![Page 1: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/1.jpg)
Funktionale Sicherheit in derFunktionale Sicherheit in derProzessindustrie
EN 61508 / EN 61511/
VL PLT2, SS 2012P f fü P l i h ikProfessur für Prozessleittechnik
![Page 2: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/2.jpg)
Übersicht
• PLT-SchutzeinrichtungenSi h h it d EN 61508• Sicherheitsgrundnorm EN 61508
– Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme
• Safety Integrity Level (SIL)– Quantitative Betrachtung kompletter Sicherheitssysteme Quantitative Betrachtung kompletter Sicherheitssysteme
(Sensor-Steuerung-Aktor)– Berechung von Versagenswahrscheinlichkeiten für
verschiedene Beanspruchungsszenarienverschiedene Beanspruchungsszenarien
• Lebenszyklusbetrachtung– Berücksichtigung von Entwicklung & Fertigung
02.05.2012 Folie 2PLT2
![Page 3: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/3.jpg)
EN 61508/VDE 0803 &EN 61511/VDE 0810EN 61511/VDE 0810
02.05.2012 Folie 3PLT2
![Page 4: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/4.jpg)
Forderung: akzeptables Risiko
• Von Anlagen und Maschinen dürfen keineb d G f h hbesonderen Gefahren ausgehen
– Gefahrstoffverordnung– Betriebssicherheitverordnung– Betriebssicherheitverordnung– ...
• Betreiber und Konstrukteure müssen daherBetreiber und Konstrukteure müssen daher– Risikoanalyse durchführen– Vorhandene Gefahren durch geeignete
Maßnahmen auf akzeptables Risiko reduzieren
• Einsatz geeigneter PLT-Schutzeinrichtungen !
02.05.2012 Folie 4PLT2
![Page 5: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/5.jpg)
Klassifizierung von PLT-Funktionen
EreignisverhinderndePLT S h t
SchadenbegrenzendePLT S h t
Andere S h t i i htPLT-Schutz-
einrichtungenPLT-Schutz-
einrichtungenSchutzeinrichtungen
EN 61511: Safety Instrumented System (SIS)
PLT-Überwachungseinrichtungen
EN 61511: Basic Process Control System (BPCS)
PLT-Betriebseinrichtungen
02.05.2012
6 5 as c ocess Co t o Syste ( CS)
Folie 5PLT2
![Page 6: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/6.jpg)
Funktion von PLT-Schutzeinrichtungen
Kurve 1 Kurve 2 Kurve 3- eb
Prozessgrößeni
cht
best
imm
ungs
-em
äßer
Bet
rie
unzu
läss
iger
Fe
hlbe
reic
h Nicht‐PLT‐Schutzeinrichtung
spricht an
ereignisverhindernde PLT‐Schutzeinrichtung
spricht an
b ge
ssig
er
bere
ich Grenzwert
der Schutz-einrichtungB
etrie
b
zulä
Fehl
b einrichtung
h
Grenzwert der Über-ng
sgem
äßer
Gut
bere
ic
der Überwachungs-einrichtung
best
imm
un
PLT‐Überwachungs‐einrichtung spricht anPLT‐Überwachungs‐einrichtung spricht an
02.05.2012
Zeit
Folie 6PLT2
![Page 7: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/7.jpg)
Risikominimierung nach EN61508 durch folgende Schrittefolgende Schritte
• Risikodefinition und –bewertung– Qualitiative Bewertung des Schadensfalls– Quantitative Bewertung der Schutzeinrichtung:
Versagenswahrscheinlichkeiten der Wirkkette Versagenswahrscheinlichkeiten der Wirkkette Sensor-Steuerung-Aktor über gesamte Lebensdauer
M ß h R t i ik i i i• Maßnahmen zur Restrisikominimierung• Einsatz geeigneter Gerate
d k h d f• Wiederkehrende Prüfung – Korrekte Einhaltung der Sicherheitsfunktionen
02.05.2012 Folie 7PLT2
![Page 8: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/8.jpg)
Qualitative Bewertung des SchadensfallsRisikograph nach IEC 61508/61511Risikograph nach IEC 61508/61511
• Schadenausmaß C:– C1: leichte Verletzung einer Person; kleinere
schädliche Umwelteinflüsseschädliche Umwelteinflüsse.– C2: Schwere irreversible Verletzung einer oder
mehrerer Personen oder Tod einer Person; vorübergehende größere schädliche Umwelteinflüsse
– C3: Tod mehrerer Personen; langandauernde C3: Tod mehrerer Personen; langandauernde größere schädliche Umwelteinflüsse.
– C4: Katastrophale Auswirkungen, sehr viele Tote.
• Aufenthaltsdauer F:– F1: selten bis öfter– F2: häufig bis dauernd
• Gefahrenabwehr P:– P1: möglich unter bestimmten Bedingungen– P2: kaum möglich
h h l hk• Eintrittswahrscheinlichkeit:– W1: sehr gering– W2: gering– W3: relativ hoch (Endress & Hauser 2004)
02.05.2012 Folie 8PLT2
![Page 9: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/9.jpg)
Safety Integrity Level
• SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktioneiner Sicherheitsfunktion
• Unterscheidung nach Anforderungsrate– Low Demand Mode: Anforderungsrate <= 1/Jahr bzw. < 2 x
F Wi d h l üfFrequenz Wiederholungsprüfung– High demand/Continous: Anforderungsrate > 1/Jahr bzw. > 2 x
Frequenz Wiederholungsprüfung
SIL Niedrige Anforderungrate:PFD
Hohe oder kontinuierliche Anforderung: PFH
4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-84 ≥ 10 bis < 10 ≥ 10 bis < 10
3 ≥ 10-4 bis < 10-3 ≥ 10-8 bis < 10-7
2 ≥ 10-3 bis < 10-2 ≥ 10-7 bis < 10-6
1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5
02.05.2012
1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5
Folie 9PLT2
![Page 10: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/10.jpg)
Probability of Failure on Demand (PFD)
• Verfügbarkeit/Unverfügbarkeit von S h t i i htSchutzeinrichtungen
– mittlere Ausfallwahrscheinlichkeit der entworfenen Funktion bei AnforderungFunktion bei Anforderung
– average probability of failure to perform its design function on demand
• Näherungsweise für einkanalige Systeme:– PFD = du*T1/2 R t fäh li h i ht td kb F hldu Rate gefährlicher,nicht entdeckbarer FehlerT1 Prüfintervall
02.05.2012 Folie 10PLT2
![Page 11: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/11.jpg)
Voraussetzung zur Berechung der PFD
• VoraussetzungenÜ– Regelmäßige 100% Überprüfung (Wiederholungs-
prüfung, proof test) deckt alle Fehler auf. Nach Wiederholungsprüfung gilt System als neuwertigg p g g y g
– Automatische Diagnose mindestens 10 mal häufiger als WdhPrüfung. Deckt nur einen Teil der Fehler auf (Diagnosedeckungsgrad diagnosticFehler auf (Diagnosedeckungsgrad, diagnosticcoverage, DC).
– Sobald ein Fehler entdeckt wurde, wird dieser mit fester Reparaturzeit (MTTR=const.) repariert.
– Konstante Ausfallraten – Common Cause Fehler durch -Faktor abbildbar– Common Cause Fehler durch -Faktor abbildbar
02.05.2012 Folie 11PLT2
![Page 12: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/12.jpg)
Ausfallkategorien sicherheitstechnischer EinrichtungenEinrichtungen
• Kategorie Gefährlichkeit– Gefährliche Fehler
• Sicherheitsfkt. wird im Bedarfsfall nicht ausgeführt
– Sichere FehlerSichere Fehler• Sicherer Zustand wird eingenommen
• Kategorie Erkennbarg– Erkannte Fehler
• werden bei automatischer Diagnose erkannt
U k t F hl– Unerkannte Fehler• werden erst bei Wiederholungsprüfung aufgedeckt
02.05.2012 Folie 12PLT2
![Page 13: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/13.jpg)
Fehlerraten
Fehlerarten SicherSafe
GefährlichDangerousSafe Dangerous
Erkanntdetected
k
SD DDUnerkanntundetected
SU DU
02.05.2012 Folie 13PLT2
![Page 14: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/14.jpg)
Homogenes 1oo2-System
Zuverlässigkeits-blockdiagramm
Zustandsdiagrammblockdiagramm
System 1
2
System 21
0
02.05.2012 Folie 14PLT2
![Page 15: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/15.jpg)
Herleitung PFD1oo2 nach EN 61508
1. Ermittlung mittlere Systemausfalldauer bei erkannten bzw unerkannten Fehlernerkannten bzw. unerkannten Fehlern
2. Berechnung der relativen Systemausfalldauern (Bezug auf Zeitintervall zwischen WdhPrüfungen)
3. Berechnung Wahrscheinlichkeiten für Systemausfall
4 Multiplikation der rel Ausfalldauern (2) mit WS 4. Multiplikation der rel. Ausfalldauern (2) mit WS für Systemausfälle (3)
5. Addition der Teilergebnisse für erkannten/unerkannten Fehler
6. Berücksichtigung von Fehlern mit gemeinsamer UrsacheUrsache
02.05.2012 Folie 15PLT2
![Page 16: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/16.jpg)
Bei erkannten Fehlern (1/3)
• Schritt 1: Mittlere SAD = MTTR– Ein erkannter Fehler wird sofort repariert
• Schritt 2: Relative SAD = MTTR / T1
S h 3 S f S f ll• Schritt 3: WS für Systemausfall– Erkannter Fehler führt in einem 1oo2-System
genau dann zum Systemausfall wenn einer der genau dann zum Systemausfall, wenn einer der beiden Kanäle aufgrund erk. Fehler ausfällt und der jeweils andere nicht verfügbar ist.
112 KDDerk PFDTP
02.05.2012 Folie 16PLT2
![Page 17: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/17.jpg)
Bei erkannten Fehlern (2/3)
• Schritt 3: WS für Systemausfall
112 KDDerk PFDTP
• Schritt 4: Anteil an der gesamten PFDMTTRPPFD
MTTRT
PPFD erkerk 1
MTTRPFDT
MTTRPFDTPFD KDDKDDerk 11
11 22
02.05.2012 Folie 17PLT2
![Page 18: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/18.jpg)
Bei erkannten Fehlern (3/3)
• Schritt 4: Anteil an der gesamten PFD
MTTRPFDT
MTTRPFDTPFD KDDKDDerk 22 111
MTTRMTTRTPFD
T
DDDUDDDUK
2)(:6TeilEN61508,aus 1
1
1
MTTRMTTRMTTRTPFD DDDDDU
DDDUerk
DD
)(2
2
1DD
DDDDDUerk
2
)(
02.05.2012 Folie 18PLT2
![Page 19: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/19.jpg)
Bei unerkannten Fehlern (1/4)
• Schritt 1: Mittlere SAD – kann nicht vorhergesagt werden, jedoch
Erwartungswert eines 1oo2-Systems
b i2)( TA f llE– SIS-Ausfall wird bei nächster WdhPrüfung erkannt
const.bei32)( 1 TAusfallE
und repariert mittlere SAD bei 2-kanaligem System = mittlere ausgefallene Zeit + Dauer Reparaturp
MTTRTSAD 131
02.05.2012
3Folie 19PLT2
![Page 20: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/20.jpg)
Bei unerkannten Fehlern (2/4)
• Schritt 3: WS für Systemausfall
112 KDUunerk PFDTP
• Schritt 4: Anteil an der gesamten PFD
MTTRT1
TT
PPFD unerkunerk3
1
MTTRTPFD
T
MTTRT
PFDTPFD KDUKDUunerk 3232 1
11
1
11
02.05.2012 Folie 20PLT2
![Page 21: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/21.jpg)
Bei unerkannten Fehlern (3/4)
• Schritt 4: Anteil an der gesamten PFD
MTTRTPFD
MTTRT
PFDTPFD KDUKDUunerk 232 11
1
11
MTTRMTTRTPFD
T
DDDU
KDUKDUunerk
)(:6TeilEN61508aus
3
1
11
11
MTTRTMTTRMTTRTPFD
MTTRMTTRPFD
DDDU
DDDDDUK
)(2
2)(:6TeilEN61508,aus
11
1
MTTRMTTRMTTRPFD DU
D
DD
D
DUDDDUunerk 32
)(2 11
02.05.2012 Folie 21PLT2
![Page 22: Funktionale Sicherheit in der Prozessindustrie EN 61508 ... · • SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion • Unterscheidung nach Anforderungsrate](https://reader030.vdokument.com/reader030/viewer/2022020204/5b1490727f8b9a437c8da256/html5/thumbnails/22.jpg)
Literatur
• Normen– EN 61508
• Bücher– Pukite, J., Pukite, P. (1998) Modeling for Reliability Analysis: Markow Modeling for
Supportable Analyses of Complex Systems. IEEE Presspp y p y– Birolini, A. (2004) Zuverlässigkeit von Geräten und Systemen. Heidelberg:Springer.– Börcsök, J. (2004). Elektronische Sicherheitssysteme. Heidelberg:Hüthig.
• Fachartikel
02.05.2012 Folie 22PLT2