Maschinen, Prozessanlagen und andere Geräte können bei Fehlfunktionen Risiken durch gefährliche Ereignisse wie Brände, Explosionen, Überdosierungen von Strahlung und bewegliche Teile darstellen. Eine der Ursachen für Fehlfunktionen solcher Anlagen, Geräte und Maschinen sind Ausfälle elektromechanischer, elektronischer und programmierbarer elektronischer (E/E/PE) Geräte, die beim Entwurf ihrer Steuerungs- oder Sicherheitssysteme verwendet werden. Diese Ausfälle können entweder durch physische Fehler im Gerät entstehen (z. B. durch zeitlich zufällig auftretenden Verschleiß (zufällige Hardwareausfälle)); oder von systematischen Fehlern (z. B. Fehlern in der Spezifikation und dem Design eines Systems, die dazu führen, dass es aufgrund (1) einer bestimmten Kombination von Eingaben, (2) einer Umgebungsbedingung, (3) falscher oder unvollständiger Eingaben von Sensoren, ( 4) unvollständige oder fehlerhafte Dateneingabe durch Bediener und (5) potenzielle systematische Fehler aufgrund eines schlechten Schnittstellendesigns).

Sicherheitsrelevante Systemausfälle

Dieser Artikel behandelt die funktionale Sicherheit sicherheitsbezogener Steuerungssysteme und betrachtet die technischen Hardware- und Softwareanforderungen, die zum Erreichen der erforderlichen Sicherheitsintegrität erforderlich sind. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission Standard IEC 1508, Teile 2 und 3 (IEC 1993). Das übergeordnete Ziel des Entwurfs der internationalen Norm IEC 1508, Funktionale Sicherheit: Sicherheitsbezogene Systeme, soll sicherstellen, dass Anlagen und Ausrüstungen sicher automatisiert werden können. Ein Hauptziel bei der Entwicklung des vorgeschlagenen internationalen Standards ist die Vermeidung oder Minimierung der Häufigkeit von:

• Ausfälle von Steuerungssystemen, die andere Ereignisse auslösen, die wiederum zu Gefahren führen könnten (z. B. Ausfall des Steuerungssystems, Verlust der Steuerung, Prozess außer Kontrolle, was zu einem Brand, Freisetzung giftiger Materialien usw.)
• Ausfälle in Alarm- und Überwachungssystemen, so dass die Bediener Informationen nicht in einer Form erhalten, die schnell identifiziert und verstanden werden können, um die erforderlichen Notfallmaßnahmen durchzuführen
• unerkannte Fehler in Schutzsystemen, wodurch sie nicht verfügbar sind, wenn sie für eine Sicherheitsaktion benötigt werden (z. B. eine ausgefallene Eingangskarte in einem Notabschaltsystem).

Der Artikel „Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme“ beschreibt den allgemeinen Sicherheitsmanagementansatz, der in Teil 1 der IEC 1508 verkörpert ist, um die Sicherheit von Steuerungs- und Schutzsystemen zu gewährleisten, die für die Sicherheit wichtig sind. Dieser Artikel beschreibt das allgemeine konzeptionelle Engineering-Design, das erforderlich ist, um das Unfallrisiko auf ein akzeptables Niveau zu reduzieren, einschließlich der Rolle von Kontroll- oder Schutzsystemen auf der Grundlage von E/E/PE-Technologie.

In Abbildung 1 wird das Risiko von der Ausrüstung, der Prozessanlage oder der Maschine (allgemein bezeichnet als Geräte im Griff (EUC) ohne Schutzvorrichtungen) ist an einem Ende der EUC-Risikoskala markiert, und das angestrebte Risikoniveau, das erforderlich ist, um das erforderliche Sicherheitsniveau zu erreichen, befindet sich am anderen Ende. Dazwischen wird die Kombination aus sicherheitsbezogenen Systemen und externen Risikominderungseinrichtungen gezeigt, die erforderlich ist, um die erforderliche Risikominderung zu erreichen. Diese können unterschiedlicher Art sein – mechanische (z. B. Druckentlastungsventile), hydraulische, pneumatische, physikalische sowie E/E/PE-Systeme. Abbildung 2 betont die Rolle jeder Sicherheitsschicht beim Schutz des EUC im Verlauf des Unfalls.

Abbildung 1. Risikominderung: Allgemeine Konzepte

Abbildung 2. Gesamtmodell: Schutzschichten

Vorausgesetzt, dass eine Gefahren- und Risikoanalyse am EUC durchgeführt wurde, wie in Teil 1 von IEC 1508 gefordert, wurde das Gesamtkonzept für die Sicherheit erstellt und somit die erforderlichen Funktionen und das Ziel des Sicherheitsintegritätslevels (SIL) für jedes E/E/ PE-Steuerungs- oder Schutzsystem wurden definiert. Das Ziel des Sicherheitsintegritätslevels wird in Bezug auf eine Zielausfallmaßnahme definiert (siehe Tabelle 1).

Tabelle 1. Sicherheitsintegritätslevel für Schutzsysteme: Zielausfallmaßnahmen

Sicherheitsintegritätslevel                        Demand-Betriebsart (Wahrscheinlichkeit des Versagens, seine Designfunktion bei Bedarf auszuführen)

4 10^-5 ≤ × 10^-4

3 10^-4 ≤ × 10^-3

2 10^-3 ≤ × 10^-2

1 10^-2 ≤ × 10^-1 

Schutzsysteme

Dieses Dokument umreißt die technischen Anforderungen, die der Entwickler eines sicherheitsbezogenen E/E/PE-Systems berücksichtigen sollte, um das erforderliche Sicherheitsintegritätslevel-Ziel zu erreichen. Der Schwerpunkt liegt auf einem typischen Schutzsystem, das programmierbare Elektronik verwendet, um eine eingehendere Diskussion der Schlüsselthemen mit wenig Verlust an Allgemeingültigkeit zu ermöglichen. Ein typisches Schutzsystem ist in Abbildung 3 dargestellt, die ein einkanaliges Sicherheitssystem mit einer sekundären Abschaltung darstellt, die über ein Diagnosegerät aktiviert wird. Im Normalbetrieb wird der unsichere Zustand des EUC (z. B. Überdrehzahl in einer Maschine, hohe Temperatur in einer Chemieanlage) vom Sensor erkannt und an die programmierbare Elektronik übermittelt, die den Stellgliedern (über die Ausgangsrelais) den Befehl zum Setzen gibt das System in einen sicheren Zustand (z. B. Ausschalten des Elektromotors der Maschine, Öffnen eines Ventils zum Druckentlasten).

Abbildung 3. Typisches Schutzsystem

Was aber, wenn die Komponenten des Schutzsystems ausfallen? Dies ist die Funktion der Sekundärabschaltung, die durch die Diagnose (Selbstüberprüfung) dieser Konstruktion aktiviert wird. Das System ist jedoch nicht vollständig ausfallsicher, da das Design nur mit einer bestimmten Wahrscheinlichkeit verfügbar ist, wenn es zur Ausführung seiner Sicherheitsfunktion aufgefordert wird (es hat eine bestimmte Ausfallwahrscheinlichkeit oder einen bestimmten Sicherheitsintegritätslevel). Beispielsweise könnte das obige Design in der Lage sein, bestimmte Arten von Ausgangskartenfehlern zu erkennen und zu tolerieren, aber es wäre nicht in der Lage, einem Fehler der Eingangskarte zu widerstehen. Daher ist seine Sicherheitsintegrität viel geringer als die eines Designs mit einer Eingangskarte mit höherer Zuverlässigkeit oder verbesserter Diagnose oder einer Kombination davon.

Andere mögliche Ursachen für Kartenausfälle sind „klassische“ physikalische Fehler in der Hardware, systematische Fehler einschließlich Fehler in der Anforderungsspezifikation, Implementierungsfehler in der Software und unzureichender Schutz vor Umwelteinflüssen (z. B. Feuchtigkeit). Die Diagnose in diesem einkanaligen Design kann möglicherweise nicht alle diese Fehlerarten abdecken, wodurch der in der Praxis erreichte Sicherheitsintegritätslevel eingeschränkt wird. (Die Abdeckung ist ein Maß für den Prozentsatz der Fehler, die ein Design erkennen und sicher handhaben kann.)

Technische Anforderungen

Die Teile 2 und 3 des IEC 1508-Entwurfs bieten einen Rahmen für die Identifizierung der verschiedenen potenziellen Fehlerursachen in Hardware und Software und für die Auswahl von Konstruktionsmerkmalen, die diese potenziellen Fehlerursachen entsprechend dem erforderlichen Sicherheitsintegritätslevel des sicherheitsbezogenen Systems überwinden. Der allgemeine technische Ansatz für das Schutzsystem in Abbildung 3 ist beispielsweise in Abbildung 4 dargestellt. Die Abbildung zeigt die zwei grundlegenden Strategien zur Überwindung von Fehlern und Ausfällen: (1) Fehlervermeidung, wo darauf geachtet wird, dass keine Fehler entstehen; und 2) Fehlertoleranz, wo das Design speziell erstellt wird, um bestimmte Fehler zu tolerieren. Das oben erwähnte einkanalige System ist ein Beispiel für ein (begrenztes) fehlertolerantes Design, bei dem die Diagnose verwendet wird, um bestimmte Fehler zu erkennen und das System in einen sicheren Zustand zu versetzen, bevor ein gefährlicher Fehler auftreten kann.

Abbildung 4. Designspezifikation: Designlösung

Fehlervermeidung

Fehlervermeidung versucht zu verhindern, dass Fehler in ein System eingeführt werden. Der Hauptansatz besteht darin, eine systematische Methode zum Management des Projekts zu verwenden, sodass Sicherheit als definierbare und kontrollierbare Qualität eines Systems behandelt wird, während des Entwurfs und anschließend während des Betriebs und der Wartung. Der qualitätssicherungsähnliche Ansatz basiert auf dem Feedback-Konzept und umfasst: (1) Planung (Definition von Sicherheitszielen, Ermittlung der Mittel und Wege zur Erreichung der Ziele); (2) Messen Leistung gegenüber dem Plan während der Umsetzung und (3) Anwendung Feedback eventuelle Abweichungen zu korrigieren. Design Reviews sind ein gutes Beispiel für eine Technik zur Fehlervermeidung. In IEC 1508 wird dieser „Qualitäts“-Ansatz zur Fehlervermeidung durch die Anforderungen erleichtert, einen Sicherheitslebenszyklus zu verwenden und Sicherheitsmanagementverfahren sowohl für Hardware als auch für Software einzusetzen. Für letztere manifestieren sich diese oft als Software-Qualitätssicherungsverfahren, wie sie in ISO 9000-3 (1990) beschrieben sind.

Darüber hinaus stufen die Teile 2 und 3 der IEC 1508 (in Bezug auf Hardware bzw. Software) bestimmte Techniken oder Maßnahmen ein, die für die Fehlervermeidung während der verschiedenen Phasen des Sicherheitslebenszyklus als nützlich erachtet werden. Tabelle 2 zeigt ein Beispiel aus Teil 3 für die Entwurfs- und Entwicklungsphase von Software. Der Konstrukteur würde die Tabelle verwenden, um bei der Auswahl von Techniken zur Fehlervermeidung zu helfen, abhängig von der erforderlichen Sicherheitsintegritätsstufe. Für jede Technik oder Maßnahme in den Tabellen gibt es eine Empfehlung für jeden Sicherheitsintegritätslevel, 1 bis 4. Das Spektrum der Empfehlungen umfasst „Sehr empfehlenswert“ (HR), „Empfohlen“ (R), „Neutral“ – weder dafür noch dagegen (–) und „Nicht empfohlen“. (NR.).

Tabelle 2. Softwaredesign und -entwicklung

HR = sehr empfehlenswert; R = empfohlen; NR = nicht empfohlen;— = neutral: Die Technik/Maßnahme ist weder für noch gegen den SIL.
Hinweis: Eine nummerierte Technik/Maßnahme muss entsprechend dem Sicherheitsintegritätslevel ausgewählt werden.

Fehlertoleranz

IEC 1508 fordert mit steigendem Sicherheitsintegritätsziel immer höhere Fehlertoleranzniveaus. Die Norm erkennt jedoch an, dass Fehlertoleranz wichtiger ist, wenn Systeme (und die Komponenten, aus denen diese Systeme bestehen) komplex sind (in IEC 1508 als Typ B bezeichnet). Für weniger komplexe, „gut bewährte“ Systeme kann der Grad der Fehlertoleranz gelockert werden.

Toleranz gegenüber zufälligen Hardwarefehlern

Tabelle 3 zeigt die Anforderungen an die Fehlertoleranz gegen zufällige Hardwareausfälle in komplexen Hardwarekomponenten (z. B. Mikroprozessoren), wenn sie in einem Schutzsystem wie in Abbildung 3 verwendet werden. Der Konstrukteur muss möglicherweise eine geeignete Kombination aus Diagnose, Fehlertoleranz und manuelle Proof-Checks zur Überwindung dieser Fehlerklasse, abhängig vom geforderten Safety Integrity Level.

Tabelle 3. Sicherheitsintegritätslevel – Fehleranforderungen für Typ-B-Komponenten¹

1 Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung entdeckt werden.

2 Bei Komponenten ohne mittlere Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.

3 Bei Komponenten mit hoher Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Bei Komponenten ohne hohe Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorhandensein von zwei Fehlern auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.

4 Die Komponenten müssen in der Lage sein, die Sicherheitsfunktion bei Vorliegen von zwei Fehlern auszuführen. Fehler müssen mit hoher Online-Diagnoseabdeckung erkannt werden. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden. Quantitative Hardwareanalysen müssen auf Worst-Case-Annahmen beruhen.

¹Komponenten, deren Fehlermodi nicht gut definiert oder testbar sind oder für die es schlechte Fehlerdaten aus der Praxis gibt (z. B. programmierbare elektronische Komponenten).

IEC 1508 unterstützt den Designer durch Bereitstellung von Designspezifikationstabellen (siehe Tabelle 4) mit Designparametern, die mit dem Sicherheitsintegritätslevel für eine Reihe häufig verwendeter Schutzsystemarchitekturen indiziert sind.

Tabelle 4. Anforderungen für Sicherheitsintegritätslevel 2 – Programmierbare elektronische Systemarchitekturen für Schutzsysteme

Die erste Spalte der Tabelle stellt Architekturen mit unterschiedlichem Grad an Fehlertoleranz dar. Im Allgemeinen haben Architekturen, die am unteren Ende der Tabelle platziert sind, einen höheren Grad an Fehlertoleranz als die am oberen Rand. Ein 1oo2-System (eins von zwei) kann jedem Fehler standhalten, ebenso wie 2oo3.

Die zweite Spalte beschreibt die prozentuale Abdeckung aller internen Diagnosen. Je höher die Diagnosestufe, desto mehr Fehler werden erfasst. In einem Schutzsystem ist dies wichtig, da, sofern die fehlerhafte Komponente (z. B. eine Eingangskarte) innerhalb einer angemessenen Zeit (oft 8 Stunden) repariert wird, die funktionale Sicherheit kaum beeinträchtigt wird. (Hinweis: Dies wäre bei einem kontinuierlichen Kontrollsystem nicht der Fall, da jeder Fehler wahrscheinlich einen unmittelbaren unsicheren Zustand und die Möglichkeit eines Zwischenfalls verursacht.)

Die dritte Spalte zeigt das Intervall zwischen den Wiederholungsprüfungen. Dies sind spezielle Tests, die durchgeführt werden müssen, um das Schutzsystem gründlich zu testen, um sicherzustellen, dass keine latenten Fehler vorhanden sind. Typischerweise werden diese vom Anlagenlieferanten während Anlagenstillstandszeiten durchgeführt.

Die vierte Spalte zeigt die Nebenauslöserate. Eine Fehlauslösung bewirkt, dass die Anlage oder Ausrüstung abgeschaltet wird, wenn keine Prozessabweichung vorliegt. Der Preis für die Sicherheit ist oft eine höhere Fehlauslösungsrate. Ein einfaches redundantes Schutzsystem – 1oo2 – hat bei allen anderen Designfaktoren einen höheren Safety Integrity Level, aber auch eine höhere Nebenauslöserate als ein einkanaliges (1oo1) System.

Wenn eine der Architekturen in der Tabelle nicht verwendet wird oder wenn der Designer eine grundlegendere Analyse durchführen möchte, lässt die IEC 1508 diese Alternative zu. Reliability-Engineering-Techniken wie die Markov-Modellierung können dann verwendet werden, um das Hardwareelement des Sicherheitsintegritätslevels zu berechnen (Johnson 1989; Goble 1992).

Toleranz gegenüber systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache

Diese Fehlerklasse ist in Sicherheitssystemen sehr wichtig und ist der begrenzende Faktor für das Erreichen der Sicherheitsintegrität. In einem redundanten System wird eine Komponente oder ein Teilsystem oder sogar das gesamte System dupliziert, um eine hohe Zuverlässigkeit von weniger zuverlässigen Teilen zu erreichen. Die Zuverlässigkeitsverbesserung tritt auf, weil statistisch gesehen die Wahrscheinlichkeit, dass zwei Systeme gleichzeitig durch zufällige Fehler ausfallen, das Produkt der Zuverlässigkeiten der einzelnen Systeme ist und daher viel geringer ist. Andererseits führen systematische Fehler gemeinsamer Ursache zum zufälligen Ausfall redundanter Systeme, wenn beispielsweise ein Spezifikationsfehler in der Software dazu führt, dass die duplizierten Teile gleichzeitig ausfallen. Ein weiteres Beispiel wäre der Ausfall einer gemeinsamen Stromversorgung eines redundanten Systems.

IEC 1508 enthält Tabellen mit Engineering-Techniken, die nach dem Safety Integrity Level geordnet sind, das als wirksam zum Schutz vor systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache angesehen wird.

Beispiele für Techniken zum Schutz vor systematischen Fehlern sind Vielfalt und analytische Redundanz. Die Grundlage der Diversität besteht darin, dass, wenn ein Designer einen zweiten Kanal in einem redundanten System unter Verwendung einer anderen Technologie oder Softwaresprache implementiert, dann Fehler in den redundanten Kanälen als unabhängig betrachtet werden können (dh eine geringe Wahrscheinlichkeit eines zufälligen Ausfalls). Insbesondere im Bereich softwarebasierter Systeme gibt es jedoch einige Hinweise darauf, dass diese Technik möglicherweise nicht effektiv ist, da die meisten Fehler in der Spezifikation liegen. Analytische Redundanz versucht, redundante Informationen in der Anlage oder Maschine auszunutzen, um Fehler zu identifizieren. Für die anderen Ursachen systematischer Ausfälle – zum Beispiel äußere Belastungen – stellt die Norm Tabellen mit Ratschlägen zu bewährten technischen Verfahren (z. B. Trennung von Signal- und Stromkabeln) zur Verfügung, die mit dem Sicherheitsintegritätslevel indiziert sind.

Schlussfolgerungen

Computerbasierte Systeme bieten viele Vorteile – nicht nur wirtschaftliche, sondern auch das Potenzial zur Verbesserung der Sicherheit. Allerdings ist die Detailgenauigkeit zur Realisierung dieses Potenzials deutlich höher als bei konventionellen Systemkomponenten. Dieser Artikel hat die wichtigsten technischen Anforderungen skizziert, die ein Designer berücksichtigen muss, um diese Technologie erfolgreich zu nutzen.

Zurück

Dieser Artikel behandelt den Entwurf und die Implementierung sicherheitsbezogener Steuerungssysteme, die sich mit allen Arten von elektrischen, elektronischen und programmierbaren elektronischen Systemen (einschließlich computergestützter Systeme) befassen. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission (IEC) Standard 1508 (Funktionale Sicherheit: Sicherheitsbezogen 

Systeme und Techniken) (IEC 1993).

Hintergrund

In den 1980er Jahren wurden zunehmend computerbasierte Systeme – allgemein als programmierbare elektronische Systeme (PES) bezeichnet – zur Ausführung von Sicherheitsfunktionen eingesetzt. Treibende Kräfte hinter diesem Trend waren (1) verbesserte Funktionalität und wirtschaftliche Vorteile (insbesondere unter Berücksichtigung des Gesamtlebenszyklus des Geräts oder Systems) und (2) der besondere Nutzen bestimmter Designs, der nur durch den Einsatz von Computertechnologie realisiert werden konnte . Bei der frühen Einführung computergestützter Systeme wurden eine Reihe von Erkenntnissen gewonnen:

• Die Einführung der Computersteuerung war schlecht durchdacht und geplant.
• Es wurden unzureichende Sicherheitsanforderungen festgelegt.
• Hinsichtlich der Validierung von Software wurden unzureichende Verfahren entwickelt.
• Es wurden Beweise für schlechte Verarbeitung in Bezug auf den Standard der Anlageninstallation offengelegt.
• Es wurde eine unzureichende Dokumentation erstellt und nicht ausreichend validiert in Bezug auf das, was sich tatsächlich in der Anlage befand (im Unterschied zu dem, was sich vermutlich in der Anlage befand).
• Weniger als vollständig wirksame Betriebs- und Wartungsverfahren wurden eingeführt.
• Es bestanden offensichtlich berechtigte Bedenken hinsichtlich der Kompetenz der Personen, die von ihnen verlangten Aufgaben zu erfüllen.

Um diese Probleme zu lösen, haben mehrere Gremien Richtlinien veröffentlicht oder mit der Entwicklung begonnen, um die sichere Nutzung der PES-Technologie zu ermöglichen. In Großbritannien hat die Health and Safety Executive (HSE) Richtlinien für programmierbare elektronische Systeme für sicherheitsrelevante Anwendungen entwickelt, und in Deutschland wurde ein Normentwurf (DIN 1990) veröffentlicht. Innerhalb der Europäischen Gemeinschaft wurde im Zusammenhang mit den Anforderungen der Maschinenrichtlinie ein wichtiger Teil der Arbeit an harmonisierten europäischen Normen für sicherheitsbezogene Steuerungssysteme (einschließlich solcher mit PES) begonnen. In den Vereinigten Staaten hat die Instrument Society of America (ISA) einen Standard für PES zur Verwendung in der Prozessindustrie erstellt, und das Center for Chemical Process Safety (CCPS), eine Direktion des American Institute of Chemical Engineers, hat Richtlinien erstellt für den chemischen Prozesssektor.

Derzeit findet innerhalb der IEC eine große Normungsinitiative statt, um eine generisch basierte internationale Norm für elektrische, elektronische und programmierbare elektronische (E/E/PES) sicherheitsbezogene Systeme zu entwickeln, die von den vielen Anwendungssektoren verwendet werden könnte, einschließlich der Prozess-, Medizin-, Transport- und Maschinensektor. Die vorgeschlagene internationale IEC-Norm umfasst sieben Teile unter dem allgemeinen Titel IEC 1508. Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer sicherheitsbezogener Systeme. Die verschiedenen Teile sind wie folgt:

• Teil 1.Allgemeine Anforderungen
• Teil 2. Anforderungen an elektrische, elektronische und programmierbare elektronische Systeme
• Teil 3. Softwareanforderungen
• Teil 4.Definitionen
• Teil 5.Beispiele für Verfahren zur Bestimmung von Sicherheitsintegritätsstufen
• Teil 6.Leitlinien zur Anwendung der Teile 2 und 3
• Teil 7. Überblick über Techniken und Maßnahmen.

Nach ihrer Fertigstellung wird diese generisch basierte Internationale Norm eine grundlegende IEC-Sicherheitsveröffentlichung darstellen, die die funktionale Sicherheit für elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme abdeckt und Auswirkungen auf alle IEC-Normen haben wird, die alle Anwendungsbereiche in Bezug auf die zukünftige Gestaltung und Verwendung abdecken elektrische/elektronische/programmierbare elektronische sicherheitsbezogene Systeme. Ein Hauptziel des vorgeschlagenen Standards ist es, die Entwicklung von Standards für die verschiedenen Sektoren zu erleichtern (siehe Abbildung 1).

Abbildung 1. Generische Standards und Anwendungssektorstandards

PES Vorteile und Probleme

Die Einführung von PES für Sicherheitszwecke hatte viele potenzielle Vorteile, aber es wurde erkannt, dass diese nur erreicht werden würden, wenn geeignete Design- und Bewertungsmethoden verwendet würden, weil: (1) viele der Merkmale von PES die Sicherheitsintegrität nicht ermöglichen (dass ist die Sicherheitsleistung der Systeme, die die erforderlichen Sicherheitsfunktionen ausführen), die mit dem gleichen Grad an Zuverlässigkeit vorhergesagt werden können, der traditionell für weniger komplexe hardwarebasierte („festverdrahtete“) Systeme verfügbar war; (2) Es wurde anerkannt, dass Tests für komplexe Systeme zwar notwendig, aber allein nicht ausreichend sind. Dies bedeutete, dass selbst wenn das PES relativ einfache Sicherheitsfunktionen implementierte, der Komplexitätsgrad der programmierbaren Elektronik deutlich höher war als der der festverdrahteten Systeme, die sie ersetzten; und (3) dieser Anstieg der Komplexität bedeutete, dass den Entwurfs- und Bewertungsmethoden viel mehr Beachtung geschenkt werden musste als zuvor, und dass das Maß an persönlicher Kompetenz, das erforderlich war, um ein angemessenes Leistungsniveau der sicherheitsbezogenen Systeme zu erreichen, anschließend höher war.

Zu den Vorteilen computergestützter PES gehören:

• die Fähigkeit, Online-Diagnoseprüfungen an kritischen Komponenten mit einer deutlich höheren Häufigkeit durchzuführen, als dies sonst der Fall wäre
• das Potenzial, ausgeklügelte Sicherheitsverriegelungen bereitzustellen
• die Fähigkeit, Diagnosefunktionen und Zustandsüberwachung bereitzustellen, die verwendet werden können, um die Leistung von Anlagen und Maschinen in Echtzeit zu analysieren und darüber zu berichten
• die Fähigkeit, tatsächliche Bedingungen der Anlage mit „idealen“ Modellbedingungen zu vergleichen
• das Potenzial, den Betreibern bessere Informationen bereitzustellen und somit die Entscheidungsfindung zu verbessern, die sich auf die Sicherheit auswirkt
• die Verwendung fortschrittlicher Kontrollstrategien, um es menschlichen Bedienern zu ermöglichen, entfernt von gefährlichen oder feindlichen Umgebungen lokalisiert zu werden
• die Möglichkeit, das Steuersystem von einem entfernten Standort aus zu diagnostizieren.

Der Einsatz computergestützter Systeme in sicherheitsbezogenen Anwendungen wirft eine Reihe von Problemen auf, die angemessen angegangen werden müssen, wie z. B. die folgenden:

• Die Ausfallarten sind komplex und nicht immer vorhersehbar.
• Das Testen des Computers ist notwendig, aber allein nicht ausreichend, um festzustellen, dass die Sicherheitsfunktionen mit der für die Anwendung erforderlichen Sicherheit ausgeführt werden.
• Mikroprozessoren können geringfügige Abweichungen zwischen verschiedenen Chargen aufweisen, und daher können unterschiedliche Chargen unterschiedliches Verhalten zeigen.
• Ungeschützte computerbasierte Systeme sind besonders anfällig für elektrische Störungen (Störstrahlung; elektrische „Spitzen“ in den Stromnetzen, elektrostatische Entladungen etc.).
• Es ist schwierig und oft unmöglich, die Ausfallwahrscheinlichkeit komplexer sicherheitsbezogener Systeme mit Software zu quantifizieren. Da keine Quantifizierungsmethode allgemein akzeptiert wurde, basierte die Softwaresicherung auf Verfahren und Standards, die die Methoden beschreiben, die beim Entwurf, der Implementierung und der Wartung der Software zu verwenden sind.

Sicherheitssysteme in Betracht gezogen

Die betrachteten Arten von sicherheitsbezogenen Systemen sind elektrische, elektronische und programmierbare elektronische Systeme (E/E/PES). Das System umfasst alle Elemente, insbesondere Signale, die von Sensoren oder anderen Eingabegeräten an der zu steuernden Ausrüstung ausgehen und über Datenautobahnen oder andere Kommunikationswege zu den Aktuatoren oder anderen Ausgabegeräten übertragen werden (siehe Abbildung 2).

Abbildung 2. Elektrisches, elektronisches und programmierbares elektronisches System (E/E/PES)

Die elektrische, elektronische und programmierbare elektronische Geräte wurde verwendet, um eine Vielzahl von Geräten zu umfassen, und deckt die folgenden drei Hauptklassen ab:

1. elektrische Geräte wie elektromechanische Relais
2. elektronische Geräte wie elektronische Festkörperinstrumente und Logiksysteme
3. programmierbare elektronische Geräte, zu denen eine Vielzahl von computergestützten Systemen gehören, wie z. B. die folgenden:

• Mikroprozessoren
• Mikrocontroller
• speicherprogrammierbare Steuerungen (PCs)
• Anwendungsspezifische integrierte Schaltungen (ASICs)
• Speicherprogrammierbare Steuerungen (SPS)
• andere computerbasierte Geräte (z. B. „intelligente“ Sensoren, Sender und Aktuatoren).

Per Definition dient ein sicherheitsbezogenes System zwei Zwecken:

1. Es implementiert die erforderlichen Sicherheitsfunktionen, die erforderlich sind, um einen sicheren Zustand für das gesteuerte Gerät zu erreichen oder einen sicheren Zustand für das gesteuerte Gerät aufrechtzuerhalten. Das sicherheitsbezogene System muss die Sicherheitsfunktionen ausführen, die in der Sicherheitsfunktions-Anforderungsspezifikation für das System spezifiziert sind. Beispielsweise kann die Anforderungsspezifikation für Sicherheitsfunktionen angeben, dass, wenn die Temperatur einen bestimmten Wert erreicht x, Ventil y muss sich öffnen, damit Wasser in das Gefäß eindringen kann.
2. Es erreicht allein oder zusammen mit anderen sicherheitsbezogenen Systemen die erforderliche Sicherheitsintegrität für die Umsetzung der erforderlichen Sicherheitsfunktionen. Die Sicherheitsfunktionen müssen von den sicherheitsbezogenen Systemen mit dem der Anwendung angemessenen Vertrauensgrad ausgeführt werden, um das erforderliche Sicherheitsniveau für die zu steuernde Ausrüstung zu erreichen.

Dieses Konzept ist in Abbildung 3 dargestellt.

Abbildung 3. Hauptmerkmale sicherheitsbezogener Systeme

Systemfehler

Um einen sicheren Betrieb von sicherheitsbezogenen E/E/PES-Systemen zu gewährleisten, ist es erforderlich, die verschiedenen möglichen Ursachen für sicherheitsbezogene Systemausfälle zu erkennen und dafür zu sorgen, dass jeweils angemessene Vorkehrungen getroffen werden. Fehler werden in zwei Kategorien eingeteilt, wie in Abbildung 4 dargestellt.

Abbildung 4. Fehlerkategorien

1. Zufällige Hardwarefehler sind solche Fehler, die aus einer Vielzahl normaler Verschlechterungsmechanismen in der Hardware resultieren. Es gibt viele solcher Mechanismen, die in unterschiedlichen Komponenten mit unterschiedlichen Raten auftreten, und da aufgrund von Fertigungstoleranzen Komponenten nach unterschiedlichen Betriebszeiten aufgrund dieser Mechanismen ausfallen, treten Ausfälle eines Gesamtgeräts aus vielen Komponenten zu unvorhersehbaren (zufälligen) Zeitpunkten auf. Messungen der Systemzuverlässigkeit, wie die mittlere Zeit zwischen Ausfällen (MTBF), sind wertvoll, beziehen sich jedoch normalerweise nur auf zufällige Hardwareausfälle und beinhalten keine systematischen Ausfälle.
2. Systematische Ausfälle entstehen durch Fehler in der Konstruktion, Konstruktion oder Verwendung eines Systems, die dazu führen, dass es unter einer bestimmten Kombination von Eingaben oder unter bestimmten Umgebungsbedingungen versagt. Wenn ein Systemausfall auftritt, wenn eine bestimmte Reihe von Umständen eintritt, dann wird es immer einen Systemausfall geben, wenn diese Umstände in der Zukunft eintreten. Jeder Ausfall eines sicherheitsbezogenen Systems, der nicht auf einen zufälligen Hardwarefehler zurückzuführen ist, ist per Definition ein systematischer Ausfall. Systematische Ausfälle im Zusammenhang mit sicherheitsbezogenen E/E/PES-Systemen umfassen:

• systematische Ausfälle aufgrund von Fehlern oder Auslassungen in der Anforderungsspezifikation für Sicherheitsfunktionen
• systematische Ausfälle aufgrund von Fehlern in Konstruktion, Herstellung, Installation oder Betrieb der Hardware. Dazu gehören Ausfälle aufgrund von Umweltursachen und menschliche Fehler (z. B. Bedienerfehler).
• systematische Ausfälle aufgrund von Fehlern in der Software
• systematische Ausfälle durch Wartungs- und Änderungsfehler.

Schutz sicherheitsbezogener Systeme

Die Begriffe, die verwendet werden, um die Vorsichtsmaßnahmen anzugeben, die ein sicherheitsbezogenes System zum Schutz vor zufälligen Hardwareausfällen und systematischen Ausfällen erfordert, sind Hardware-Sicherheitsintegritätsmaßnahmen und systematische Sicherheitsintegritätsmaßnahmen beziehungsweise. Vorkehrungen, die ein sicherheitsbezogenes System sowohl gegen zufällige Hardwareausfälle als auch gegen systematische Ausfälle treffen kann, werden genannt Sicherheitsintegrität. Diese Konzepte sind in Abbildung 5 dargestellt.

Abbildung 5. Begriffe zur Sicherheitsleistung

Innerhalb des vorgeschlagenen internationalen Standards IEC 1508 gibt es vier Stufen der Sicherheitsintegrität, die als Sicherheitsintegritätsstufen 1, 2, 3 und 4 bezeichnet werden. Sicherheitsintegritätsstufe 1 ist die niedrigste Sicherheitsintegritätsstufe und Sicherheitsintegritätsstufe 4 ist die höchste. Der Sicherheitsintegritätslevel (ob 1, 2, 3 oder 4) für das sicherheitsbezogene System hängt von der Bedeutung der Rolle ab, die das sicherheitsbezogene System beim Erreichen des erforderlichen Sicherheitsniveaus für die gesteuerte Ausrüstung spielt. Es können mehrere sicherheitsbezogene Systeme erforderlich sein, von denen einige auf pneumatischer oder hydraulischer Technologie basieren können.

Entwurf sicherheitsbezogener Systeme

Eine kürzlich durchgeführte Analyse von 34 Vorfällen mit Steuerungssystemen (HSE) ergab, dass 60 % aller Fehlerfälle „eingebaut“ waren, bevor das sicherheitsbezogene Steuerungssystem in Betrieb genommen wurde (Abbildung 7). Die Betrachtung aller Phasen des Sicherheitslebenszyklus ist notwendig, um adäquate sicherheitsbezogene Systeme herzustellen.

Abbildung 7. Hauptursache (nach Phase) des Ausfalls des Steuerungssystems

Die funktionale Sicherheit sicherheitsbezogener Systeme hängt nicht nur davon ab, sicherzustellen, dass die technischen Anforderungen ordnungsgemäß spezifiziert sind, sondern auch sicherzustellen, dass die technischen Anforderungen effektiv umgesetzt werden und dass die ursprüngliche Designintegrität während der gesamten Lebensdauer der Ausrüstung erhalten bleibt. Dies kann nur verwirklicht werden, wenn ein wirksames Sicherheitsmanagementsystem vorhanden ist und die an einer Tätigkeit beteiligten Personen in Bezug auf die von ihnen zu erfüllenden Aufgaben kompetent sind. Gerade wenn es um komplexe sicherheitsrelevante Systeme geht, ist ein adäquates Sicherheitsmanagementsystem unerlässlich. Dies führt zu einer Strategie, die Folgendes sicherstellt:

• Ein wirksames Sicherheitsmanagementsystem ist vorhanden.
• Die technischen Anforderungen, die für die sicherheitsbezogenen E/E/PES-Systeme spezifiziert sind, reichen aus, um sowohl zufällige Hardware- als auch systematische Fehlerursachen zu bewältigen.
• Die Kompetenz der beteiligten Personen ist für die von ihnen zu erfüllenden Aufgaben ausreichend.

Um alle relevanten technischen Anforderungen der funktionalen Sicherheit systematisch zu adressieren, wurde das Konzept des Safety Lifecycle entwickelt. Eine vereinfachte Version des Sicherheitslebenszyklus in der neuen internationalen Norm IEC 1508 ist in Abbildung 8 dargestellt. Die wichtigsten Phasen des Sicherheitslebenszyklus sind:

Abbildung 8. Rolle des Sicherheitslebenszyklus beim Erreichen funktionaler Sicherheit

• Spezifikation
• Gestaltung und Umsetzung
• Installation und Inbetriebnahme
• Betrieb und Instandhaltung
• Änderungen nach der Inbetriebnahme.

Sicherheitsstufe

Die Entwurfsstrategie zum Erreichen angemessener Sicherheitsintegritätsniveaus für die sicherheitsbezogenen Systeme ist in Abbildung 9 und Abbildung 10 dargestellt. Ein Sicherheitsintegritätsniveau basiert auf der Rolle, die das sicherheitsbezogene System beim Erreichen des Gesamtniveaus spielt der Sicherheit für die zu kontrollierende Ausrüstung. Der Sicherheitsintegritätslevel gibt die Vorkehrungen an, die bei der Konstruktion sowohl gegen zufällige Hardware- als auch gegen systematische Ausfälle zu berücksichtigen sind.

Abbildung 9. Rolle der Sicherheitsintegritätsstufen im Designprozess

Abbildung 10. Rolle des Sicherheitslebenszyklus im Spezifikations- und Designprozess

Das Konzept der Sicherheit und des Sicherheitsniveaus gilt für die zu steuernde Ausrüstung. Für die sicherheitsbezogenen Systeme gilt das Konzept der funktionalen Sicherheit. Die funktionale Sicherheit der sicherheitsbezogenen Systeme muss erreicht werden, wenn ein angemessenes Sicherheitsniveau für die gefährdenden Geräte erreicht werden soll. Das spezifizierte Sicherheitsniveau für eine bestimmte Situation ist ein Schlüsselfaktor in der Spezifikation der Anforderungen an die Sicherheitsintegrität für die sicherheitsbezogenen Systeme.

Das erforderliche Sicherheitsniveau hängt von vielen Faktoren ab, z. B. der Schwere der Verletzung, der Anzahl der gefährdeten Personen, der Häufigkeit, mit der Personen einer Gefahr ausgesetzt sind, und der Dauer der Exposition. Wichtige Faktoren werden die Wahrnehmung und Ansichten derjenigen sein, die dem gefährlichen Ereignis ausgesetzt sind. Um ein angemessenes Sicherheitsniveau für eine bestimmte Anwendung zu ermitteln, werden eine Reihe von Eingaben berücksichtigt, darunter die folgenden:

• rechtliche Anforderungen, die für die spezifische Anwendung relevant sind
• Richtlinien der zuständigen Sicherheitsaufsichtsbehörde
• Diskussionen und Absprachen mit den verschiedenen am Antrag beteiligten Parteien
• Industrie-Standards
• nationale und internationale Normen
• die beste unabhängige industrielle, fachliche und wissenschaftliche Beratung.

Zusammenfassung

Beim Entwerfen und Verwenden von sicherheitsbezogenen Systemen muss berücksichtigt werden, dass es die zu steuernden Geräte sind, die die potenzielle Gefahr erzeugen. Die sicherheitsbezogenen Systeme sind darauf ausgelegt, die Häufigkeit (oder Wahrscheinlichkeit) des gefährlichen Ereignisses und/oder die Folgen des gefährlichen Ereignisses zu reduzieren. Sobald das Sicherheitsniveau für die Ausrüstung festgelegt wurde, kann das Sicherheitsintegritätsniveau für das sicherheitsbezogene System bestimmt werden, und es ist das Sicherheitsintegritätsniveau, das es dem Konstrukteur ermöglicht, die Vorsichtsmaßnahmen anzugeben, die in das Design eingebaut werden müssen sowohl gegen zufällige Hardware als auch gegen systematische Ausfälle eingesetzt werden.

Zurück