 2
SIL 3
SIL 3
SIL 4
SIL 1
SIL 2
SIL 2
SIL 3
SIL 3
SIL 4
SIL 1
SIL 1
SIL 2
SIL 2
SIL 3
SIL 3
Eintrittswahrscheinlichkeit
SchadensausmaßAufenthaltsdauer
GefahrenabwehrPLT-Schutzeinrichtungnichtausreichend
KeinePLT-Schutzeinrichtung(z.B.technischeMaßnahmen)
SchadenausmaßS1 leichte Verletzung einer Person oder kleinere schädliche Umweltein-
flüsse, die z. B. nicht unter die Störfallverordnung fallen.S2 schwere, irreversible Verletzung einer oder mehrerer Personen oder Tod
einer Person oder vorübergehende größere schädliche Umwelteinflüsse, z. B. nach Störfallverordnung.
S3 Tod mehrerer Personen oder lang andauernde größere schädliche Um-welteinflüsse, z. B. nach Störfallverordnung.
S4 katastrophale Auswirkung, sehr viele Tote.
AufenthaltsdauerA1 selten bis öfterA2 häufig bis dauernd
GefahrenabwehrG1 möglich unter bestimmten BedingungenG2 kaum möglich
EintrittswahrscheinlichkeitW1 sehr geringW2 geringW3 relativ hoch
SFF–HFT–SIL–TypA,TypBSafeFailureFraction(SFF)
HardwareFehlertoleranz(TypA–einfachesBetriebsmittel)
HardwareFehlertoleranz(TypB–komplexesBetriebsmittel)
0 1 2 0 1 (0*) 2 (1*)
< 60 % SIL 1 SIL 2 SIL 3 nicht erlaubt
SIL 1 SIL 2
60 % bis < 90 %
SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3
90 % bis < 99 %
SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4
≥ 99 % SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4
* Mit Nachweis der Betriebsbewährung nach IEC/EN 61511 (nur für SIL ≤ 3)
TechnischeAnforderungen OrganisatorischeAnforderungen
zurückzuangemessenenPh
asen
SafetyLifeCycle
Managem
entF
unktionaleSicherheit
Anlagenrisiko Verfahrenstechnische Anlage, MaschineRisiken für Personen, Umwelt und Sachwerte
Konzept
Gefahren-undRisikoanalyse
Sicherheitsanforderungen
Planung,Realisierung
Installation,Inbetriebnahme
Betrieb,Wartung,Reparatur
Außerbetriebnahme,Entsorgung
ManagementundBeurteilungderFunktionalenSicherheit
Qualifikation,SchulungundDokumentation
Modifikation,Nachrüstung
W3 W2 W1
S1
S2
S3
S4
G1
G2
G1
G2
A1
A2
A1
A2
EinkanaligerSystemaufbauSensorsystem
DiePFD-/PFH-WerteallerKomponentenmüssenaddiertundentsprechendbewertetwerden.
PFD=½ DU×Ti PFH= DU
Steuerung Aktorsystem
SIL–PFD–PFH-BetriebsartenSafetyIntegrityLevel(SIL)
MittlereWahrscheinlich-keiteinesAusfallsderSicherheitsfunktionbeiAn-forderung–PFD(Betriebs-art:Lowdemandmode)(wenigerals1x/Jahr)
WahrscheinlichkeiteinesgefahrbringendenAusfallsproStunde–PFH(Be-triebsart:Highdemandmodeodercontiniusmode)
SIL 4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-8
SIL 3 ≥ 10-4 bis < 10-3 ≥ 10-8 bis < 10-7
SIL 2 ≥ 10-3 bis < 10-2 ≥ 10-7 bis < 10-6
SIL 1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5
ErmittlungdersicherheitstechnischenKenngrößenFMEDATechnischeAnforderungenAusfallartenvonSicherheitsfunktionenAusfallart erkannt (detected) unerkannt (undetected)
sicher safe detected SD safe undetected SUgefährlich dangerous detected DD dangerous undetected DU
RechnerischeSIL-Nachweis
PFD0,1
0,01
0,001
0,0001
GebrauchsdauerTi z. B. 1 Jahr
PFDav
SIL 1
SIL 3SIL 4
SIL 2
ohne
Funk
tions
-
prüf
ung
Funktionsprüfung (Testinterval Ti)