FUNKTIONALE SICHERHEIT – SIL

FUNKTIONALE SICHERHEIT – SIL
Elektrische Stellantriebe für sicherheitsbezogene Systeme bis SIL 3
AUMA ist ein weltweit führender Hersteller von elektrischen
Stellantrieben für die Automatisierung von Industrie armaturen.
Stellantriebe von AUMA bewähren sich auf der ganzen Welt
überall dort, wo Flüssigkeits- oder Gasströme, Pulver oder
Granulate reguliert und gesteuert werden: in der Wasserverund -entsorgung, in Kraftwerken, Rohrleitungsnetzen,
Raffinerien ebenso wie in industriellen Anlagen jeder Art.
DIE SPEZIALISTEN FÜR ELEKTRISCHE STELLANTRIEBE
Seit der Unternehmensgründung 1964 konzentrieren wir uns auf die
Entwicklung, die Herstellung, den Vertrieb und den Service von
elektrischen Stellantrieben. Unsere Produkte haben sich bei unseren
Kunden weltweit einen Namen gemacht für Langlebigkeit, Zuverlässigkeit und Präzision.
Als mittelständisches Privatunternehmen hat sich AUMA zu einem
erfolgreichen Global Player mit weltweit mehr als 2 400 Mitarbeitern entwickelt. Unser weltumspannendes Vertriebs- und Servicenetzwerk bietet Ihnen kompetente Ansprechpartner in über 70
Ländern.
2
AUMA AUTOMATISIERT ARMATUREN
FUNKTIONALE SICHERHEIT
INHALT
AUMA bietet eine breite Palette an elektrischen Stellantrieben,
die für sicherheitsbezogene Systeme bis SIL 3 zugelassen sind.
Unsere Produkte tragen weltweit zum sicheren Betrieb technischer Anlagen bei. International anerkannte Prüﬁnstitute haben
Sicherheitskennzahlen und SIL-Fähigkeit für unsere Produkte
ermittelt.
AUMA automatisiert Armaturen
Risikoreduzierung durch Funktionale Sicherheit
Die Normen IEC 61508 und IEC 61511
Wie wird funktionale Sicherheit erreicht?
Was ist eine Sicherheitsfunktion?
Was ist ein sicherheitstechnisches System?
Die wichtigsten Sicherheitskennzahlen
Ermittlung der SIL-Fähigkeit
Verbesserung der SIL-Fähigkeit
AUMA Produkte mit SIL-Klassiﬁzierung
Integrierte Steuerung AC .2 in Ausführung SIL
Funktionen des SIL-Moduls
Ermittlung der Sicherheitskennzahlen für AUMA Produkte
Sicherheitskennzahlen für ausgewählte AUMA Produkte
Weiterführende Informationen
AUMA Produkte mit SIL-Klassiﬁzierung – Übersicht
Index
In dieser Broschüre ﬁnden Sie neben detaillierten Informationen
über die SIL-Fähigkeit der AUMA Produkte auch eine grundlegende Einführung in das Thema funktionale Sicherheit und SIL.
2015.06.03
Weitere Informationen wie Zertiﬁkate, Prüfberichte, Sicherheitskennzahlen oder unsere umfangreichen Handbücher „Funktionale
Sicherheit – SIL“ können Sie bei uns anfordern oder von unserer
Website www.auma.com herunterladen.
3
4
6
7
8
9
10
12
13
14
16
18
20
24
25
26
27
3
Fragen zur Sicherheit von modernen Industrieanlagen gewinnen immer mehr an Bedeutung, insbesondere bei Anlagen mit
hohem Gefahrenpotenzial im Öl- und Gas-Bereich, in der
chemischen Industrie oder in Kraftwerken.
Zur Überwachung von Prozessen, von denen eine Gefahr für
Mensch und Umwelt ausgeht, werden heute zunehmend moderne
Sicherheitssysteme eingesetzt, die bei einem Störfall eingreifen.
Solche Systeme schalten zum Beispiel im Notfall eine Anlage ab,
stoppen die Zufuhr gefährlicher Stoffe, sorgen für Kühlung oder
öffnen Überdruckventile. Um die Gefahren, die von einer Anlage
ausgehen, zu reduzieren, müssen diese Systeme ihre Sicherheitsfunktion im Notfall zuverlässig ausführen und dürfen nicht ausfallen.
Wie aber können Anlagenbetreiber und Gerätehersteller sicherstellen, dass die eingesetzten Systeme „sicher“ arbeiten und die nötigen
Anforderungen erfüllen? Wie können Ausfallrisiken beurteilt
werden?
Hier geben die Normen zur funktionalen Sicherheit
IEC 61508 und IEC 61511 eine Antwort. Sie beschreiben erstmals
Methoden, um die Ausfallrisiken von modernen, oft softwaregesteuerten Systemen zu beurteilen und Maßnahmen zur Risikoreduzierung zu bestimmen.
WAS IST FUNKTIONALE SICHERHEIT?
Funktionale Sicherheit nach der IEC 61508 bezieht sich auf Systeme,
die Sicherheitsfunktionen ausführen und deren Ausfall ein erhebliches Risiko für Mensch und Umwelt darstellt.
Um funktionale Sicherheit zu erreichen, muss eine Sicherheitsfunktion bei einem Störfall dafür sorgen, dass eine technische Anlage in
einen sicheren Zustand geführt wird oder in einem sicheren Zustand
bleibt.
Es geht also nicht um die grundsätzlichen Gefahren eines Produkts
oder einer Anlage, wie zum Beispiel rotierende Teile, sondern um
die Gefahren, die auf Grund eines Ausfalls einer Sicherheitsfunktion
von einer Anlage ausgehen können.
Ziel der funktionalen Sicherheit ist es, die Wahrscheinlichkeit
gefährlicher Ausfälle und damit auch die Risiken für Mensch und
Umwelt auf ein vertretbares Maß zu reduzieren.
Insgesamt leistet die funktionale Sicherheit – gemeinsam mit
weiteren Maßnahmen, wie zum Beispiel dem Brandschutz, der
elektrischen Sicherheit oder dem Explosionsschutz – einen
wichtigen Beitrag zur Gesamtsicherheit einer Anlage.
RISIKOREDUZIERUNG DURCH FUNKTIONALE SICHERHEIT
4
WAS IST SIL?
WELCHE ROLLE SPIELT AUMA?
SIL ist ein Begriff, der mit der funktionalen Sicherheit in enger
Verbindung steht. SIL steht für Sicherheits-Integritätslevel (engl.
Safety Integrity Level) und ist eine Maßeinheit für die Risikoreduzierung bei Sicherheitsfunktionen.
AUMA Produkte werden als Komponenten in Systemen eingesetzt,
die Sicherheitsfunktionen ausführen. Daher haben wir – in Zusammenarbeit mit unabhängigen Prüﬁnstituten wie TÜV und exida –
untersucht, für welchen SIL unsere Stellantriebe, Steuerungen und
Getriebe geeignet sind.
Je größer die Gefahren sind, die von einem Prozess oder einer
Anlage ausgehen, desto höher sind die Anforderungen an die
Zuverlässigkeit der Sicherheitsfunktionen.
Anhand der dabei ermittelten Sicherheitskennzahlen können
Anlagenplaner die passenden Geräte für die jeweiligen Sicherheitsanforderungen auswählen.
Die IEC 61508 deﬁniert vier verschiedene Sicherheitsanforderungsstufen, SIL 1 bis SIL 4.
SIL 4 stellt dabei die höchsten Anforderungen an die Sicherheit,
SIL 1 die niedrigsten. Für jeden dieser Level sind speziﬁsche Ausfallwahrscheinlichkeiten deﬁniert, die eine Sicherheitsfunktion nicht
überschreiten darf.
Welcher SIL erforderlich ist, kann anhand einer Risikobeurteilung
ermittelt werden.
5
DIE NORMEN IEC 61508 UND IEC 61511
DIE URSPRÜNGE
IEC 61511
Es waren Industrieunfälle mit verheerenden Folgen, wie der
Dioxin-Unfall von Seveso 1976 oder das Unglück im indischen
Bhopal 1984, die weltweit Normungsprozesse zur Sicherheit von
technischen Anlagen in Gang setzten.
Diese Norm beinhaltet die anwendungsspeziﬁsche Umsetzung der
IEC 61508 speziell für die Prozessindustrie. Sie deﬁniert die Anforderungen an sicherheitsbezogene Systeme, die in prozesstechnischen
Anlagen zur Risikominderung eingesetzt werden.
So entstand zum Beispiel auf EU-Ebene zunächst die Seveso I- und
später die Seveso II-Richtlinie 96/82/EG zur Beherrschung der
Gefahren bei Unfällen mit gefährlichen Stoffen. Mit diesen Richtlinien wurde der Schutz von Mensch, Umwelt und Sachwerten als
oberstes Ziel festgeschrieben. Zudem wurden konkrete Vorgaben
für Anlagen mit hohem Gefahrenpotenzial erlassen.
Sie richtet sich in erster Linie an Anlagenplaner und Anlagenbetreiber.
Um diese Richtlinien umzusetzen, entstanden in der Folge zunächst
nationale Normen zur funktionalen Sicherheit. Seit 1998 steht mit
der IEC 61508 hier erstmals eine international gültige Norm zur
Verfügung. Die DIN EN 61508 ist die entsprechende seit 2002 in
Deutschland geltende Norm.
GELTUNGSBEREICH DER NORMEN
Die Normen IEC 61508 und 61511 sind in der Europäischen Union
bisher nicht verpﬂichtend, da sie nicht unter einer EU-Richtlinie
harmonisiert sind. Dennoch ist ihre Einhaltung für Anlagenbetreiber
und Gerätehersteller vorteilhaft:
IEC 61508
> Bei Anlagen und Systemen, von denen Gefahren für Mensch und
Umwelt ausgehen, wird die Methodik der funktionalen Sicherheit
heutzutage als „Stand der Technik“ angesehen und daher
gefordert.
Die IEC 61508 ist die weltweit gültige Norm zur funktionalen
Sicherheit von elektrischen, elektronischen oder programmierbar
elektronischen Systemen (E/E/PES), die Sicherheitsfunktionen
ausführen. Die Normanforderungen werden – wo zutreffend – auch
auf andere, zum Beispiel mechanische Komponenten übertragen.
> Die Normen können zur Erfüllung grundlegender Anforderungen
aus EU-Richtlinien verwendet werden, wenn aus einer
harmonisierten Europäischen Norm auf sie verwiesen wird oder
wenn keine harmonisierte Norm für den Anwendungsbereich
besteht.
Die Norm richtet sich sowohl an Anlagenplaner und Anlagenbetreiber als auch an Gerätehersteller.
> Die Einhaltung der Normen IEC 61508 und 61511 wird unter
anderem von Behörden und Versicherungen zunehmend als
Nachweis für eine Risikoanalyse mit ausreichender Reduzierung
des Risikos gefordert.
Sie dient als anwendungsunabhängige Basisnorm und wird ergänzt
durch weitere, anwendungsspeziﬁsche Normen, zum Beispiel die IEC
61511 für die Prozessindustrie.
Konzept der Risikominderung
Ziel ist es, die Risiken von Prozessen und Anlagen durch den Einsatz
von sicherheitsbezogenen Systemen zu reduzieren. Die Norm geht
grundsätzlich davon aus, dass es nicht möglich ist, jegliche Risiken
auszuschließen. Sie bietet jedoch Methoden zur Risikoanalyse, zur
Risikominderung und zur Quantiﬁzierung des Restrisikos.
Anforderungen an sicherheitsbezogene Systeme
Die Norm beschreibt die Anforderungen an sicherheitsbezogene
Systeme bzw. an die Sicherheitsfunktionen und deﬁniert SicherheitsIntegritätslevel (SIL). Daraus werden entsprechende SIL-Anforderungen an die eingesetzten Systemkomponenten abgeleitet.
Berücksichtigung des Lebenszyklus
Um die Ausfallrisiken zu minimieren, wird der gesamte Sicherheitslebenszyklus der Komponenten berücksichtigt, von der Speziﬁkation
über die Realisierung bis hin zur Außerbetriebsetzung.
6
> Anlagenbetreiber und Gerätehersteller haben bei Produkten mit
SIL-Zulassung die Gewissheit, dass die Produkte nach
internationalen Standards beurteilt wurden und den ermittelten
Sicherheits-Integritätslevel erreichen.
WIE WIRD FUNKTIONALE SICHERHEIT ERREICHT?
SICHERHEITSTECHNISCHE BEURTEILUNG
Um funktionale Sicherheit zu erreichen, müssen zunächst einmal
die Risiken analysiert werden, die von einer Anlage oder einem
Prozess ausgehen. Hier bieten die Normen IEC 61508 und 61511
eine anerkannte Methode zur Risikobeurteilung.
Durch eine differenzierte sicherheitstechnische Beurteilung werden
diejenigen Prozesse identiﬁziert, von denen tatsächlich eine Gefahr
ausgeht. So können Maßnahmen zur Risikoreduzierung gezielt dort
eingesetzt werden, wo sie wirklich nötig sind.
Welche Prozesse sind gefährlich?
Zunächst wird untersucht, von welchen Prozessen einer Anlage
Gefahren für Mensch und Umwelt ausgehen, wenn sie außer
Kontrolle geraten.
Festlegung der SIL Anforderungen
Für jeden der gefahrbringenden Prozesse wird dann untersucht,
wie groß Gefahr und Schadensausmaß infolge einer Fehlfunktion
sein können.
Gefahrenpotential
C
F
Zur Beurteilung kann ein Risikograph wie unten dargestellt zu Hilfe
genommen werden. Je nach Größe der Gefahr und Eintrittswahrscheinlichkeit wird festgelegt, ob ein Prozess durch eine Sicherheitsfunktion abgesichert werden muss und welchen Sicherheits-Integritätslevel (SIL) diese Sicherheitsfunktion erreichen muss.
Auswahl geeigneter Komponenten
Entsprechend des erforderlichen SIL werden die Komponenten zur
Realisierung der Sicherheitsfunktion ausgewählt.
Um dies zu vereinfachen, lassen Gerätehersteller wie AUMA ihre
Produkte auf ihre Eignung für die verschiedenen Sicherheits-Integritätslevel prüfen.
Überprüfung der SIL Anforderungen
Anhand von Sicherheitskennzahlen der eingesetzten Geräte wird für
jede Sicherheitsfunktion überprüft, ob sie den geforderten SIL
erreicht. Ist dies nicht der Fall, müssen zusätzliche Maßnahmen
ergriffen werden.
Eintrittswahrscheinlichkeit
P
W3
W2
W1
-
-
-
P1
SIL 1
-
-
Risikograph für eine sicherheitstechnische Beurteilung nach
IEC 61508/61511
P2
SIL 1
SIL 1
-
A
Ausgangspunkt für die Abschätzung der Risikominderung
C
C1
C2
C3
C4
Schadensausmaß
Leichte Verletzung einer Person oder kleinere schädliche Umwelteinﬂ üsse
Schwere irreversible Verletzungen oder Tod einer Person
Tod mehrerer Personen
Tod sehr vieler Personen
F
F1
F2
Gefahrenabwendung
Möglich unter bestimmten Bedingungen
Kaum möglich
P
P1
P2
Aufenthaltsdauer einer Person im gefährdeten Bereich
Selten bis häuﬁ g
Häuﬁ g bis dauernd
W
W3
W2
W1
Eintrittswahrscheinlichkeit
Relativ Hoch
Gering
Sehr gering
C1
F1
C2
A
P1
SIL 2
SIL 1
SIL 1
P2
SIL 3
SIL 2
SIL 1
F1
SIL 3
SIL 3
SIL 2
F2
SIL 4
SIL 3
SIL 3
-
SIL 4
SIL 3
F2
C3
C4
SIL
Geforderter Sicherheitsintegritätslevel
SIL 1
niedrigste Sicherheitsanforderung
bis SIL 4 höchste Sicherheitsanforderung
7
WAS IST EINE SICHERHEITSFUNKTION?
Sicherheitsfunktionen sind Schutzmaßnahmen, die nur im Störfall
aktiviert werden und dann verhindern, dass Personen, Umwelt und
Sachwerte zu Schaden kommen. Funktionale Sicherheit wird
erreicht, wenn Sicherheitsfunktionen in einer solchen Situation
zuverlässig arbeiten.
SICHERES ÖFFNEN AM BEISPIEL EINES
ÜBERDRUCKVENTILS
Typische Sicherheitsfunktionen sind zum Beispiel eine automatische
Notabschaltung eines Prozesses oder die Drucküberwachung und
-begrenzung eines Kessels.
Ein Sensor überprüft kontinuierlich den Druck im Kessel. Wenn der
Druck im System unzulässig groß wird, geht die Sicherheits-SPS von
einem Fehler im System aus und gibt dem Antrieb das Signal zu
öffnen, um den Kessel sicher zu entlasten.
Bei einem überdruckgefährdeten Kessel ist als Sicherheitsfunktion
das Öffnen eines Überdruckventils vorgesehen.
Im Armaturenbereich sind in erster Linie die folgenden Sicherheitsfunktionen von Bedeutung:
SICHERER STOPP AM BEISPIEL EINER SCHLEUSE
> Sicheres ÖFFNEN/Sicheres SCHLIESSEN
(engl. Emergency Shutdown, ESD)
> Sicherer Stillstand/STOPP
> Sichere Endlagenrückmeldung
Beﬁndet sich ein Schiff zwischen den geöffneten Schleusentoren,
kann mit der Sicherheitsfunktion Sicherer STOPP das Schließen der
Schleuse zuverlässig angehalten werden.
Die Sicherheitsfunktion Sicherer STOPP kann auch als Verriegelungsfunktion verwendet werden. In dem Fall kann die Schleuse nur
geschlossen werden, wenn das Signal „Sicherer STOPP“ nicht
anliegt.
8
2
1
1
3
WAS IST EIN SICHERHEITSTECHNISCHES SYSTEM?
Eine Sicherheitsfunktion wird durch die Komponenten eines
sogenannten sicherheitstechnischen Systems (engl. Safety Instrumented System, SIS) realisiert. Ein solches System besteht ganz
allgemein aus den Bestandteilen Sensor, übergeordnete SicherheitsSteuerung und Aktor. Im Armaturenbereich besteht der Aktor aus
den Komponenten Stellantrieb und Armatur.
Komponenten eines typischen sicherheitstechnischen Systems
1
2
3
Sensor
Sicherheits-Steuerung
Aktor, bestehend aus Stellantrieb und Armatur
Bei der Beurteilung, ob eine Sicherheitsfunktion den geforderten SIL
erreicht, müssen die Sicherheitskennzahlen aller Einzelkomponenten
des sicherheitstechnischen Systems berücksichtigt werden (siehe
auch Seite 12).
9
DIE WICHTIGSTEN SICHERHEITSKENNZAHLEN
Bei der Gefahrenbeurteilung eines Prozesses wird für jede Sicherheitsfunktion bestimmt, welchen SIL sie erfüllen muss. Danach werden
dann geeignete Geräte zur Realisierung der Sicherheitsfunktion ausgewählt. Um die SIL-Fähigkeit eines Gerätes ermitteln zu können,
verwenden die Normen IEC 61508 und 61511 die Methoden der Wahrscheinlichkeitsrechnung.
Die wichtigsten Sicherheitskennzahlen werden im Folgenden erläutert.
MITTLERE AUSFALLWAHRSCHEINLICHKEIT (PFD-WERT)
Der PFDavg Wert (Average Probability of Dangerous Failure on
Demand) beschreibt die mittlere Wahrscheinlichkeit, dass die
Sicherheitsfunktion bei Anforderung nicht ausgeführt werden kann.
In der IEC 61508 ist für jeden der vier Sicherheits-Integritätslevel ein
zulässiger Bereich für die Ausfallwahrscheinlichkeit festgelegt.
SIL 1 stellt die niedrigste Sicherheitsstufe dar, SIL 4 die höchste. Je
höher die Sicherheitsstufe, desto geringer darf die Wahrscheinlichkeit sein, dass die Sicherheitsfunktion bei Anforderung ausfällt.
Nicht nur die Größe des Risikos im Störfall spielt eine Rolle für die
Sicherheit eines Systems. Entscheidend ist auch die Häuﬁgkeit, mit
der ein Störfall erwartet und somit die entsprechende Sicherheitsfunktion angefordert wird.
Die IEC 61508 unterscheidet dazu die Betriebsarten Low Demand
und High Demand (oder Continuous) Mode.
Low Demand Mode
Betriebsart mit niedriger Anforderungshäuﬁ gkeit, bei der die
Sicherheitsfunktion nicht häuﬁger als einmal pro Jahr angefordert
wird. Dies trifft typischerweise auf Sicherheitsfunktionen für die
Prozessindustrie zu, die Stellantriebe einsetzen.
Betrachtet wird hierbei nur die Sicherheitsfunktion. Ein Antrieb, der
sowohl für eine Sicherheitsfunktion als auch zum „normalen“
Öffnen und Schließen eingesetzt wird, darf im Normalbetrieb durchaus häuﬁ ger eine Armatur öffnen und schließen. Ein Störfall in der
Anlage, der das sichere Schließen der Armatur erfordert, darf
jedoch nicht öfter als einmal pro Jahr erwartet werden.
High Demand Mode (oder Continuous Mode)
Betriebsart mit hoher bzw. kontinuierlicher Anforderungsrate, bei
der die Sicherheitsfunktion entweder kontinuierlich arbeitet oder
häuﬁ ger als einmal pro Jahr angefordert wird.
Bei dieser Betriebsart wird als Maß für die Sicherheit die Ausfallwahrscheinlichkeit pro Stunde berechnet und als PFH-Wert angegeben (Probability of Failure per Hour).
10
Erlaubte PFD-Werte für Low Demand Mode
SicherheitsIntegritäts- Erlaubter PFDavg Wert
(Low Demand)
level
SIL 1
≥ 10-2 bis < 10-1
SIL 2
≥ 10-3 bis < 10-2
SIL 3
≥ 10-4 bis < 10-3
SIL 4
≥ 10-5 bis < 10-4
Theoretisch zulässige Ausfälle
bei Anforderung der
Sicherheitsfunktion
Ein gefährlicher Ausfall in 10 Jahren
zulässig
Ein gefährlicher Ausfall in 100 Jahren
zulässig
Ein gefährlicher Ausfall in 1 000 Jahren
zulässig
Ein gefährlicher Ausfall in 10 000 Jahren
zulässig
Die PFD-Werte werden zunächst für jede Komponente eines
sicherheitstechnischen Systems einzeln berechnet.
Ein Sicherheits-Integritätslevel beschreibt jedoch eine Eigenschaft
einer gesamten Sicherheitsfunktion und nicht die einer Einzelkomponente. Daher muss aus den PFD-Werten der Einzelkomponenten
der Gesamt-PFD-Wert für die Sicherheitsfunktion berechnet werden.
AUSFALLRATEN
GERÄTETYP
Für die Sicherheit eines Systems ist die Analyse möglicher Fehlerquellen von entscheidender Bedeutung.
Die IEC 61508 unterscheidet zwischen einfachen und komplexen
Geräten.
Bei der Betrachtung der Ausfallraten  wird unterschieden, welche
Fehler gefährlich und welche ungefährlich sind, also keinen Einﬂuss
auf das korrekte Ausführen der Sicherheitsfunktion haben. Zudem
wird untersucht, ob Fehler diagnostiziert werden können.
Einfache Geräte – Typ A
Typ A Geräte sind „einfache“ Geräte, bei denen das Ausfallverhalten
der Bauteile vollständig bekannt ist. Sie enthalten z.B. Relais,
Widerstände und Transistoren, jedoch keine komplexen elektronischen Bauelemente wie z.B. Mikrocontroller.
ANTEIL SICHERER FEHLER (SFF)
Komplexe Geräte – Typ B
Typ B Geräte sind „komplexe“ Geräte, die elektronische Bauelemente wie Mikrocontroller, Mikroprozessoren und ASICs enthalten.
Bei diesen Bauelementen und insbesondere bei softwaregesteuerten
Funktionen ist es schwierig, alle Fehler vollständig zu bestimmen.
Der SFF-Wert (Safe Failure Fraction) beschreibt den prozentualen
Anteil ungefährlicher und erkannter gefahrbringender Ausfälle an
der Gesamtfehlerzahl. Fehler sind ungefährlich, wenn sie das System
nicht in einen gefährlichen Zustand versetzen können.
Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit
eines gefährlichen Systemausfalls. Ein Wert von beispielsweise 62 %
bedeutet, dass 62 von 100 Fehlern keine Auswirkung auf die sichere
Funktion des Systems haben.
Je komplexer die Geräte desto höher die Anforderungen
Wie aus den folgenden beiden Tabellen ersichtlich wird, gelten für
Typ B Geräte deutlich höhere Anforderungen als für Typ A Geräte.
SFF und HFT für Typ A Geräte
HFT (Hardwarefehlertoleranz)
HARDWAREFEHLERTOLERANZ (HFT)
Die HFT (Hardware Fault Tolerance) ist die Fähigkeit einer Funktionseinheit, eine geforderte Sicherheitsfunktion bei Bestehen von
Fehlern oder Abweichungen weiter auszuführen.
SFF (Anteil Sicherer Fehler)
< 60 %
60 % bis < 90 %
90 % bis < 99 %
≥ 99 %
0
SIL 1
SIL 2
SIL 3
SIL 3
1
SIL 2
SIL 3
SIL 4
SIL 4
2
SIL 3
SIL 4
SIL 4
SIL 4
SFF und HFT für Typ B Geräte
Eine Hardwarefehlertoleranz von N bedeutet, dass
N + 1 Fehler zu einem Ausfall der Sicherheitsfunktion führen
können. Ist die Hardwarefehlertoleranz zum Beispiel Null, kann
bereits ein Fehler zu einem Ausfall der Sicherheitsfunktion führen.
Die HFT lässt sich in der Regel durch einen redundanten Systemaufbau erhöhen (siehe auch Seite 13).
HFT (Hardwarefehlertoleranz)
SFF (Anteil Sicherer Fehler) 0
< 60 %
nicht erlaubt
1
SIL 1
2
SIL 2
60 % bis < 90 %
90 % bis < 99 %
≥ 99 %
SIL 2
SIL 3
SIL 4
SIL 3
SIL 4
SIL 4
SIL 1
SIL 2
SIL 3
MITTLERE BETRIEBSDAUER ZWISCHEN AUSFÄLLEN (MTBF)
Die mittlere Betriebsdauer zwischen Ausfällen (Mean Time Between
Failures) in Jahren beschreibt die theoretische Betriebszeit zwischen
zwei aufeinander folgenden Ausfällen und ist ein Maß für die
Zuverlässigkeit. Sie ist nicht mit der Lebensdauer oder der
Gebrauchsdauer eines Systems zu verwechseln.
11
Entscheidend für die Sicherheit einer Sicherheitsfunktion ist
immer die SIL-Fähigkkeit des gesamten sicherheitstechnischen
Systems und nicht die einer einzelnen Komponente. Deshalb
reicht es nicht aus, nur die PFD-Werte für die einzelnen
Komponenten zu betrachten.
SIL-FÄHIGKEIT EINER SICHERHEITSFUNKTION
Zur Ermittlung der SIL-Fähigkeit einer Sicherheitsfunktion müssen im
einfachsten Fall die PFD-Werte der einzelnen Komponenten addiert
werden. Der so berechnete Gesamt-PFD-Wert der Sicherheitsfunktion wird dann mit der erlaubten Gesamtausfallwahrscheinlichkeit
für den geforderten SIL verglichen.
So zeigt die unten stehende Abbildung, dass zum Beispiel die
ausschließliche Verwendung von SIL 2-fähigen Komponenten noch
keine Garantie dafür ist, dass die Sicherheitsfunktion als Ganzes
ebenfalls SIL 2 erfüllt. SIL 2 ist nur dann gegeben, wenn der
PFD-Wert für alle Komponenten zusammen innerhalb des für SIL 2
erlaubten Bereiches liegt.
ERMITTLUNG DER SIL-FÄHIGKEIT
Berechnung des Gesamt-PFD-Wertes einer Sicherheitsfunktion
PFD-Wert
Sensor
PFD = 3,63 x 10 -3
SIL 2
12
+
PFD-Wert
Sicherheits-SPS
PFD = 1,84 x 10 -3
SIL 2
+
PFD-Wert
Antrieb
PFD = 2,28 x 10 -3
SIL 2
+
PFD-Wert
Armatur
PFD = 2,92 x 10 -3
SIL 2
=
Gesamt-PFD-Wert
Sicherheitsfunktion
PFD = 1,07 x 10 -2
SIL 1
Zeigen die Berechnungen, dass mit den ausgewählten Hardwarekomponenten der geforderte SIL nicht erreicht wird, lässt
sich die SIL-Fähigkeit durch Maßnahmen wie zusätzliche
Diagnose oder Redundanz verbessern.
REDUNDANZ
Auch mit einem redundanten Systemaufbau lässt sich die Wahrscheinlichkeit erhöhen, dass eine Sicherheitsfunktion im Notfall
ausgeführt werden kann. Dabei werden zwei oder mehr Geräte
eines sicherheitstechnischen Systems redundant betrieben.
PARTIAL VALVE STROKE TEST (PVST)
Mit Hilfe des Partial Valve Stroke Tests wird in regelmäßigen
Abständen die Funktion des Gerätes geprüft. Der Antrieb bzw. die
Armatur fährt einen deﬁnierten Weg vor und wieder zurück. Damit
wird geprüft, ob sich der Antrieb tatsächlich bewegt.
Der PVST ist eine anerkannte Methode, die Verfügbarkeit von Einzelkomponenten einer Sicherheitsfunktion zu erhöhen. Durch die
vorbeugende Diagnose lassen sich einige sicherheitsrelevante Fehler
ausschließen; die Ausfallwahrscheinlichkeit nimmt ab.
WIEDERHOLUNGSPRÜFUNG (PROOF TEST)
Je nach Sicherheitsanforderung sind verschiedene MooN („M out of
N“) Konﬁ gurationen sinnvoll. Bei einer 1oo2 („one out of two“)
Konﬁ guration genügt zum Beispiel eines von zwei Geräten, um die
Sicherheitsfunktion auszuführen. Bei einer 2oo3 („two out of
three“) Konﬁguration müssen zwei von drei Geräten korrekt
arbeiten. Wie die konkrete Anordnung der Geräte aussieht, hängt
auch von der geforderten Sicherheitsfunktion ab.
Ein redundanter Systemaufbau kann die Hardwarefehlertoleranz und
damit auch die SIL-Fähigkeit erhöhen.
Für SIL 3 Anwendungen nach der IEC 61511 wird in der Regel ein
redundanter Systemaufbau verwendet, zum Beispiel 1oo2.
Hier handelt es sich um eine umfangreiche Systemüberprüfung.
Wird das Intervall zwischen zwei Wiederholungsprüfungen von zum
Beispiel zwei Jahren auf ein Jahr verkürzt, kann sich die SIL-Fähigkeit
verbessern, da unerkannte Fehler schneller aufgedeckt werden
können.
VERBESSERUNG DER SIL-FÄHIGKEIT
Redundantes System für Sicheres ÖFFNEN
Redundantes System für Sicheres SCHLIESSEN
13
Für Anlagenplaner und Anlagenbetreiber ist es von zentraler
Bedeutung, ausschließlich Komponenten einzusetzen, die die
jeweiligen Sicherheitsanforderungen erfüllen. Um unsere
Kunden bei der Auswahl zu unterstützen, hat AUMA die
Sicherheitskennzahlen und die SIL-Fähigkeit der AUMA
Stellantriebe, Steuerungen und Getriebe ermittelt.
Eine Übersicht über alle bewerteten AUMA Produkte ﬁnden Sie
auf Seite 26. Detaillierte Sicherheitskennzahlen für ausgewählte
Antriebe ﬁnden Sie auf Seite 24.
BEURTEILTE SICHERHEITSFUNKTIONEN
Die Sicherheitskennzahlen und damit auch die SIL-Fähigkeit sind
abhängig von der Sicherheitsfunktion, die das Gerät im Notfall
ausführt, um die Anlage in einen sicheren Zustand zu bringen.
Da Stellantriebe vor allem dem automatisierten Öffnen und Schließen von Armaturen dienen, bewegen sich auch die Sicherheitsfunktionen der AUMA Antriebe innerhalb dieses Bereichs.
AUMA PRODUKTE MIT SIL-KLASSIFIZIERUNG
STELLANTRIEBE SA UND SQ
OHNE INTEGRIERTE STEUERUNG
STELLANTRIEBE SA UND SQ MIT
INTEGRIERTER STEUERUNG
AC .2 IN AUSFÜHRUNG SIL
Die Stellantriebe SA und SQ für sich
genommen, ohne integrierte Steuerung,
sind in den betrachteten Sicherheitsfunktionen SIL 2-fähig. SIL 3 lässt sich durch
redundanten Systemaufbau erreichen. Dies
gilt ebenso für die Versionen SAR und SQR
für Regelbetrieb sowie SAEx und SQEx für
explosionsgefährdete Bereiche.
Bei den integrierten Steuerungen AC .2 und
ACExC .2 in Ausführung SIL werden die
Sicherheitsfunktionen über eine separate
Platine ausgeführt.
Bei diesen Ausführungen müssen die
steuerungstechnischen Funktionen vom
Kunden zur Verfügung gestellt werden.
Die umfangreiche Funktionalität der
AC .2 steht im Standardbetrieb weiterhin
zur Verfügung.
Stellantriebe mit dieser Steuerung sind
SIL 2-fähig. SIL 3 lässt sich durch redundanten Systemaufbau erreichen.
Ausführliche Informationen zur AC .2 in
Ausführung SIL ﬁnden Sie auf den folgenden Seiten.
14
Sicheres ÖFFNEN/Sicheres SCHLIESSEN
Hier fährt der Antrieb bei Anforderung der Sicherheitsfunktion in
Richtung Endlage AUF oder Endlage ZU.
Diese Sicherheitsfunktionen können auch mit einem Partial Valve
Stroke Test (PVST) als zusätzliche Diagnosemaßnahme kombiniert
werden.
Sichere Endlagenrückmeldung
Hier wird über die elektromechanische Steuereinheit eine sichere
Meldung ausgegeben, sobald eine der Endlagen AUF oder ZU oder
das Abschaltdrehmoment erreicht sind. Dies ist zwar keine Sicherheitsfunktion im Sinne der Norm, doch hat es sich in der Praxis als
bedeutsam erwiesen, auch für diese Funktion Sicherheitskennzahlen
zur Verfügung zu stellen.
Sicherer Stillstand/Sicherer STOPP
Der Motor des Antriebs wird bei Anforderung der Sicherheitsfunktion gestoppt. Ein unerwünschtes Anfahren des Motors wird
verhindert.
STELLANTRIEBE SA UND SQ MIT
INTEGRIERTER STEUERUNG
AC .2 IN STANDARDAUSFÜHRUNG
Die Antriebe mit integrierter Steuerung
AC .2 oder ACExC .2 in Standardausführung
sind in den betrachteten Ausführungen
durchgängig SIL 1-fähig.
Bei der AC .2 können die Sicherheitsfunktionen Sicheres ÖFFNEN/Sicheres SCHLIESSEN
(ESD) oder Sicherer STOPP konﬁ guriert
werden.
STELLANTRIEBE SA UND SQ MIT
INTEGRIERTER STEUERUNG AM
Die Stellantriebe mit integrierter Steuerung
AM oder AMEx sind in den betrachteten
Ausführungen durchgängig SIL 2-fähig. SIL 3
lässt sich durch redundanten Systemaufbau
erreichen.
GETRIEBE GK, GST, GS UND GF
Für die AUMA Getriebe GK, GST, GS und GF
wurden ebenfalls die Sicherheitskennzahlen
bestimmt. Die betrachteten Getriebe sind
durchgängig SIL 2-fähig.
Die Sicherheitsfunktionen Sicheres ÖFFNEN/
Sicheres SCHLIESSEN können wahlweise
über die Standard-Eingänge für Öffnen und
Schließen realisiert werden oder über einen
separaten NOT-Eingang.
15
Mit der integrierten Steuerung AC .2 in Ausführung SIL
bietet AUMA eine moderne Steuerung für sicherheitsbezogene Systeme bis SIL 3. Sicherheitsfunktionen werden
ausschließlich über das sichere SIL-Modul ausgeführt. Im
Normalbetrieb steht der volle Funktionsumfang der AC .2
zur Verfügung.
TÜV-ZULASSUNG FÜR SIL2/SIL3 ANWENDUNGEN
Wer die integrierte Steuerung AC .2 kennt, schätzt ihre Vielfalt an
Funktionen und Einstellmöglichkeiten. Mit ihren frei konﬁgurierbaren parallelen und Feldbusschnittstellen lässt sie sich problemlos in
moderne Leitsysteme einbinden. Die AC .2 ist die ideale Steuerung
für komplexe Steuer- und Regelfunktionen. Zusätzliche Diagnosefunktionen wie Betriebsdatenerfassung und Überwachung von
Lebensdauerfaktoren erhöhen zudem Sicherheit und Verfügbarkeit
des Antriebs.
Dank des von AUMA entwickelten SIL-Moduls sind diese Funktionen
auch für SIL 2- und SIL 3-Anwendungen nutzbar. Stellantriebe SA
und SQ mit AC .2 in Ausführung SIL sind durch den TÜV Nord
zertiﬁziert und für sicherheitsbezogene Systeme bis SIL 3
zugelassen.
INTEGRIERTE STEUERUNG AC .2 IN AUSFÜHRUNG SIL
Steuerung AC .2 in Ausführung SIL mit SIL-Modul
16
DAS SIL-MODUL
VORRANG FÜR DIE SICHERHEITSFUNKTION
Beim SIL-Modul handelt es sich um eine zusätzliche Platine, die für
die Ausführung von Sicherheitsfunktionen zuständig ist. Diese
Platine wird in den integrierten Steuerungen AC .2 und ACEx .2
eingesetzt.
Ein Stellantrieb mit AC .2 in Ausführung SIL vereint zwei Funktionen
in einem System. Zum einen können die Standardfunktionen der AC
.2 für den „Normalbetrieb“ verwendet werden. Zum anderen
werden über das integrierte SIL-Modul die Sicherheitsfunktionen
ausgeführt.
Kommt es zu einem Notfall und wird eine Sicherheitsfunktion
angefordert, so wird die Standardlogik der AC .2 überbrückt und die
Sicherheitsfunktion über das SIL-Modul ausgeführt.
Auf dem SIL-Modul werden nur vergleichsweise einfache Bauelemente wie Transistoren, Widerstände und Kondensatoren eingesetzt, deren Ausfallarten vollständig bekannt sind. Deshalb gilt die
AC .2 in Ausführung SIL als einfaches Typ A Gerät. Die ermittelten
Sicherheitskennzahlen erlauben den Einsatz in SIL 2- und, in
redundanter Ausführung (1oo2), in SIL 3-Anwendungen.
Die Sicherheitsfunktionen haben dabei immer Vorrang vor dem
Normalbetrieb. Dies wird dadurch gewährleistet, dass bei Anforderung einer Sicherheitsfunktion die Standardlogik der Steuerung
durch eine Bypass-Schaltung umgangen wird.
Wird ein Antrieb mit AC .2 in Ausführung SIL als reines Sicherheitssystem genutzt, kann die Ansteuerung über die Standard-SPS
entfallen.
Signale einer Standard-SPS/
Signale der Ortssteuerstelle
Signale einer Sicherheits-SPS
Normalbetrieb:
Fahre AUF, Fahre ZU, HALT
Sicherheitsfunktionen: Sicheres ÖFFNEN,
Sicheres SCHLIESSEN, Sicherer STOPP
Standardlogik
AC .2
SIL-Modul
Signalverarbeitung bei einem typischen
System mit AC .2 in Ausführung SIL
Leistungsteil für Motorsteuersignal
(Schütz oder Thyristor)
Antrieb
Die AC .2 wird über zwei übergeordnete
Steuerungen (SPS) angesteuert, eine
Standard-SPS und eine Sicherheits-SPS, also
eine SIL-zugelassene SPS. Der Normalbetrieb
wird über die Befehle der Standard-SPS
gesteuert und durch die Standardlogik der
AC .2 verarbeitet.
Bei einem Notfall wird der Normalbetrieb
unterbrochen, und die Signale der Sicherheits-SPS steuern den Antrieb über das
integrierte SIL-Modul.
17
FUNKTIONEN DES SIL-MODULS
KONFIGURATIONSMÖGLICHKEITEN
Die AC .2 in Ausführung SIL zeichnet sich durch eine Vielfalt an
Konﬁgurationsmöglichkeiten aus. Im Werk wird bereits entsprechend der Kundenwünsche voreingestellt, welche Sicherheitsfunktion ausgeführt und wann eine Abschaltung der Fahrt erfolgen soll.
Diese Einstellung erfolgt über DIP-Schalter auf dem SIL-Modul.
Sicherheitsfunktionen
Die folgenden Sicherheitsfunktionen können mit Hilfe der AC .2 in
Ausführung SIL realisiert werden:
> Sicheres ÖFFNEN/SCHLIESSEN
(Safe ESD, Emergency Shut Down)
Der Stellantrieb fährt in die konﬁgurierte Richtung AUF bzw. ZU.
Für zusätzliche Sicherheit ist der Signaleingang redundant
ausgeführt.
> Sicherer STOPP (Safe STOP)
Bei dieser Sicherheitsfunktion wird ein Fahrbefehl der StandardSPS in Richtung AUF oder ZU nur dann ausgeführt, wenn ein
zusätzliches Freigabesignal des SIL-Moduls anliegt.
Falls das Freigabesignal fehlt, wird eine Fahrt in Richtung AUF
bzw. ZU gestoppt oder erst gar nicht gestartet.
> Sicheres ÖFFNEN/SCHLIESSEN kombiniert mit Sicherem STOPP
In diesem Fall besitzt die Funktion Sicheres ÖFFNEN/Sicheres
SCHLIESSEN die höhere Priorität.
Zusätzlich ist über den Stellantrieb die sichere Endlagenrückmeldung möglich.
18
Abschaltkriterien
Wie für den Normalbetrieb kann auch für die Sicherheitsfunktionen
festgelegt werden, in welchen Fällen der Antrieb abschaltet.
Während im Normalbetrieb die Abschaltkriterien den Schutz von
Armatur und Antrieb gewährleisten, kann es im Anforderungsfall
einer Sicherheitsfunktion jedoch vorrangig sein, die Armatur
unbedingt zu öffnen bzw. zu schließen. Ein Schaden am Antrieb
oder an der Armatur wird dann gegebenenfalls in Kauf genommen.
Insgesamt stehen für Sicherheitsfunktionen die folgenden Abschaltkriterien zur Verfügung:
> Wegabhängige Abschaltung mit Überlastschutz
Sobald der eingestellte Schaltpunkt in der Endlage AUF oder ZU
erreicht wird, schaltet die Steuerung den Antrieb ab. Tritt
während der Fahrt ein überhöhtes Drehmoment auf, zum Beispiel
durch einen in der Armatur eingeklemmten Gegenstand, wird der
Antrieb zum Schutz der Armatur abgeschaltet, bevor die Endlage
erreicht wird.
> Abschaltung in der Weg-Endlage
Der Stellantrieb stoppt erst, wenn die Endlage AUF oder ZU
erreicht ist, unabhängig vom ausgeübten Drehmoment.
> Abschaltung in der Drehmoment-Endlage
Der Stellantrieb stoppt erst bei Erreichen der Weg-Endlage und
des eingestellten Endlagendrehmoments.
> Keine Abschaltung
Hier werden Drehmoment- und Wegschalter überbrückt, um die
Armatur unbedingt zu öffnen bzw. zu schließen. Um ein
Verbrennen des Motors zu verhindern, empfehlen wir in diesem
Fall, die AC .2 in Ausführung SIL mit Thermoschutzfunktion zu
verwenden.
LAUFÜBERWACHUNG DES ANTRIEBS
UNTERSTÜTZENDES DISPLAY
Über eine elektromechanische Laufüberwachung des Antriebs kann
mit Hilfe des SIL-Moduls die Zuverlässigkeit des Systems überprüft
werden. Wird ein Fahrbefehl ausgegeben und der Antrieb fährt
nach einer vordeﬁnierten Zeit nicht an, dann aktiviert das SIL-Modul
die SIL-Sammelfehlermeldung.
Informationen über den Status des SIL-Moduls, wie zum Beispiel das
Ausführen einer Sicherheitsfunktion oder das Anstehen der
SIL-Sammelfehlermeldung, werden mit entsprechenden Symbolen
und Texten auf dem Display der AC .2 angezeigt.
Diese Laufüberwachung ist auch im Normalbetrieb aktiv.
SICHERE EIN- UND AUSGÄNGE
Das SIL-Modul stellt drei sichere Eingänge und zwei sichere Ausgänge zur Verfügung:
> 1 redundant ausgeführter Eingang für Sicheres ÖFFNEN/
Sicheres SCHLIESSEN (es kann entweder Öffnen oder Schließen
konﬁ guriert werden)
> 1 Eingang für Sicheren STOPP bzw. Freigabe in Richtung AUF
> 1 Eingang für Sicheren STOPP bzw. Freigabe in Richtung ZU
> 1 Ausgang zur Meldung eines SIL-Sammelfehlers
> 1 Ausgang zur Meldung „System bereit“
6D
6
DIH (6'
6'
6 6
6 W D W X V 6
6,/
6DIH(
(6'
19
Um eine fundierte und nachvollziehbare Aussage über die
SIL-Fähigkeit der AUMA Geräte machen zu können, wurden
Sicherheitskennzahlen ermittelt. Die Normen IEC 61508 und
61511 sehen dazu zwei verschiedene Verfahren vor: die
Hardwarebeurteilung und die vollständige Bewertung.
HARDWAREBEURTEILUNG FÜR BESTEHENDE PRODUKTE
Hardwarebeurteilung
Bereits bestehende Produkte hat AUMA anhand einer Hardwarebeurteilung bewerten lassen. Dazu zählen die Stellantriebe
SA und SQ, die integrierten Steuerungen AM und AC .2 in
Standardausführung sowie die Getriebe GS und GF.
Für die einzelnen Komponenten werden Sicherheitskennzahlen
ermittelt, anhand derer die SIL-Einstufung vorgenommen werden
kann.
Vollständige Bewertung
Die Entwicklung der integrierten Steuerung AC .2 in Ausführung
SIL dagegen ist durch den TÜV Nord vollständig bewertet
worden. Dabei wurden nicht nur zufällige sondern auch systematische Fehler in allen relevanten Phasen des Produktlebenszyklus
betrachtet, von der Speziﬁkation bis hin zur Außerbetriebsetzung
des Produkts.
Zur Bewertung bereits bestehender Komponenten sehen die
Normen IEC 61508 und 61511 eine Eignungsaussage auf der Basis
einer Hardwarebeurteilung eines Gerätes vor.
Als Grundlage für die Hardwarebeurteilung wurden für AUMA
Steuerungen generische Daten und für AUMA Antriebe Feldrücklaufdaten verwendet.
ERMITTLUNG DER SICHERHEITSKENNZAHLEN FÜR AUMA PRODUKTE
20
Generische Daten
Generische Daten sind statistisch ermittelte Ausfallraten für einzelne
Bauelemente, die in speziellen Datenbanken, sogenannten „Reliability data books“, gelistet sind. Beispiele sind die Siemens Norm SN
29500 oder das exida Handbuch.
FMEDA
Die FMEDA (Failure Mode Effects and Diagnostic Analysis, Ausfallarten-, Auswirkungs- und Diagnoseabdeckungsanalyse) ist eine nach
der IEC 61508 anerkannte Methode, um Sicherheitskennzahlen zu
berechnen.
Für die elektronischen Bauelemente, die in AUMA Produkten,
insbesondere den AUMA Steuerungen, verwendet werden, wurden
die Sicherheitskennzahlen auf Grundlage des exida Handbuchs
ermittelt.
Diese Analyse erfolgt in deﬁnierten Schritten, die dokumentiert und
jederzeit nachvollziehbar sind.
Feldrücklaufdaten
Für mechanische Komponenten sind nur wenige generische Daten
verfügbar. Hier werden über Feldrücklaufdaten, zum Beispiel
Fehlerrückmeldungen während der Garantiezeit, und über Versuchsergebnisse Rückschlüsse auf die Zuverlässigkeit der entsprechenden
Bauteile gezogen.
Bei der Ermittlung der Sicherheitskennzahlen der AUMA Antriebe
wurden Daten aus den letzten zehn Jahren ausgewertet.
Mit Hilfe der FMEDA werden mögliche Fehlerszenarien und die
jeweiligen Eintrittswahrscheinlichkeiten untersucht. Zudem wird
analysiert, ob die möglichen Fehler für die Sicherheitsfunktion
gefährlich sind oder nicht und ob sie diagnostiziert und damit
erkannt werden können.
Aus den so ermittelten Ausfallraten werden Ausfallwahrscheinlichkeiten (PFDavg-Werte) und weitere Sicherheitskennzahlen wie Safe
Failure Fraction (SFF) und Diagnosedeckungsgrad (DCD) berechnet.
Ermittlung der Sicherheitskennzahlen
Feldrücklaufdaten
(AUMA Stellantriebe)
Generische Daten
(AUMA Steuerungen)
Ausfallraten λ
der Systemkomponenten
FMEDA
Kategorisierte Ausfallraten
des Systems
λsafe λdangerous detected λdangerous undetected
Berechnung der
Sicherheitskennzahlen
PFDavg SFF HFT DCD
21
VOLLSTÄNDIGE BEWERTUNG FÜR NEUENTWICKLUNGEN
Bei der integrierten Steuerung AC .2 in Ausführung SIL handelt es
sich um eine Entwicklung, für die eine vollständige Bewertung nach
IEC 61508 durchgeführt wurde. Bewertet wurde dabei das Gesamtsystem bestehend aus einem Stellantrieb SA .2 und einer Steuerung
AC .2 in Ausführung SIL. Die Zertiﬁzierung wurde durch den TÜV
Nord durchgeführt.
Systematische Fehler
Systematische Fehler sind in der Regel Entwicklungs- oder Fertigungsfehler und sind prinzipiell vermeidbar. Mit Hilfe eines Functional Safety Management Systems werden mögliche Fehlerquellen
gesucht und Maßnahmen ergriffen, um die systematischen Fehler zu
vermeiden.
Was wurde geprüft?
Gegenüber der reinen Hardwarebeurteilung bereits bestehender
Produkte werden bei der vollständigen Bewertung zusätzlich zum
Beispiel die Entwicklungs- und Produktionsabläufe geprüft und
zertiﬁziert, um systematische Fehler möglichst zu vermeiden.
Functional Safety Management System
Ein Functional Safety Management (FSM) System kann als Erweiterung eines Qualitätsmanagementsystems betrachtet werden. Durch
die darin beschriebenen Regelungen und Deﬁnitionen kann ein
Großteil der systematischen Fehlerquellen ausgeräumt werden.
Die unten gezeigte Abbildung verdeutlicht den Grundgedanken
einer vollständigen Bewertung nach IEC 61508. Betrachtet werden
dabei sowohl die systematischen Fehler eines Produkts als auch die
zufälligen Fehler.
ERMITTLUNG DER SICHERHEITSKENNZAHLEN FÜR AUMA PRODUKTE
Grundprinzip einer vollständigen Bewertung
Systematische Fehler
Zufällige Fehler
Prinzipiell vermeidbar
Ziel: Fehlervermeidung
Prinzipiell nicht vermeidbar
Ziel: Fehlerbeherrschung
Functional Safety
Management (FSM) System
Fehler vermieden
22
Fehler nicht
vermieden
Maßnahmen
Diagnose, Redundanz
Ermittlung der
Sicherheitskennzahlen
ZERTIFIKATE UND BERICHTE
Zufällige Fehler
Zufällige Fehler sind zum Beispiel bedingt durch äußere Störungen
und werden als prinzipiell nicht vermeidbar betrachtet. Daher
müssen Möglichkeiten geschaffen werden, um diese Fehler so weit
wie möglich zu beherrschen.
Die Zertiﬁkate, Prüfberichte und Sicherheitskennzahlen für die
AUMA Produkte wurden in Zusammenarbeit mit dem TÜV
Nord sowie mit exida ermittelt. Beide Organisationen sind
führende internationale Zertiﬁzierungsagenturen im Bereich
der funktionalen Sicherheit.
Geeignete Maßnahmen sind zum Beispiel zusätzliche Systemüberwachung und Systemdiagnose sowie redundanter Aufbau.
In der Tabelle auf Seite 26 werden alle zertifzierten und
sicherheitstechnisch bewerteten AUMA Produkte aufgeführt.
Ermittlung der Sicherheitskennzahlen
Die trotz aller Maßnahmen verbleibenden Fehler müssen quantitativ
erfasst werden, um das verbleibende Restrisiko beurteilen zu
können. Dazu werden die Sicherheitskennzahlen wie die Ausfallwahrscheinlichkeit der Produkte ermittelt und dem Endanwender
zur Verfügung gestellt.
Dieser Vorgang läuft bei AUMA nach der gleichen Vorgehensweise
ab wie bei der reinen Hardwarebeurteilung (siehe Seite 21).
23
SICHERHEITSKENNZAHLEN FÜR AUSGEWÄHLTE AUMA PRODUKTE
Nachfolgend sind beispielhaft die Sicherheitskennzahlen für ausgewählte Antriebe und Steuerungen aufgeführt.
Die Sicherheitskennzahlen sind abhängig von der Sicherheitsfunktion, da die Deﬁnition des sicheren Zustands unterschiedlich sein kann und
somit eine unterschiedliche Betrachtungsweise notwendig ist. Bei Antrieben mit integrierter Steuerung sind die Sicherheitskennzahlen
zudem abhängig von der Ausführung des Schaltplans, da unterschiedliche Bauelemente mit entsprechend unterschiedlichen Ausfallraten
eingesetzt werden. Insgesamt wurden Sicherheitskennzahlen für ca. 150 verschiedene Versionen ermittelt.
Weitere Daten erhalten Sie gern auf Anfrage.
DREHANTRIEBE SA/SAR 07.2 – SA/SAR 16.2 UND SAEX/SAREX 07.2 – SAEX/SAREX 16.2
OHNE INTEGRIERTE STEUERUNG
exida Bericht
Sicherheitsfunktion
AUMA 10/03-053 R006 [F1]
Sicheres ÖFFNEN/
Sicheres SCHLIESSEN
AUMA 10/03-053 R006 [F2]
Sicheres ÖFFNEN/Sicheres SCHLIESSEN
mit PVST1)
safe
367 FIT
367 FIT
DD
0 FIT
162 FIT
DU
203 FIT
41 FIT
DCD
0%
80 %
MTBF
200 Jahre
200 Jahre
SFF
64 %
92 %
T[proof] = 1 Jahr
PFDavg = 1,05 x 10-3
PFDavg = 4,96 x 10-4
T[proof] = 2 Jahre
PFDavg = 1,92 x 10-3
PFDavg = 6,55 x 10-4
T[proof] = 5 Jahre
PFDavg = 4,53 x 10-3
PFDavg = 1,13 x 10-3
SIL-Fähigkeit2)
SIL 2 (1oo1)/SIL 3 (1oo2) 3)
SIL 2 (1oo1)/SIL 3 (1oo2) 3)
DREHANTRIEBE SA/SAR 07.2 – SA/SAR 16.2
MIT STEUERUNG AC 01.2 IN AUSFÜHRUNG SIL
Als Beispiel werden die Daten für einen Drehantrieb mit Schützen als Leistungsteil dargestellt.
1
2
3
24
TÜV Zertiﬁkat
SEBS-A. 120728/13 V1.0
SEBS-A. 120728/13 V1.0
Sicherheitsfunktion
Safe ESD
(Sicheres ÖFFNEN/Sicheres SCHLIESSEN)
Safe STOP
(Sicherer STOPP)
safe
185 FIT
591 FIT
DD
766 FIT
89 FIT
DU
167 FIT
200 FIT
DCD
82 %
30 %
MTBF
46 Jahre
48 Jahre
SFF
85 %
77 %
T[proof] = 1 Jahr
PFDavg = 2,01 x 10-3
PFDavg = 1,69 x 10-3
SIL-Fähigkeit2)
SIL 2 (1oo1)/SIL 3 (1oo2) 3)
SIL 2 (1oo1)/SIL 3 (1oo2) 3)
Der Partial Valve Stroke Test muss mindestens 1 Mal pro Monat durchgeführt werden.
SIL Fähigkeit bedeutet, dass die errechneten Daten innerhalb des Bereichs für den entsprechenden SIL liegen, aber bedeutet nicht, dass alle IEC 61508
relevanten Bedingungen erfüllt werden.
SIL 3 kann bei redundantem Systemaufbau erreicht werden (1oo2, „one out of two“).
LEGENDE
Kennzahl
safe
Erklärung
Lambda Safe – Anzahl der sicheren Ausfälle pro Zeiteinheit
Ein  Wert gibt eine Ausfallrate an, d.h. die Anzahl der Ausfälle einer
Komponente pro Zeiteinheit. Die Ausfallraten werden benötigt, um
Ausfallwahrscheinlichkeiten zu berechnen.
Die Einheit Failure in Time (FIT) gibt dabei die Anzahl der Ausfälle an, die
in 109 Stunden auftreten: 1 FIT heißt ein Ausfall pro 109 Stunden
beziehungsweise ein Ausfall pro 114.000 Jahre.
Ein Ausfall gilt als sicher oder nicht gefahrbringend, wenn das System
durch ihn nicht in einen gefährlichen Zustand versetzt wird.
DD
Lambda Dangerous Detected – Anzahl der entdeckten gefährlichen
Ausfälle pro Zeiteinheit
Angeben wird die Anzahl der durch Diagnosetests erkannten
gefährlichen Ausfälle pro 109 Stunden.
Ein Ausfall einer Komponente wird als gefährlich eingestuft, wenn
dadurch eine Sicherheitsfunktion nicht ausgeführt werden kann.
DU
Lambda Dangerous Undetected – Anzahl der unentdeckten
gefährlichen Ausfälle pro Zeiteinheit
Angegeben wird die Anzahl der nicht erkannten gefährlichen Ausfälle
pro 109 Stunden.
DCD
Diagnostic Coverage of Dangerous Failures –
Diagnosedeckungsgrad gefährlicher Fehler
Anteil der durch Maßnahmen zur Fehlerdiagnose erkannten Rate
gefahrbringender Ausfälle DD an der Gesamtrate der gefahrbringenden
Ausfälle in Prozent.
MTBF
Mean Time Between Failure – Mittlere Betriebsdauer zwischen
Ausfällen
Beschreibt die Betriebsdauer zwischen zwei aufeinander folgenden
Ausfällen einer Komponente. Die reine MTBF Angabe bezieht sich auf
die Verfügbarkeit (Reliability) eines Gerätes.
Kennzahl
SFF
Erklärung
SFF Safe Failure Fraction – Anteil ungefährlicher Ausfälle
Beschreibt den prozentualen Anteil ungefährlicher Fehler., d.h., der
Fehler, die entweder nicht zu einem gefährlichen Ausfall des Systems
führen können oder die durch Diagnosetests erkannt werden.
Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit eines
gefährlichen Systemausfalls. Ein Wert von 62 % bedeutet, dass 62 von
100 Fehlern am System im Hinblick auf seine sichere Funktion
unbedenklich sind.
Tproof
Intervall für Wiederholungsprüfungen
Die Sicherheitskennzahlen gelten für eine festgelegte Betriebsdauer.
Danach ist eine Wiederholungsprüfung (Proof Test) unbedingt
erforderlich, um die Zuverlässigkeit der Geräte weiterhin sicherzustellen.
Der PFD-Wert lässt sich verbessern, indem die Zeit zwischen zwei
Wiederholungsprüfungen verkürzt wird. Werte unterhalb von einem Jahr
sind jedoch nicht sinnvoll.
PFDavg
Probability of Failure on Demand
Mittlere Wahrscheinlichkeit, dass eine Sicherheitsfunktion im Anforderungsfall nicht ausgeführt werden kann.
SIL-Fähigkeit
Zuordnung zu dem entsprechenden Sicherheits-Integritätslevel anhand
des PFDavg Wertes einer Komponente sowie ggf. anhand von Einschränkungen beim Systemaufbau. Grundlage ist hier das Tproof Intervall von
einem Jahr.
Dabei ist zu beachten, dass für den SIL eines gesamten sicherheitstechnischen Systems die PFD-Werte aller Komponenten addiert werden
müssen (siehe auch Seite 12).
WEITERFÜHRENDE INFORMATIONEN
Diese Broschüre kann nur eine Einführung in das Thema funktionale
Sicherheit bieten. Wer sich eingehender mit dem Thema beschäftigen möchte, ﬁndet unter anderem an folgenden Stellen weiterführende Informationen:
>
>
>
>
Norm IEC 61508 Teil 1 – 7
Norm IEC 61511 Teil 1 – 3
Fachbuch „Funktionale Sicherheit“ von Josef Börcsök
atp edition Ausgabe 1-2/2011
25
AUMA PRODUKTE MIT SIL-KLASSIFIZIERUNG – ÜBERSICHT
Für alle SIL-klassiﬁzierten AUMA Produkte können Sie die Herstellererklärungen bzw. Prüfberichte direkt bei AUMA anfordern.
Beispieldaten finden Sie auf Seite 24.
Antrieb / Getriebe
SA/SAR 07.2 – 16.2
SAEx/SAREx 07.2 – 16.2
SA/SAR 07.1 – 16.1
SAExC/SARExC 07.1 – 16.1
SQ/SQR 05.2 – 14.2
SQEx/SQREx 05.2 – 14.2
SG/SGR 05.1 – 12.1
SGExC 05.1 – 12.1
GK 10.2 – 25.2
GST 10.1 – 40.1
GS 50.3 – 250.3, GS 315 – 500
GF 50.3 – 250.3
1
2
3
26
Steuerung
ohne Steuerung
SIL-Fähigkeit
SIL 21)
SIL 32)
AM 01.1/02.1
AMExC 01.1
AMExB 01.1
SIL 21) 3)
SIL 32) 3)
AC 01.2 Ausführung SIL
ACExC 01.2 Ausführung SIL
SIL 21)
SIL 32)
AC 01.2 (Standard)
ACExC 01.2 (Standard)
SIL 11) 3)
SIL 22) 3)
ohne Steuerung
SIL 21)
SIL 32)
AM 01.1/02.1
AMExC 01.1
AMExB 01.1
SIL 21) 3)
SIL 32) 3)
AC 01.1
ACExC 01.1
SIL 11) 3)
SIL 22) 3)
ohne Steuerung
SIL 21)
SIL 32)
SIL 11) 3)
SIL 22) 3)
SIL 21)
SIL 32)
SIL 11) 3)
SIL 22) 3)
SIL 11)
SIL 22)
AM 01.1/02.1
AMExC 01.1
AC 01.2 Ausführung SIL
ACExC 01.2 Ausführung SIL
AC 01.2 (Standard)
ACExC 01.2 (Standard)
ohne Steuerung
AM 01.1/02.1
AMExC 01.1
AMExB 01.1
SIL 11) 3)
SIL 22) 3)
AC 01.1
ACExC 01.1
SIL 11) 3)
SIL 22) 3)
nicht relevant
nicht relevant
nicht relevant
nicht relevant
SIL 21)
SIL 21)
SIL 21)
SIL 21)
Einkanaliges System, „1oo1“ („one out of one“)
Redundantes System, „1oo2“ („one out of two“)
Abhängig von Schaltplan und Sicherheitsfunktion
Sicherheitsfunktion
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer STOPP
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
Sicheres ÖFFNEN/SCHLIESSEN (ESD)
Sicherer Stillstand/STOPP
Sichere Endlagenrückmeldung
nicht relevant
nicht relevant
nicht relevant
nicht relevant
INDEX
A
H
S
Anteil Sicherer Fehler 11
Hardware Failure Tolerance 11
Safe Failure Fraction 11, 25
Anteil ungefährlicher Ausfälle 25
Hardwarefehlertoleranz 11
Safety Integrity Level 5
Ausfallraten 11, 25
HFT 11
Schwenkantriebe 15, 26
Ausfallwahrscheinlichkeit 10, 25
High Demand Mode 10
SFF 11, 25
Average Probability of Dangerous Failure on
Demand 10, 25
B
Betriebsarten 10
C
Continuous Mode 10
D
Diagnosedeckungsgrad 25
I
Sicherheitsbezogenes System 6
Sicherheitsfunktion 4, 8, 18
IEC 61508 4, 6
Sicherheits-Integritätslevel 5
IEC 61511 4
Sicherheitskennzahlen
Integrierte Steuerung 15, 26
AUMA Produkte 24, 26
Intervall für Wiederholungsprüfung 25
Deﬁnitionen 10
Ermittlung 21, 22, 23
L
Sicherheitstechnische Beurteilung 7
Lambda-Werte 25
SIL 5, 10
Low Demand Mode 10
SIL-Fähigkeit
AUMA Produkte 14, 15, 25, 26
Diagnostic Coverage 25
M
DIN EN 61508 4, 6
Mean Time Between Failures 11, 25
SIL-Modul 17, 18
DIN EN 61511 4, 6
Mittlere Ausfallwahrscheinlichkeit 10, 25
Systematische Fehler 22
Drehantriebe 15, 26
Mittlere Betriebsdauer zwischen Ausfällen 11, 25
MTBF 11, 25
E
exida 21, 23
P
Partial Valve Stroke Test 13
F
Fehler
Verbesserung 13
T
Typ A Gerät 11
Typ B Gerät 11
PFD-Wert 10, 25
W
PFH-Wert 10
Wiederholungsprüfung 13, 25
systematische 22
Probability of Failure on Demand 10, 25
zufällige 23
Probability of Failure per Hour 10
Z
Feldrücklaufdaten 21
Proof Test 13, 25
Zufällige Fehler 23
FMEDA 21
PVST 13
Funktionale Sicherheit
Deﬁnition 4
R
Normen 6
Redundanz 13
G
Risikoanalyse 7
Risikograph 7
Generische Daten 21
Gerätetyp 11
Gesamt-PFD-Wert 12
Getriebe 15, 26
27
AUMA Riester GmbH & Co. KG
Aumastraße 1
D-79379 Müllheim
Tel +49 7631-809-0
Fax +49 7631-809-1250
[email protected]
AUMA Tochtergesellschaften und
Vertretungen sind in über 70 Ländern für
Sie da. Detaillierte Kontaktinformationen
ﬁnden Sie auf unserer Website.
www.auma.com
Änderungen vorbehalten. Angegebene Produkteigenschaften stellen keine Garantieerklärung dar. Y004.602/001/de/1.15
Zertiﬁkat-Registrier-Nr.
12 100/104 4269

Download Report