Adresse Abteilung für Elektro- und Steuerungssysteme, Gesundheits- und Sicherheitsbeauftragter, Merseyside L20 3QZ
Land: Großbritannien
Telefon: 44 151 951 4788
Fax: 44 151 951 4630
Vergangene Position(en): Vorsitzender, IEC-Arbeitsgruppe für funktionale Sicherheit
Ausbildung: BSc
Interessengebiete: Sicherheitsbezogene Steuerungssysteme
Maschinen, Prozessanlagen und andere Geräte können bei Fehlfunktionen Risiken durch gefährliche Ereignisse wie Brände, Explosionen, Überdosierungen von Strahlung und bewegliche Teile darstellen. Eine der Ursachen für Fehlfunktionen solcher Anlagen, Geräte und Maschinen sind Ausfälle elektromechanischer, elektronischer und programmierbarer elektronischer (E/E/PE) Geräte, die beim Entwurf ihrer Steuerungs- oder Sicherheitssysteme verwendet werden. Diese Ausfälle können entweder durch physische Fehler im Gerät entstehen (z. B. durch zeitlich zufällig auftretenden Verschleiß (zufällige Hardwareausfälle)); oder von systematischen Fehlern (z. B. Fehlern in der Spezifikation und dem Design eines Systems, die dazu führen, dass es aufgrund (1) einer bestimmten Kombination von Eingaben, (2) einer Umgebungsbedingung, (3) falscher oder unvollständiger Eingaben von Sensoren, ( 4) unvollständige oder fehlerhafte Dateneingabe durch Bediener und (5) potenzielle systematische Fehler aufgrund eines schlechten Schnittstellendesigns).
Sicherheitsrelevante Systemausfälle
Dieser Artikel behandelt die funktionale Sicherheit sicherheitsbezogener Steuerungssysteme und betrachtet die technischen Hardware- und Softwareanforderungen, die zum Erreichen der erforderlichen Sicherheitsintegrität erforderlich sind. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission Standard IEC 1508, Teile 2 und 3 (IEC 1993). Das übergeordnete Ziel des Entwurfs der internationalen Norm IEC 1508, Funktionale Sicherheit: Sicherheitsbezogene Systeme, soll sicherstellen, dass Anlagen und Ausrüstungen sicher automatisiert werden können. Ein Hauptziel bei der Entwicklung des vorgeschlagenen internationalen Standards ist die Vermeidung oder Minimierung der Häufigkeit von:
Der Artikel „Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme“ beschreibt den allgemeinen Sicherheitsmanagementansatz, der in Teil 1 der IEC 1508 verkörpert ist, um die Sicherheit von Steuerungs- und Schutzsystemen zu gewährleisten, die für die Sicherheit wichtig sind. Dieser Artikel beschreibt das allgemeine konzeptionelle Engineering-Design, das erforderlich ist, um das Unfallrisiko auf ein akzeptables Niveau zu reduzieren, einschließlich der Rolle von Kontroll- oder Schutzsystemen auf der Grundlage von E/E/PE-Technologie.
In Abbildung 1 wird das Risiko von der Ausrüstung, der Prozessanlage oder der Maschine (allgemein bezeichnet als Geräte im Griff (EUC) ohne Schutzvorrichtungen) ist an einem Ende der EUC-Risikoskala markiert, und das angestrebte Risikoniveau, das erforderlich ist, um das erforderliche Sicherheitsniveau zu erreichen, befindet sich am anderen Ende. Dazwischen wird die Kombination aus sicherheitsbezogenen Systemen und externen Risikominderungseinrichtungen gezeigt, die erforderlich ist, um die erforderliche Risikominderung zu erreichen. Diese können unterschiedlicher Art sein – mechanische (z. B. Druckentlastungsventile), hydraulische, pneumatische, physikalische sowie E/E/PE-Systeme. Abbildung 2 betont die Rolle jeder Sicherheitsschicht beim Schutz des EUC im Verlauf des Unfalls.
Abbildung 1. Risikominderung: Allgemeine Konzepte
Abbildung 2. Gesamtmodell: Schutzschichten
Vorausgesetzt, dass eine Gefahren- und Risikoanalyse am EUC durchgeführt wurde, wie in Teil 1 von IEC 1508 gefordert, wurde das Gesamtkonzept für die Sicherheit erstellt und somit die erforderlichen Funktionen und das Ziel des Sicherheitsintegritätslevels (SIL) für jedes E/E/ PE-Steuerungs- oder Schutzsystem wurden definiert. Das Ziel des Sicherheitsintegritätslevels wird in Bezug auf eine Zielausfallmaßnahme definiert (siehe Tabelle 1).
Tabelle 1. Sicherheitsintegritätslevel für Schutzsysteme: Zielausfallmaßnahmen
Sicherheitsintegritätslevel Demand-Betriebsart (Wahrscheinlichkeit des Versagens, seine Designfunktion bei Bedarf auszuführen)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Schutzsysteme
Dieses Dokument umreißt die technischen Anforderungen, die der Entwickler eines sicherheitsbezogenen E/E/PE-Systems berücksichtigen sollte, um das erforderliche Sicherheitsintegritätslevel-Ziel zu erreichen. Der Schwerpunkt liegt auf einem typischen Schutzsystem, das programmierbare Elektronik verwendet, um eine eingehendere Diskussion der Schlüsselthemen mit wenig Verlust an Allgemeingültigkeit zu ermöglichen. Ein typisches Schutzsystem ist in Abbildung 3 dargestellt, die ein einkanaliges Sicherheitssystem mit einer sekundären Abschaltung darstellt, die über ein Diagnosegerät aktiviert wird. Im Normalbetrieb wird der unsichere Zustand des EUC (z. B. Überdrehzahl in einer Maschine, hohe Temperatur in einer Chemieanlage) vom Sensor erkannt und an die programmierbare Elektronik übermittelt, die den Stellgliedern (über die Ausgangsrelais) den Befehl zum Setzen gibt das System in einen sicheren Zustand (z. B. Ausschalten des Elektromotors der Maschine, Öffnen eines Ventils zum Druckentlasten).
Abbildung 3. Typisches Schutzsystem
Was aber, wenn die Komponenten des Schutzsystems ausfallen? Dies ist die Funktion der Sekundärabschaltung, die durch die Diagnose (Selbstüberprüfung) dieser Konstruktion aktiviert wird. Das System ist jedoch nicht vollständig ausfallsicher, da das Design nur mit einer bestimmten Wahrscheinlichkeit verfügbar ist, wenn es zur Ausführung seiner Sicherheitsfunktion aufgefordert wird (es hat eine bestimmte Ausfallwahrscheinlichkeit oder einen bestimmten Sicherheitsintegritätslevel). Beispielsweise könnte das obige Design in der Lage sein, bestimmte Arten von Ausgangskartenfehlern zu erkennen und zu tolerieren, aber es wäre nicht in der Lage, einem Fehler der Eingangskarte zu widerstehen. Daher ist seine Sicherheitsintegrität viel geringer als die eines Designs mit einer Eingangskarte mit höherer Zuverlässigkeit oder verbesserter Diagnose oder einer Kombination davon.
Andere mögliche Ursachen für Kartenausfälle sind „klassische“ physikalische Fehler in der Hardware, systematische Fehler einschließlich Fehler in der Anforderungsspezifikation, Implementierungsfehler in der Software und unzureichender Schutz vor Umwelteinflüssen (z. B. Feuchtigkeit). Die Diagnose in diesem einkanaligen Design kann möglicherweise nicht alle diese Fehlerarten abdecken, wodurch der in der Praxis erreichte Sicherheitsintegritätslevel eingeschränkt wird. (Die Abdeckung ist ein Maß für den Prozentsatz der Fehler, die ein Design erkennen und sicher handhaben kann.)
Technische Anforderungen
Die Teile 2 und 3 des IEC 1508-Entwurfs bieten einen Rahmen für die Identifizierung der verschiedenen potenziellen Fehlerursachen in Hardware und Software und für die Auswahl von Konstruktionsmerkmalen, die diese potenziellen Fehlerursachen entsprechend dem erforderlichen Sicherheitsintegritätslevel des sicherheitsbezogenen Systems überwinden. Der allgemeine technische Ansatz für das Schutzsystem in Abbildung 3 ist beispielsweise in Abbildung 4 dargestellt. Die Abbildung zeigt die zwei grundlegenden Strategien zur Überwindung von Fehlern und Ausfällen: (1) Fehlervermeidung, wo darauf geachtet wird, dass keine Fehler entstehen; und 2) Fehlertoleranz, wo das Design speziell erstellt wird, um bestimmte Fehler zu tolerieren. Das oben erwähnte einkanalige System ist ein Beispiel für ein (begrenztes) fehlertolerantes Design, bei dem die Diagnose verwendet wird, um bestimmte Fehler zu erkennen und das System in einen sicheren Zustand zu versetzen, bevor ein gefährlicher Fehler auftreten kann.
Abbildung 4. Designspezifikation: Designlösung
Fehlervermeidung
Fehlervermeidung versucht zu verhindern, dass Fehler in ein System eingeführt werden. Der Hauptansatz besteht darin, eine systematische Methode zum Management des Projekts zu verwenden, sodass Sicherheit als definierbare und kontrollierbare Qualität eines Systems behandelt wird, während des Entwurfs und anschließend während des Betriebs und der Wartung. Der qualitätssicherungsähnliche Ansatz basiert auf dem Feedback-Konzept und umfasst: (1) Planung (Definition von Sicherheitszielen, Ermittlung der Mittel und Wege zur Erreichung der Ziele); (2) Messen Leistung gegenüber dem Plan während der Umsetzung und (3) Anwendung Feedback eventuelle Abweichungen zu korrigieren. Design Reviews sind ein gutes Beispiel für eine Technik zur Fehlervermeidung. In IEC 1508 wird dieser „Qualitäts“-Ansatz zur Fehlervermeidung durch die Anforderungen erleichtert, einen Sicherheitslebenszyklus zu verwenden und Sicherheitsmanagementverfahren sowohl für Hardware als auch für Software einzusetzen. Für letztere manifestieren sich diese oft als Software-Qualitätssicherungsverfahren, wie sie in ISO 9000-3 (1990) beschrieben sind.
Darüber hinaus stufen die Teile 2 und 3 der IEC 1508 (in Bezug auf Hardware bzw. Software) bestimmte Techniken oder Maßnahmen ein, die für die Fehlervermeidung während der verschiedenen Phasen des Sicherheitslebenszyklus als nützlich erachtet werden. Tabelle 2 zeigt ein Beispiel aus Teil 3 für die Entwurfs- und Entwicklungsphase von Software. Der Konstrukteur würde die Tabelle verwenden, um bei der Auswahl von Techniken zur Fehlervermeidung zu helfen, abhängig von der erforderlichen Sicherheitsintegritätsstufe. Für jede Technik oder Maßnahme in den Tabellen gibt es eine Empfehlung für jeden Sicherheitsintegritätslevel, 1 bis 4. Das Spektrum der Empfehlungen umfasst „Sehr empfehlenswert“ (HR), „Empfohlen“ (R), „Neutral“ – weder dafür noch dagegen (–) und „Nicht empfohlen“. (NR.).
Tabelle 2. Softwaredesign und -entwicklung
Technik/Maßnahme |
SIL 1 |
SIL 2 |
SIL 3 |
SIL 4 |
1. Formale Methoden wie zB CCS, CSP, HOL, LOTOS |
- |
R |
R |
HR |
2. Semi-formale Methoden |
HR |
HR |
HR |
HR |
3. Strukturiert. Methodik einschließlich beispielsweise JSD, MASCOT, SADT, SSADM und YOURDON |
HR |
HR |
HR |
HR |
4. Modularer Ansatz |
HR |
HR |
HR |
HR |
5. Design- und Codierungsstandards |
R |
HR |
HR |
HR |
HR = sehr empfehlenswert; R = empfohlen; NR = nicht empfohlen;— = neutral: Die Technik/Maßnahme ist weder für noch gegen den SIL.
Hinweis: Eine nummerierte Technik/Maßnahme muss entsprechend dem Sicherheitsintegritätslevel ausgewählt werden.
Fehlertoleranz
IEC 1508 fordert mit steigendem Sicherheitsintegritätsziel immer höhere Fehlertoleranzniveaus. Die Norm erkennt jedoch an, dass Fehlertoleranz wichtiger ist, wenn Systeme (und die Komponenten, aus denen diese Systeme bestehen) komplex sind (in IEC 1508 als Typ B bezeichnet). Für weniger komplexe, „gut bewährte“ Systeme kann der Grad der Fehlertoleranz gelockert werden.
Toleranz gegenüber zufälligen Hardwarefehlern
Tabelle 3 zeigt die Anforderungen an die Fehlertoleranz gegen zufällige Hardwareausfälle in komplexen Hardwarekomponenten (z. B. Mikroprozessoren), wenn sie in einem Schutzsystem wie in Abbildung 3 verwendet werden. Der Konstrukteur muss möglicherweise eine geeignete Kombination aus Diagnose, Fehlertoleranz und manuelle Proof-Checks zur Überwindung dieser Fehlerklasse, abhängig vom geforderten Safety Integrity Level.
Tabelle 3. Sicherheitsintegritätslevel – Fehleranforderungen für Typ-B-Komponenten1
1 Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung entdeckt werden.
2 Bei Komponenten ohne mittlere Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.
3 Bei Komponenten mit hoher Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Bei Komponenten ohne hohe Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorhandensein von zwei Fehlern auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.
4 Die Komponenten müssen in der Lage sein, die Sicherheitsfunktion bei Vorliegen von zwei Fehlern auszuführen. Fehler müssen mit hoher Online-Diagnoseabdeckung erkannt werden. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden. Quantitative Hardwareanalysen müssen auf Worst-Case-Annahmen beruhen.
1Komponenten, deren Fehlermodi nicht gut definiert oder testbar sind oder für die es schlechte Fehlerdaten aus der Praxis gibt (z. B. programmierbare elektronische Komponenten).
IEC 1508 unterstützt den Designer durch Bereitstellung von Designspezifikationstabellen (siehe Tabelle 4) mit Designparametern, die mit dem Sicherheitsintegritätslevel für eine Reihe häufig verwendeter Schutzsystemarchitekturen indiziert sind.
Tabelle 4. Anforderungen für Sicherheitsintegritätslevel 2 – Programmierbare elektronische Systemarchitekturen für Schutzsysteme
Konfiguration des PE-Systems |
Diagnoseabdeckung pro Kanal |
Offline-Proof-Test-Intervall (TI) |
Mittlere Zeit bis zur Fehlauslösung |
Single PE, Single I/O, Ext. WD |
High |
6 Monate |
1.6 Jahre |
Doppelte PE, einzelne E/A |
High |
6 Monate |
10 Jahre |
Dual PE, Dual I/O, 2oo2 |
High |
3 Monate |
1,281 Jahre |
Dual PE, Dual I/O, 1oo2 |
Andere |
2 Monate |
1.4 Jahre |
Dual PE, Dual I/O, 1oo2 |
Sneaker |
5 Monate |
1.0 Jahre |
Dual PE, Dual I/O, 1oo2 |
Medium |
18 Monate |
0.8 Jahre |
Dual PE, Dual I/O, 1oo2 |
High |
36 Monate |
0.8 Jahre |
Dual PE, Dual I/O, 1oo2D |
Andere |
2 Monate |
1.9 Jahre |
Dual PE, Dual I/O, 1oo2D |
Sneaker |
4 Monate |
4.7 Jahre |
Dual PE, Dual I/O, 1oo2D |
Medium |
18 Monate |
18 Jahre |
Dual PE, Dual I/O, 1oo2D |
High |
48 + Monate |
168 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Andere |
1 Monat |
20 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Sneaker |
3 Monate |
25 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Medium |
12 Monate |
30 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
High |
48 + Monate |
168 Jahre |
Die erste Spalte der Tabelle stellt Architekturen mit unterschiedlichem Grad an Fehlertoleranz dar. Im Allgemeinen haben Architekturen, die am unteren Ende der Tabelle platziert sind, einen höheren Grad an Fehlertoleranz als die am oberen Rand. Ein 1oo2-System (eins von zwei) kann jedem Fehler standhalten, ebenso wie 2oo3.
Die zweite Spalte beschreibt die prozentuale Abdeckung aller internen Diagnosen. Je höher die Diagnosestufe, desto mehr Fehler werden erfasst. In einem Schutzsystem ist dies wichtig, da, sofern die fehlerhafte Komponente (z. B. eine Eingangskarte) innerhalb einer angemessenen Zeit (oft 8 Stunden) repariert wird, die funktionale Sicherheit kaum beeinträchtigt wird. (Hinweis: Dies wäre bei einem kontinuierlichen Kontrollsystem nicht der Fall, da jeder Fehler wahrscheinlich einen unmittelbaren unsicheren Zustand und die Möglichkeit eines Zwischenfalls verursacht.)
Die dritte Spalte zeigt das Intervall zwischen den Wiederholungsprüfungen. Dies sind spezielle Tests, die durchgeführt werden müssen, um das Schutzsystem gründlich zu testen, um sicherzustellen, dass keine latenten Fehler vorhanden sind. Typischerweise werden diese vom Anlagenlieferanten während Anlagenstillstandszeiten durchgeführt.
Die vierte Spalte zeigt die Nebenauslöserate. Eine Fehlauslösung bewirkt, dass die Anlage oder Ausrüstung abgeschaltet wird, wenn keine Prozessabweichung vorliegt. Der Preis für die Sicherheit ist oft eine höhere Fehlauslösungsrate. Ein einfaches redundantes Schutzsystem – 1oo2 – hat bei allen anderen Designfaktoren einen höheren Safety Integrity Level, aber auch eine höhere Nebenauslöserate als ein einkanaliges (1oo1) System.
Wenn eine der Architekturen in der Tabelle nicht verwendet wird oder wenn der Designer eine grundlegendere Analyse durchführen möchte, lässt die IEC 1508 diese Alternative zu. Reliability-Engineering-Techniken wie die Markov-Modellierung können dann verwendet werden, um das Hardwareelement des Sicherheitsintegritätslevels zu berechnen (Johnson 1989; Goble 1992).
Toleranz gegenüber systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache
Diese Fehlerklasse ist in Sicherheitssystemen sehr wichtig und ist der begrenzende Faktor für das Erreichen der Sicherheitsintegrität. In einem redundanten System wird eine Komponente oder ein Teilsystem oder sogar das gesamte System dupliziert, um eine hohe Zuverlässigkeit von weniger zuverlässigen Teilen zu erreichen. Die Zuverlässigkeitsverbesserung tritt auf, weil statistisch gesehen die Wahrscheinlichkeit, dass zwei Systeme gleichzeitig durch zufällige Fehler ausfallen, das Produkt der Zuverlässigkeiten der einzelnen Systeme ist und daher viel geringer ist. Andererseits führen systematische Fehler gemeinsamer Ursache zum zufälligen Ausfall redundanter Systeme, wenn beispielsweise ein Spezifikationsfehler in der Software dazu führt, dass die duplizierten Teile gleichzeitig ausfallen. Ein weiteres Beispiel wäre der Ausfall einer gemeinsamen Stromversorgung eines redundanten Systems.
IEC 1508 enthält Tabellen mit Engineering-Techniken, die nach dem Safety Integrity Level geordnet sind, das als wirksam zum Schutz vor systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache angesehen wird.
Beispiele für Techniken zum Schutz vor systematischen Fehlern sind Vielfalt und analytische Redundanz. Die Grundlage der Diversität besteht darin, dass, wenn ein Designer einen zweiten Kanal in einem redundanten System unter Verwendung einer anderen Technologie oder Softwaresprache implementiert, dann Fehler in den redundanten Kanälen als unabhängig betrachtet werden können (dh eine geringe Wahrscheinlichkeit eines zufälligen Ausfalls). Insbesondere im Bereich softwarebasierter Systeme gibt es jedoch einige Hinweise darauf, dass diese Technik möglicherweise nicht effektiv ist, da die meisten Fehler in der Spezifikation liegen. Analytische Redundanz versucht, redundante Informationen in der Anlage oder Maschine auszunutzen, um Fehler zu identifizieren. Für die anderen Ursachen systematischer Ausfälle – zum Beispiel äußere Belastungen – stellt die Norm Tabellen mit Ratschlägen zu bewährten technischen Verfahren (z. B. Trennung von Signal- und Stromkabeln) zur Verfügung, die mit dem Sicherheitsintegritätslevel indiziert sind.
Schlussfolgerungen
Computerbasierte Systeme bieten viele Vorteile – nicht nur wirtschaftliche, sondern auch das Potenzial zur Verbesserung der Sicherheit. Allerdings ist die Detailgenauigkeit zur Realisierung dieses Potenzials deutlich höher als bei konventionellen Systemkomponenten. Dieser Artikel hat die wichtigsten technischen Anforderungen skizziert, die ein Designer berücksichtigen muss, um diese Technologie erfolgreich zu nutzen.
Dieser Artikel behandelt den Entwurf und die Implementierung sicherheitsbezogener Steuerungssysteme, die sich mit allen Arten von elektrischen, elektronischen und programmierbaren elektronischen Systemen (einschließlich computergestützter Systeme) befassen. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission (IEC) Standard 1508 (Funktionale Sicherheit: Sicherheitsbezogen
Systeme und Techniken) (IEC 1993).
Hintergrund
In den 1980er Jahren wurden zunehmend computerbasierte Systeme – allgemein als programmierbare elektronische Systeme (PES) bezeichnet – zur Ausführung von Sicherheitsfunktionen eingesetzt. Treibende Kräfte hinter diesem Trend waren (1) verbesserte Funktionalität und wirtschaftliche Vorteile (insbesondere unter Berücksichtigung des Gesamtlebenszyklus des Geräts oder Systems) und (2) der besondere Nutzen bestimmter Designs, der nur durch den Einsatz von Computertechnologie realisiert werden konnte . Bei der frühen Einführung computergestützter Systeme wurden eine Reihe von Erkenntnissen gewonnen:
Um diese Probleme zu lösen, haben mehrere Gremien Richtlinien veröffentlicht oder mit der Entwicklung begonnen, um die sichere Nutzung der PES-Technologie zu ermöglichen. In Großbritannien hat die Health and Safety Executive (HSE) Richtlinien für programmierbare elektronische Systeme für sicherheitsrelevante Anwendungen entwickelt, und in Deutschland wurde ein Normentwurf (DIN 1990) veröffentlicht. Innerhalb der Europäischen Gemeinschaft wurde im Zusammenhang mit den Anforderungen der Maschinenrichtlinie ein wichtiger Teil der Arbeit an harmonisierten europäischen Normen für sicherheitsbezogene Steuerungssysteme (einschließlich solcher mit PES) begonnen. In den Vereinigten Staaten hat die Instrument Society of America (ISA) einen Standard für PES zur Verwendung in der Prozessindustrie erstellt, und das Center for Chemical Process Safety (CCPS), eine Direktion des American Institute of Chemical Engineers, hat Richtlinien erstellt für den chemischen Prozesssektor.
Derzeit findet innerhalb der IEC eine große Normungsinitiative statt, um eine generisch basierte internationale Norm für elektrische, elektronische und programmierbare elektronische (E/E/PES) sicherheitsbezogene Systeme zu entwickeln, die von den vielen Anwendungssektoren verwendet werden könnte, einschließlich der Prozess-, Medizin-, Transport- und Maschinensektor. Die vorgeschlagene internationale IEC-Norm umfasst sieben Teile unter dem allgemeinen Titel IEC 1508. Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer sicherheitsbezogener Systeme. Die verschiedenen Teile sind wie folgt:
Nach ihrer Fertigstellung wird diese generisch basierte Internationale Norm eine grundlegende IEC-Sicherheitsveröffentlichung darstellen, die die funktionale Sicherheit für elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme abdeckt und Auswirkungen auf alle IEC-Normen haben wird, die alle Anwendungsbereiche in Bezug auf die zukünftige Gestaltung und Verwendung abdecken elektrische/elektronische/programmierbare elektronische sicherheitsbezogene Systeme. Ein Hauptziel des vorgeschlagenen Standards ist es, die Entwicklung von Standards für die verschiedenen Sektoren zu erleichtern (siehe Abbildung 1).
Abbildung 1. Generische Standards und Anwendungssektorstandards
PES Vorteile und Probleme
Die Einführung von PES für Sicherheitszwecke hatte viele potenzielle Vorteile, aber es wurde erkannt, dass diese nur erreicht werden würden, wenn geeignete Design- und Bewertungsmethoden verwendet würden, weil: (1) viele der Merkmale von PES die Sicherheitsintegrität nicht ermöglichen (dass ist die Sicherheitsleistung der Systeme, die die erforderlichen Sicherheitsfunktionen ausführen), die mit dem gleichen Grad an Zuverlässigkeit vorhergesagt werden können, der traditionell für weniger komplexe hardwarebasierte („festverdrahtete“) Systeme verfügbar war; (2) Es wurde anerkannt, dass Tests für komplexe Systeme zwar notwendig, aber allein nicht ausreichend sind. Dies bedeutete, dass selbst wenn das PES relativ einfache Sicherheitsfunktionen implementierte, der Komplexitätsgrad der programmierbaren Elektronik deutlich höher war als der der festverdrahteten Systeme, die sie ersetzten; und (3) dieser Anstieg der Komplexität bedeutete, dass den Entwurfs- und Bewertungsmethoden viel mehr Beachtung geschenkt werden musste als zuvor, und dass das Maß an persönlicher Kompetenz, das erforderlich war, um ein angemessenes Leistungsniveau der sicherheitsbezogenen Systeme zu erreichen, anschließend höher war.
Zu den Vorteilen computergestützter PES gehören:
Der Einsatz computergestützter Systeme in sicherheitsbezogenen Anwendungen wirft eine Reihe von Problemen auf, die angemessen angegangen werden müssen, wie z. B. die folgenden:
Sicherheitssysteme in Betracht gezogen
Die betrachteten Arten von sicherheitsbezogenen Systemen sind elektrische, elektronische und programmierbare elektronische Systeme (E/E/PES). Das System umfasst alle Elemente, insbesondere Signale, die von Sensoren oder anderen Eingabegeräten an der zu steuernden Ausrüstung ausgehen und über Datenautobahnen oder andere Kommunikationswege zu den Aktuatoren oder anderen Ausgabegeräten übertragen werden (siehe Abbildung 2).
Abbildung 2. Elektrisches, elektronisches und programmierbares elektronisches System (E/E/PES)
Die elektrische, elektronische und programmierbare elektronische Geräte wurde verwendet, um eine Vielzahl von Geräten zu umfassen, und deckt die folgenden drei Hauptklassen ab:
Per Definition dient ein sicherheitsbezogenes System zwei Zwecken:
Dieses Konzept ist in Abbildung 3 dargestellt.
Abbildung 3. Hauptmerkmale sicherheitsbezogener Systeme
Systemfehler
Um einen sicheren Betrieb von sicherheitsbezogenen E/E/PES-Systemen zu gewährleisten, ist es erforderlich, die verschiedenen möglichen Ursachen für sicherheitsbezogene Systemausfälle zu erkennen und dafür zu sorgen, dass jeweils angemessene Vorkehrungen getroffen werden. Fehler werden in zwei Kategorien eingeteilt, wie in Abbildung 4 dargestellt.
Abbildung 4. Fehlerkategorien
Schutz sicherheitsbezogener Systeme
Die Begriffe, die verwendet werden, um die Vorsichtsmaßnahmen anzugeben, die ein sicherheitsbezogenes System zum Schutz vor zufälligen Hardwareausfällen und systematischen Ausfällen erfordert, sind Hardware-Sicherheitsintegritätsmaßnahmen und systematische Sicherheitsintegritätsmaßnahmen beziehungsweise. Vorkehrungen, die ein sicherheitsbezogenes System sowohl gegen zufällige Hardwareausfälle als auch gegen systematische Ausfälle treffen kann, werden genannt Sicherheitsintegrität. Diese Konzepte sind in Abbildung 5 dargestellt.
Abbildung 5. Begriffe zur Sicherheitsleistung
Innerhalb des vorgeschlagenen internationalen Standards IEC 1508 gibt es vier Stufen der Sicherheitsintegrität, die als Sicherheitsintegritätsstufen 1, 2, 3 und 4 bezeichnet werden. Sicherheitsintegritätsstufe 1 ist die niedrigste Sicherheitsintegritätsstufe und Sicherheitsintegritätsstufe 4 ist die höchste. Der Sicherheitsintegritätslevel (ob 1, 2, 3 oder 4) für das sicherheitsbezogene System hängt von der Bedeutung der Rolle ab, die das sicherheitsbezogene System beim Erreichen des erforderlichen Sicherheitsniveaus für die gesteuerte Ausrüstung spielt. Es können mehrere sicherheitsbezogene Systeme erforderlich sein, von denen einige auf pneumatischer oder hydraulischer Technologie basieren können.
Entwurf sicherheitsbezogener Systeme
Eine kürzlich durchgeführte Analyse von 34 Vorfällen mit Steuerungssystemen (HSE) ergab, dass 60 % aller Fehlerfälle „eingebaut“ waren, bevor das sicherheitsbezogene Steuerungssystem in Betrieb genommen wurde (Abbildung 7). Die Betrachtung aller Phasen des Sicherheitslebenszyklus ist notwendig, um adäquate sicherheitsbezogene Systeme herzustellen.
Abbildung 7. Hauptursache (nach Phase) des Ausfalls des Steuerungssystems
Die funktionale Sicherheit sicherheitsbezogener Systeme hängt nicht nur davon ab, sicherzustellen, dass die technischen Anforderungen ordnungsgemäß spezifiziert sind, sondern auch sicherzustellen, dass die technischen Anforderungen effektiv umgesetzt werden und dass die ursprüngliche Designintegrität während der gesamten Lebensdauer der Ausrüstung erhalten bleibt. Dies kann nur verwirklicht werden, wenn ein wirksames Sicherheitsmanagementsystem vorhanden ist und die an einer Tätigkeit beteiligten Personen in Bezug auf die von ihnen zu erfüllenden Aufgaben kompetent sind. Gerade wenn es um komplexe sicherheitsrelevante Systeme geht, ist ein adäquates Sicherheitsmanagementsystem unerlässlich. Dies führt zu einer Strategie, die Folgendes sicherstellt:
Um alle relevanten technischen Anforderungen der funktionalen Sicherheit systematisch zu adressieren, wurde das Konzept des Safety Lifecycle entwickelt. Eine vereinfachte Version des Sicherheitslebenszyklus in der neuen internationalen Norm IEC 1508 ist in Abbildung 8 dargestellt. Die wichtigsten Phasen des Sicherheitslebenszyklus sind:
Abbildung 8. Rolle des Sicherheitslebenszyklus beim Erreichen funktionaler Sicherheit
Sicherheitsstufe
Die Entwurfsstrategie zum Erreichen angemessener Sicherheitsintegritätsniveaus für die sicherheitsbezogenen Systeme ist in Abbildung 9 und Abbildung 10 dargestellt. Ein Sicherheitsintegritätsniveau basiert auf der Rolle, die das sicherheitsbezogene System beim Erreichen des Gesamtniveaus spielt der Sicherheit für die zu kontrollierende Ausrüstung. Der Sicherheitsintegritätslevel gibt die Vorkehrungen an, die bei der Konstruktion sowohl gegen zufällige Hardware- als auch gegen systematische Ausfälle zu berücksichtigen sind.
Abbildung 9. Rolle der Sicherheitsintegritätsstufen im Designprozess
Abbildung 10. Rolle des Sicherheitslebenszyklus im Spezifikations- und Designprozess
Das Konzept der Sicherheit und des Sicherheitsniveaus gilt für die zu steuernde Ausrüstung. Für die sicherheitsbezogenen Systeme gilt das Konzept der funktionalen Sicherheit. Die funktionale Sicherheit der sicherheitsbezogenen Systeme muss erreicht werden, wenn ein angemessenes Sicherheitsniveau für die gefährdenden Geräte erreicht werden soll. Das spezifizierte Sicherheitsniveau für eine bestimmte Situation ist ein Schlüsselfaktor in der Spezifikation der Anforderungen an die Sicherheitsintegrität für die sicherheitsbezogenen Systeme.
Das erforderliche Sicherheitsniveau hängt von vielen Faktoren ab, z. B. der Schwere der Verletzung, der Anzahl der gefährdeten Personen, der Häufigkeit, mit der Personen einer Gefahr ausgesetzt sind, und der Dauer der Exposition. Wichtige Faktoren werden die Wahrnehmung und Ansichten derjenigen sein, die dem gefährlichen Ereignis ausgesetzt sind. Um ein angemessenes Sicherheitsniveau für eine bestimmte Anwendung zu ermitteln, werden eine Reihe von Eingaben berücksichtigt, darunter die folgenden:
Zusammenfassung
Beim Entwerfen und Verwenden von sicherheitsbezogenen Systemen muss berücksichtigt werden, dass es die zu steuernden Geräte sind, die die potenzielle Gefahr erzeugen. Die sicherheitsbezogenen Systeme sind darauf ausgelegt, die Häufigkeit (oder Wahrscheinlichkeit) des gefährlichen Ereignisses und/oder die Folgen des gefährlichen Ereignisses zu reduzieren. Sobald das Sicherheitsniveau für die Ausrüstung festgelegt wurde, kann das Sicherheitsintegritätsniveau für das sicherheitsbezogene System bestimmt werden, und es ist das Sicherheitsintegritätsniveau, das es dem Konstrukteur ermöglicht, die Vorsichtsmaßnahmen anzugeben, die in das Design eingebaut werden müssen sowohl gegen zufällige Hardware als auch gegen systematische Ausfälle eingesetzt werden.
HAFTUNGSAUSSCHLUSS: Die ILO übernimmt keine Verantwortung für auf diesem Webportal präsentierte Inhalte, die in einer anderen Sprache als Englisch präsentiert werden, der Sprache, die für die Erstproduktion und Peer-Review von Originalinhalten verwendet wird. Bestimmte Statistiken wurden seitdem nicht aktualisiert die Produktion der 4. Auflage der Encyclopaedia (1998)."