fas630d sil

5/25/2018 Fas630d Sil

1/24

5/25/2018 Fas630d Sil

2/24

5/25/2018 Fas630d Sil

3/24

Funktionale SicherheitSafety Integrity LevelDr. Thomas Reus

5/25/2018 Fas630d Sil

4/24

Vorwort

ZielgruppeDiese Broschre soll eine Hilfestellung zum Einstieg in die funktionale Sicherheit (rGlossar) geben.Sie richtet sich an Kunden und Mitarbeiter von JUMO, und beschrnkt sich inhaltlich auf die Berei-

che und Anwendungen, in denen JUMO-Produkte zum Einsatz kommen.Warum JUMO SIL-Produkte anbietetBei JUMO werden u. a. auch Produkte im Sinne der Druckgerterichtlinie, der Maschinenrichtlinie,der ATEX-Richtlinie und spezieller sicherheitstechnischer Produktnormen, wie z. B. der DIN 3440entwickelt und produziert.

Fr solche Produkte, die speziell fr Sicherheitszwecke konstruiert werden, ist die DIN EN 61 508mittlerweile unumgnglich, da sie den Stand der Technik fr die funktionale Sicherheit definiert.

bersicht zu Produkten mit SIL-FhigkeitEine aktuelle bersicht und nhere Informationen zu unseren SIL-zugelassenen Podukten findetman unter www.jumo.de rProdukte rZulassungenrSIL.

BegriffsklrungIn dieser Broschre verwenden wir hufig nur den Begriff DIN EN 61 508. Diese Norm trgt denvollen Titel Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer / program-mierbarer elektronischer Systeme. Inhaltlich identisch ist der internationale Standard IEC 61 508.

Fulda, im April 2006

Dr. Thomas Reus

JUMO GmbH & Co. KGMoltkestrae 13 - 3136039 Fulda, GermanyTelefon: +49 661 6003-336

Telefax: +49 661 6003-606E-Mail: [email protected]: www.jumo.net

Nachdruck mit Quellennachweis gestattet!

Teilenummer: 00463374Buchnummer: FAS630

Druckdatum: 04.06

5/25/2018 Fas630d Sil

5/24

Funktionale Sicherheit SIL

Inhalt

1 Rechtliche Grundlagen, Bedeutung von Normen ......................... 5

1.1 Motivation von Normen ...................................................................................... 5

1.2 Normen fr funktionale Sicherheit - Entstehung der DIN EN 61 508 ............. 5

1.3 Rechtliche Stellung der DIN EN 61 508 im Sinne einer EU-Richtlinie ............ 6

2 Grundlegendes Prinzip der DIN EN 61 508 .................................... 7

2.1 Neuerungen gegenber den bisherigen Sicherheitsnormen .......................... 7

2.2 Risikominderung ................................................................................................. 7

2.3 Tolerierbares Risiko ............................................................................................ 9

2.4 Lebenszyklus ..................................................................................................... 10

2.5 Aufgabe von JUMO innerhalb des Sicherheits-Lebenszyklus ..................... 10

3 Begriffe aus der DIN EN 61 508 ..................................................... 11

3.1 Die Sicherheitsintegritt und ihr Ma -der Sicherheits-Integrittslevel SIL ................................................................. 11

3.2 PFD, PFH: Betriebsarten und Versagenswahrscheinlichkeiten .................... 11

3.3 HFT, SFF: Sicherheitsintegritt der Hardware ................................................ 12

3.4 Lifetime und Proof-Check-Intervall ................................................................. 14

3.5 Ausfallrate ......................................................................................................... 14

4 Glossar ............................................................................................ 15

5/25/2018 Fas630d Sil

6/24

Funktionale Sicherheit SIL

Inhalt

5/25/2018 Fas630d Sil

7/24

1 Rechtliche Grundlagen, Bedeutung von Normen 5JUMO, FAS 630, Ausgabe 04.06

1 Rechtliche Grundlagen, Bedeutung von Normen

1.1 Motivation von Normen

Unser tgliches Leben ist geprgt durch Maschinen und Anlagen, denen wir blind unser Leben an-vertrauen, z. B. Autos, Ampeln, medizinische Gerte und Energieanlagen.Daher hat der Gesetzgeber in den verschiedensten Bereichen Gesetze und andere Rechtsvor-

schriften erlassen, die die jeweiligen Anforderungen bezglich der Sicherheit definieren.In Deutschland erlassen z. B. Berufsgenossenschaften als gesetzliche Unfallversicherung Unfall-verhtungsvorschriften und berwachen diese. EU-weit legen EU-Richtlinien Anforderungen anAnlagen und deren Betreiber zum Schutz der Gesundheit der Menschen und der Qualitt der Um-welt fest. Sie fordern bestimmte Produkteigenschaften zum Schutz der Sicherheit und Gesundheitder Verbraucher.

Die Einhaltung der Normen bzw. der geforderten Sicherheitsziele wird in Deutschland durch dasGerte- und Produktsicherheitsgesetz sowie durch den Schadenersatzanspruch gem 823 Br-gerliches Gesetzbuch mit Nachdruck gefordert. Dadurch sind sowohl Gertehersteller wie JUMOals auch Anlagenbetreiber verpflichtet, die entsprechenden Sicherheitsziele zu erreichen.In anderen Lndern gelten hnliche Vorschriften.

Hierbei muss man unterscheiden zwischen sicheren Produkten im allgemeinen Sinne und solchenProdukten, die speziell fr Sicherheitszwecke konstruiert werden. Fr die letzteren ist die DIN EN61 508 mittlerweile unumgnglich, da sie den Stand der Technik fr die funktionale Sicherheit de-finiert.

1.2 Normen fr funktionale Sicherheit - Entstehung der DIN EN 61 508

Auslser war ein Giftgasunfall im norditalienischen Ort Seveso im Juli 1976.Die EU-Richtlinie 96 / 82 / EU definiert seit dem die rechtlichen Bestimmungen fr Anlagen mit gro-em Gefahrenpotential.

Die deutsche Umsetzung der Richtlinie 96 / 82 / EU erfolgt durch die Strfallverordnung im Bun-des-Immissionsschutzgesetz (12. BImSchV).

Die Strfallverordnung verwies bis zum 31.07.2004 auf die DIN V 19 250 und DIN V 19 251. In die-sen Normen sind die die Anforderungsklassen AK 1-8 definiert.

Seit 2002 bietet die DIN EN 61 508 einen neuen Ansatz zur Risikobeurteilung und zum notwendi-gen Nachweis der Wirksamkeit von sicherheitsgerichteten Anlagen, um der Strfallverordnung wei-terhin gerecht zu werden. Sie definiert vier Sicherheitsstufen: SIL1 bis SIL4.Die DIN EN 61 508 lst somit die Normen DIN V 19 250 und DIN V 19 251 ab.

Die Ratifizierung der Normenreihe erfolgte im Juli 2001. Damit wurde die Norm durch die Europi-

sche Normenorganisation CENELEC bernommen. Am 1. August 2002 wurde sie als DIN EN61 508 (VDE 0803) in das deutsche Normenwerk bernommen und definiert damit den Stand derTechnik fr E / E / PES (elektrische, elektronische und programmierbar elektronische Systeme), diefr Sicherheitsfunktionen in sicherheitskritischen Anwendungen zum Einsatz kommen.

Die DIN EN 61 508 ist eine generische, d. h. anwendungsunabhngige, Norm. Sie ist eine Basis-norm und daher allgemeingltig fr alle E / E / PES.

Die DIN EN 61 508 basiert auf dem internationalen Standard IEC 61 508 und besitzt somit weltwei-te Gltigkeit. Sie ist das erste international abgeglichene Regelwerk, das anwendungsunabhngigfr alle E / E / PES ist.

5/25/2018 Fas630d Sil

8/24

1 Rechtliche Grundlagen, Bedeutung von Normen

6 1 Rechtliche Grundlagen, Bedeutung von Normen JUMO, FAS 630, Ausgabe 04.06

Nach und nach werden nun daraus anwendungsspezifische Normen abgeleitet, z. B.

- DIN EN 61 511 fr die funktionale Sicherheit in der Prozesstechnik,

- DIN EN 62 061 fr die funktionale Sicherheit in Maschinensteuerungen.

1.3 Rechtliche Stellung der DIN EN 61 508 im Sinne einer EU-Richtlinie

Die Norm DIN EN 61 508 beschreibt den Stand der Technik in Bezug auf funktionale Sicherheit.

Sie ist aber nicht unter einer EU-Richtlinie harmonisiert, d. h. eine automatische Vermutungswir-

kung zur Erfllung der Schutzziele einer Richtlinie geht von ihr nicht aus.Ihre Einhaltung ist daher zurzeit noch freiwillig und somit unverbindlich im Sinne der EU-Richtlinien.

Dennoch kann der Hersteller eines Produktes der Sicherheitstechnik die DIN EN 61 508 auch zur

Erfllung grundlegender Anforderungen aus Europischen Richtlinien verwenden.

Dies ergibt sich nach der neuen Konzeption der Norm, z. B. in folgenden Fllen:- Aus einer harmonisierten Europischen Norm (z. B. DIN EN 954, DIN EN 60 204-1 harmonisie-

ren die Maschinenrichtlinie) wird auf die DIN EN 61 508 verwiesen. Hierdurch wird sichergestellt,dass die betreffenden Anforderungen der Richtlinien eingehalten werden (mitgeltende Norm).

Wendet der Hersteller die DIN EN 61 508 im Sinne dieser Verweisung sachkundig und verant-wortungsbewusst an, so nutzt er die Vermutungswirkung der verweisenden Norm.

- Es existiert keine harmonisierte Norm fr den betreffenden Anwendungsbereich (wie z. B. DIN

3440, DIN EN 14 597). In diesem Fall darf der Hersteller die DIN EN 61 508 verwenden (Stand

der Technik). Sie hat aber keine Vermutungswirkung.

Erklrung:

Zustzlich wurde bereits fr die Prozessindustrie die DIN EN 61 511 als Fachgrundnorm von derDIN EN 61 508 abgeleitet. Ebenso liegt fr die Maschinenrichtlinie die DIN EN 62 061 vor. Im Be-

reich der Feuerungstechnik liegt als Norm die DIN EN 50 156 vor.

Die normtechnische Weiterentwicklung war notwendig, da moderne sicherheitskritische Prozesseimmer komplexer werden. Bis Mitte der 90er Jahre galt: Der Einsatz von Mikroelektronik oder Mi-

krorechnern in der Sicherheitstechnik ist undenkbar oder nur mit grtem prftechnischen Auf-wand mglich. Viele Normen und Standards enthielten bis dahin Regelungen, die ausdrcklich

konventionelle Lsungen mit relais- oder schtzgesttzten Verriegelungen vorschrieben. Damit

war der Einsatz von modernerem, wirtschaftlicherem und oftmals sogar sicherheitstechnischhochwertigerem Equipment nicht erlaubt.

Die Anforderungen, die ein System erfllen soll, werden jedoch immer vielfltiger und lassen sichin der Regel nur mit elektronischen Lsungen wirtschaftlich erfllen.

Insbesondere gilt dies im Bereich der sicheren digitalen Rechner- und Automatisierungstechnik,in denen komplexe Schaltungen der Digitaltechnik als zentrale Einheit verwendet werden.

5/25/2018 Fas630d Sil

9/24

2 Grundlegendes Prinzip der DIN EN 61 508 7JUMO, FAS 630, Ausgabe 04.06

2 Grundlegendes Prinzip der DIN EN 61 508

2.1 Neuerungen gegenber den bisherigen Sicherheitsnormen

In der Norm DIN EN 61 508 fr funktionale Sicherheit sind die Anforderungen an sicherheitsbezo-gene Systeme allgemein in Safety Integrity Levels (SIL) (rGlossar) eingeteilt. Gerte, Sensorenoder Steuerungen mssen daher eine SIL-Einstufung im Sinne der Norm erhalten. Hinzu kommt

ein neues Verstndnis von Sicherheit. Whrend in den bisherigen sicherheitstechnischen Normeneine rein qualitative Betrachtung blich war, verlangt die neue Norm erstmals die quantitative Be-trachtung des gesamten Systems und den Nachweis des hinreichend niedrigen Restrisikos.

Auerdem wird erstmals auch der gesamte Sicherheits-Lebenszyklus eines Systems geregelt, sie-he Kapitel 2.4Lebenszyklus.

2.2 Risikominderung

Jede Anwendung von Technik bedeutet gleichzeitig ein sicherheitstechnisches Risiko. Je mehrMenschen, Sachwerte oder Umweltbereiche gefhrdet sind, desto mehr Manahmen mssen

auch zur Risikominderung umgesetzt werden. Das Risiko soll mindestens soweit verringert wer-den, dass die Wahrscheinlichkeit, dass eine Person durch Versagen einer technischen Einrichtungin einem Jahr ums Leben kommt, kleiner 10-4Todesflle / pro Person und Jahr ist.Dies entspricht annhernd dem natrlichen Risiko, dass ein Mensch im Laufe eines Jahres um dasLeben kommt. Dieses Risiko schwankt mit dem Alter der Person und liegt zwischen 10-2und 10-4.Einen berblick ber Grundrisiken gibt Abbildung 1 auf Seite 8.

Um die funktionale Sicherheit einer Maschine oder Anlage zu erreichen, ist es notwendig, dass diesicherheitsrelevanten Teile der Schutz- und Steuereinrichtung korrekt funktionieren und sich imFehlerfall so verhalten, dass die Anlage in einem sicheren Zustand bleibt oder in einen sicheren Zu-stand gebracht wird.

Zielsetzung der DIN EN 61 508 ist es, Fehler in sicherheitsbezogenen Systemen zu vermeiden oder

zu beherrschen und die Wahrscheinlichkeit gefhrlicher Ausflle (Risiko) auf definierte Weise zu be-grenzen. Fr das verbleibende Restrisiko wird ein quantitativer Nachweis gefordert.

5/25/2018 Fas630d Sil

10/24


8 2 Grundlegendes Prinzip der DIN EN 61 508 JUMO, FAS 630, Ausgabe 04.06

Abbildung 1: bersicht Grundrisiken

natrlicher Tod 45 - 54 Jahre

natrlicher Tod 35 - 44 Jahre

Arbeitsunfall im Bergbau

natrlicher Tod 5 - 15 JahreVerkehrsunfallHaushaltsunfall

Arbeitsunfall (Chemie)

Ertrinken

Mordanschlag (BRD)

Naturkatastrophen (USA), Stromschlag (BRD)

Blitzschlag (BRD)

Bienenstich

durch abstrzendes Flugzeug erschlagen werden

10-2

10-3

10-4

10-5

10-6

10-7

TodalsRisikojeKopfun

d

Jahr

5/25/2018 Fas630d Sil

11/24

2 Grundlegendes Prinzip der DIN EN 61 508 9


JUMO, FAS 630, Ausgabe 04.06

2.3 Tolerierbares Risiko

Das tolerierbare Risiko einer jeden Technik ist nicht immer eindeutig definiert, sondern wird auf ge-sellschaftlicher Basis bestimmt und bercksichtigt gesellschaftliche und politische Faktoren.Wird das Risiko einer technischen Anlage als zu hoch angesehen, dann mssen besondere Ma-

nahmen zur Risikominderung ergriffen werden.Die notwendige Risikominderung wird durch eine Kombination aller sicherheitsbezogenen Schutz-manahmen erreicht. Das Restrisiko sollte hchstens gleich dem tolerierbaren Risiko sein.Das Restrisiko muss letztlich von dem Anlagenbetreiber getragen und akzeptiert werden.

Abbildung 2: Risikominderung: Allgemeine Konzepte

ansteigendesRisiko

Restrisiko

tolerierbaresRisiko

Risikoohne Schutz-manahmen

notwendige Risikominderung

aktuelle Risikominderung

Durch sicherheits-bezogene Systemeanderer Technologieabgedecktes

Teilrisiko

Durch sicherheits-bezogeneE / E / PE-Systemeabgedecktes

Teilrisiko

Durch externeEinrichtungen zurRisikominderungabgedecktes

Teilrisiko

Durch alle sicherheitsbezogenen Systemeund externe Einrichtungen zur Risikominderung

erreichte Risikominderung

5/25/2018 Fas630d Sil

12/24


10 2 Grundlegendes Prinzip der DIN EN 61 508 JUMO, FAS 630, Ausgabe 04.06

2.4 Lebenszyklus

Die Betreiber von sicherheitstechnischen Anlagen haben whrend des gesamten Lebenszyklus ge-eignete Manahmen zur Risikobeurteilung und Risikominderung zu ergreifen. Hierzu schreibt dieNorm DIN EN 61 508 folgende Schritte vor:

- Risikodefinition und -bewertung nach detaillierten Versagenswahrscheinlichkeiten - sowohl frden gesamten Schutzkreis (Loop) von der Messstelle ber die Steuerung bis zum Aktor als auchfr den gesamten Lebenszyklus (Overall Safety Lifecycle) der Anwendung. Dies kann z. B. durcheine FMEDA (Failure Mode, Effect and Diagnostics Analysis) oder Hazard Analysis geschehen.

- Festlegen und Umsetzen der Manahmen (Management of Functional Safety)zur Restrisikominderung.

- Einsatz geeigneter (zertifizierter) Gerte.

- Periodische berprfung der korrekten Einhaltung von Vorgaben.

Eine bersicht ber die systematische Vorgehensweise gibt die Abbildung 3. Als erstes wird eine

Fehleranalyse durchgefhrt. Danach erfolgen die Auswahl der Manahmen zur Beherrschung derFehler sowie die Umsetzung dieser Manahmen.

Abbildung 3: Vorgehensweisen zur Umsetzung der DIN EN 61 508

2.5 Aufgabe von JUMO innerhalb des Sicherheits-Lebenszyklus

Die Betreiber von sicherheitstechnischen Anlagen bentigen von allen eingesetzten Gerten eineReihe von technischen Daten und Informationen, um die geforderte Risikobewertung fr den ge-samten Schutzkreis und fr die gesamte Lebensdauer vornehmen zu knnen.

Dabei ist es fr den Anlagenbetreiber natrlich vorteilhaft, wenn er SIL-zertifizierte Gerte einset-zen kann. In diesem Fall hat der Hersteller, z. B. JUMO, die erforderlichen Daten fr das betreffen-de Gert mittels einer detaillierten Gefhrdungs- und Risikoanalyse bereits ermittelt. In einem Si-

cherheitshandbuch (Safety Manual) sind dann alle relevanten Daten und Informationen fr denKunden dargelegt. Die dort verwendeten Begriffe werden im folgenden Kapitel erklrt.

Sicherheits-Lebenszyklus

Spezifikation

Planung undImplementierung

Installation undInbetriebnahme

Betriebund Wartung

nderung nachInbetriebnahme

Sicherheits-Management

TechnischeAnforderungen

QualifikationPersonal

Fehlerursachen

5/25/2018 Fas630d Sil

13/24

3 Begriffe aus der DIN EN 61 508 11JUMO, FAS 630, Ausgabe 04.06

3 Begriffe aus der DIN EN 61 508

3.1 Die Sicherheitsintegritt und ihr Ma -der Sicherheits-Integrittslevel SIL

Die Sicherheitsintegritt (sicherheitsbezogene Zuverlssigkeit, englisch: safety integrity) einesSystemes, ist die Wahrscheinlichkeit, dass ein sicherheitstechnisches System die erforderliche si-

cherheitstechnische Funktion unter allen festgelegten Bedingungen innerhalb eines festgelegtenZeitraumes ausfhrt.

Der Sicherheits-Integrittslevel (SIL)ist das Ma fr die Sicherheitsintegritt. Er ist in vier diskre-te Stufen eingeteilt, wobei der Sicherheits-Integrittslevel 4 die hchste Stufe der Sicherheitsinte-gritt und der Sicherheits-Integrittslevel 1 die niedrigste Stufe darstellt.

Der erreichbare SIL wird durch folgende Kenngren bestimmt:

- Wahrscheinlichkeit gefhrlicher Ausflle einer Sicherheitsfunktion (PFD oder PFH),

- Hardware Fehlertoleranz (HFT),

- Anteil ungefhrlicher Ausflle (SFF),

- Art der Komponente (Typ A oder Typ B),

- Lifetime und

- Proofcheck.

3.2 PFD, PFH: Betriebsarten und Versagenswahrscheinlichkeiten

Fr die SIL-Einstufung eines Gertes unterscheidet man zwei Betriebsarten: Low Demand Modeund High Demand Mode.

Low Demand ModeBei der Betriebsart Low Demand Mode nimmt man an, dass die Sicherheitsfunktion durchschnitt-lich einmal im Jahr angefordert wird. In diesem Fall ergibt sich der SIL-Wert aus dem PFD-Wert(Probability of failure on demand).PFD ist eine Mazahl fr die Wahrscheinlichkeit eines Ausfalles der Sicherheitsfunktion in einer Be-triebsart mit niedriger Anforderungsrate.

Typischerweise findet man den Low Demand Mode bei Anlagen der Prozessindustrie. Dort gibt esz. B. Notabschaltsysteme, die erst dann aktiv werden, wenn der normale Prozess auer Kontrollegert.

High Demand Mode

Bei der Betriebsart High Demand Mode nimmt man an, dass die Sicherheitsfunktion kontinuierlichoder durchschnittlich einmal pro Stunde angefordert wird.Fr eine hohe oder kontinuierliche Anforderungsrate wird die Mazahl PFH (Probability of failureper hour) verwendet, die die Wahrscheinlichkeit eines Ausfalls der Sicherheitsfunktion pro Stundeangibt.

Typischerweise findet man den High Demand Mode bei Anlagen der Fertigungsindustrie, bei deneneine kontinuierliche berwachung der Arbeitsprozesse notwendig ist.

5/25/2018 Fas630d Sil

14/24


12 3 Begriffe aus der DIN EN 61 508 JUMO, FAS 630, Ausgabe 04.06

Tabelle 1: Sicherheits-Integrittslevel: Ausfallgrenzwerte fr eine Sicherheitsfunktion,die in der Betriebsart mit niedriger Anforderungsrate betrieben wird

Tabelle 2: Sicherheits-Integrittslevel: Ausfallgrenzwerte fr eine Sicherheitsfunktion,die in der Betriebsart mit hoher Anforderungsrate oderkontinuierlicher Anforderung betrieben wird

3.3 HFT, SFF: Sicherheitsintegritt der Hardware

Zustzlich werden zur SIL-Klassifizierung folgende Kenngren verwendet:

- die Hardware-Fehlertoleranz HFT (Hardware Fault Tolerance) und

- der Anteil ungefhrlicher Ausflle SFF (Safe Failure Fraction).

Die Tabellen 3 und 4 zeigen den Zusammenhang.Nach DIN EN 61 508 ist hierbei zwischen Systemen vom Typ A und Systemen vom Typ B zu unter-scheiden.

Systeme vom Typ AEin Teilsystem kann als vom Typ A betrachtet werden, wenn fr die Bauteile, die fr das Erreichender Sicherheitsfunktion erforderlich sind,

a) das Ausfallverhalten aller eingesetzten Bauteile ausreichend definiert ist und

b) das Verhalten des Teilsystems unter Fehlerbedingungen vollstndig bestimmt werden kannsowie

c) verlssliche Ausfalldaten durch Felderfahrungen fr das Teilsystem existieren, um zu zeigen,dass die angenommenen Ausfallraten fr erkannte und unerkannte gefahrbringende Ausflle er-reicht werden.

Betriebsart mit niedriger Anforderungsrate (Low Demand Mode)

Sicherheits-Integrittslevel PFD

(mittlere Ausfallwahrscheinlichkeitder Sicherheitsfunktion bei Anforderung)

SIL 4 10-5bis

5/25/2018 Fas630d Sil

15/24

3 Begriffe aus der DIN EN 61 508 13


JUMO, FAS 630, Ausgabe 04.06

Systeme vom Typ B

Alle anderen Systeme sind vom Typ B, d. h. ein Teilsystem kann als vom Typ B betrachtet werden,

wenn fr die Bauteile, die fr das Erreichen der Sicherheitsfunktion erforderlich sind,

a) das Ausfallverhalten von mindestens einem eingesetzten Bauteil nicht ausreichend definiert ist

oderb) das Verhalten des Teilsystems unter Fehlerbedingungen nicht vollstndig bestimmt werden

kann oder

c) keine ausreichend zuverlssigen Ausfalldaten aus Felderfahrung fr das Teilsystem vorliegen,

um die in Anspruch genommenen Ausfallraten fr erkannte und unerkannte gefahrbringendeAusflle zu untersttzen.

HFT (Hardware-Fehlertoleranz)

Eine Fehlertoleranz der Hardware von N bedeutet, dass N+1-Fehler zu einem Verlust der Sicher-heitsfunktion fhren knnen.

Die Hardware-Fehlertoleranz wird durch die verwendete Architektur MooN festgelegt.

Mit Hilfe der Bezeichnung MooN (Architektur mit M aus N-Kanlen, englisch: M out of N) wird dieArchitektur eines SIL-Gertes beschrieben. Z. B. bedeutet 1oo2 eine Architektur mit 2 Kanlen,

wobei jeder der beiden Kanle die Sicherheitsfunktion ausfhren kann.Ein System 1oo2 hat HFT = 1.

Ein System 1oo1 hat HFT = 0.

SFF (Safe Failure Fraction)

SFF ist der Anteil ungefhrlicher Ausflle, d. h. je hher der bentigte SIL-Wert ist, umso hher

muss der SFF sein.Der SFF eines Systems wird aus den einzelnen Ausfallraten (-Werte) der Einzelkomponenten be-

rechnet, siehe Kapitel 3.5Ausfallrate.

Tabelle 3: Sicherheitsintegritt der Hardware: Einschrnkungen auf Grund der

Architektur fr sicherheitsbezogene Typ-A-Teilsysteme

Tabelle 4: Sicherheitsintegritt der Hardware: Einschrnkungen auf Grund derArchitektur fr sicherheitsbezogene Typ-B-Teilsysteme

Typ-A-Systeme

Anteil ungefhrlicher Ausflle

(SFF)

Fehlertoleranz der Hardware

HFT = 0 HFT = 1 HFT = 2

5/25/2018 Fas630d Sil

16/24


14 3 Begriffe aus der DIN EN 61 508 JUMO, FAS 630, Ausgabe 04.06

3.4 Lifetime und Proof-Check-Intervall

LifetimeNach Ablauf seiner Lifetime muss ein Gert ausgewechselt werden, da es dann nicht mehr den An-forderungen gem seiner SIL-Zertifizierung entspricht.

Proof-Check-IntervallDer Proof-Check-Intervall ist eine wiederkehrende Prfung zur Aufdeckung von Ausfllen in einemSIL-System, sodass ntigenfalls das System in einem Wie-Neu-Zustand gebracht werden kann.Wenn das Proof-Check-Intervall gleich der Lifetime ist, dann ist kein Proof-Check erforderlich.

3.5 Ausfallrate

Nach erfolgter Gefhrdungs- und Risikoanalyse ergibt sich die Notwendigkeit, diese in einem Sy-stem umzusetzen. Eine wichtige Rolle spielt dabei die Fhigkeit eines Systems, Fehler aufzudek-ken und der Auswirkung entsprechend zu reagieren. Deshalb unterscheidet man gefhrliche und

ungefhrliche Fehler sowie die Mglichkeit, die Fehler zu entdecken oder nicht.

Die Ausfallrate durch Fehler wird in dem Faktor definiert und teilt sich generell in vier Gruppen auf(siehe Abbildung 4):

- SD= safe detected failure rate (entdeckte und ungefhrliche Fehler),

- SU= safe undetected failure rate (unentdeckte und ungefhrliche Fehler),

- DD= dangerous detected failure rate (entdeckte und gefhrliche Fehler),

- DU= dangerous undetected failure rate (unentdeckte und gefhrliche Fehler).

Normalerweise haben die entdeckten und ungefhrlichen Fehler den grten Anteil. Die unent-

deckten und gefhrlichen Fehler

DUstellen dagegen nur einen kleinen Teil von allen Fehlern dar.Diese Art von Fehlern sind aber die gefhrlichsten und deren Anteil muss durch entsprechendeManahmen so gering wie mglich gehalten werden.

Die Mazahl fr die -Werte ist FIT (Fehler pro Zeit, 1 x 10-9pro h).

Abbildung 4: Fehler im Detail

DD

DU

SDSU

5/25/2018 Fas630d Sil

17/24

4 Glossar 15JUMO, FAS 630, Ausgabe 04.06

4 Glossar

Ausfallrate (Failure rate)

= Die Ausfallrate eines Systems durch Fehler teilt sich generell in vierGruppen auf:SD= safe detected failure rate

(entdeckte und ungefhrliche Fehler),SU= safe undetected failure rate

(unentdeckte und ungefhrliche Fehler),DD= dangerous detected failure rate

(entdeckte und gefhrliche Fehler),DU= dangerous undetected failure rate

(unentdeckte und gefhrliche Fehler).

E / E / P E S = Elektrische, elektronische und programmierbare elektronische Sy-steme

FIT(Failure in Time)

= Fehler pro Zeit (1 x 10-9pro h)

Funktionale Sicherheit(Functional Safety) = Die Fhigkeit eines Systems, die notwendigen Aktionen durchzufh-ren, um einen definierten sicheren Status fr Anlagen unter System-kontrolle zu erlangen oder zu erhalten.

HFT(Hardware fault tolerance)

= Eine Fehlertoleranz der Hardware von N bedeutet, dass N+1-Fehlerzu einem Verlust der Sicherheitsfunktion fhren knnen.

Lifetime = Nach Ablauf seiner Lifetime muss ein Gert ausgewechselt werden,da es dann nicht mehr den Anforderungen gem seiner SIL-Zertifi-zierung entspricht.

MooN(M out of N)

= Sicherheitsarchitektur mit M aus N-Kanlen.Z. B. bedeutet 1oo2 eine Architektur mit 2 Kanlen, wobei jeder der

beiden Kanle die Sicherheitsfunktion ausfhren kann.

PFD(Probability of failureon demand)

= PFD ist eine Mazahl fr die Wahrscheinlichkeit eines Ausfalles derSicherheitsfunktion in einer Betriebsart mit niedriger Anforderungs-rate (Wahrscheinlichkeit, dass das System bei Anforderung gefhr-lich versagt). Fr eine hohe oder kontinuierliche Anforderungsratewird die Mazahl PFH verwendet, die die Wahrscheinlichkeit einesAusfalls der Sicherheitsfunktion pro Stunde angibt (gefhrliche Ver-sagensrate).

PFH(Probability of failureper hour)

Proof-Check-Intervall = Der Proof-Check ist eine wiederkehrende Prfung zur Aufdeckungvon Ausfllen in einem SIL-System, sodass ntigenfalls das System

in einen Wie-Neu-Zustand gebracht werden kann.SFF(Safe failure fraction)

= Anteil ungefhrlicher Ausflle

SIL(Safety Integrity Level)

= Der Sicherheits-Integrittslevel (SIL) ist ein Ma fr die Sicher-heitsintegritt eines Systems.Die Sicherheitsintegritt ist die Wahrscheinlichkeit, dass das Systemdie erforderliche sicherheitstechnische Funktion unter allen festge-legten Bedingungen innerhalb eines festgelegten Zeitraumes aus-fhrt.Der SIL ist in vier diskrete Stufen eingeteilt, wobei der Sicherheits-

Integrittslevel 4 die hchste Stufe der Sicherheitsintegritt und derSicherheits-Integrittslevel 1 die niedrigste darstellt.

5/25/2018 Fas630d Sil

18/24

4 Glossar

16 4 Glossar JUMO, FAS 630, Ausgabe 04.06

5/25/2018 Fas630d Sil

19/24

Fachliteratur von JUMO - lehrreiches fr Einsteiger und PraktikerNicht nur bei der Herstellung von JUMO-Produkten, auch beim spteren Einsatz ist Know-How gefragt.Deshalb bieten wir unseren Anwendern eigene Publikationen zu Themen der Mess- und Regelungstechnikan.

Die Publikationen sollen Einsteigern und Praktikern die unterschiedlichsten Anwendungsgebiete schrittweisenher bringen. Hierbei werden berwiegend allgemeine Themenbereiche, zum Teil auch JUMO-spezifische

Anwendungen, erlutert.

Zustzlich zur JUMO-Fachliteratur, bieten wir Ihnen neben unseren Software-Downloads die Mglichkeit derdirekten Online-Bestellung von Prospekten und CD-ROM-Katalogen.

Elektrische TemperaturmessungMit Thermoelementenund WiderstandsthermometernMatthias Nau

Regelungstechnik fr den PraktikerManfred Schleicher

FAS 146deutsche Ausgabe, gebunden

Verkaufs-Artikel-Nr.: 00074750ISBN 3-935742-06-1;zum Preis von 14,- EUR netto

FAS 525deutsche Ausgabe, gebunden

Verkaufs-Artikel-Nr.: 00314836ISBN 3-935742-00-2zum Preis von 14,- EUR netto

Explosionsschutz in EuropaElektrische BetriebsmittelGrundlagen, Richtlinien, Normen

Jrgen Kuhlmei

Digitale Schnittstellen u. BussystemeGrundlagen und praktische Hinweisezur Anbindung von FeldgertenManfred Schleicher

FAS 547deutsche Ausgabe, gebundenVerkaufs-Artikel-Nr.: 00324966ISBN 3-935742-08-8zum Preis von 9,- EUR netto


Informationen zurReinstwassermessungMatthias Kremer, Reinhard Manns,

Dr. Peter John, Dr. Jrgen Schleicher

Informationen zurRedoxspannungsmessungMatthias Kremer, Ulrich Braun,

Dr. Peter John

FAS 614deutsche AusgabeVerkaufs-Artikel-Nr.: 00369643kostenfrei


Informationen zur amperometrischenMessung von freiem Chlor,Chlordioxid und Ozon in WasserDr. Jrgen Schleicher

Elektronische LeistungsstellerManfred Schleicher, Winfried Schneider



5/25/2018 Fas630d Sil

20/24

Besuchen Sie unsere deutsche Website auf www.jumo.net (fr sterreich www.jumo.at, fr die Schweizwww.jumo.ch) und berzeugen Sie sich von der umfangreichen Produktpalette fr die verschiedensten Ein-satzgebiete. Dort finden Sie weitere Informationen und die dazugehrigen Ansprechpartner fr Ihre Wn-sche, Fragen, Anregungen und Bestellungen.

Kataloge auf CD-ROMUnsere Kataloge sind - auer in gedruckten Versionen - auch in digitaler Form erhltlich.Die CD-ROM mit deutschen oder englischen Daten enthalten strukturierte Kataloge im pdf-Format, dieJUMO-Produktbersicht, die Kontaktadressen der JUMO-Ansprechpartner sowie den kostenlosen Down-load des Acrobat Readers.

Informationen zur pH-MessungMatthias Kremer, Dr. Peter John

Informationen zurLeitfhigkeits-MessungReinhard Manns, Dr. Peter John



Messunsicherheit einerTemperaturmesskettemit BeispielrechnungenGerd Scheller

Informationen zur Messungvon Wasserstoffperoxid /PeressigsureDr. Jrgen Schleicher



Funktionale Sicherheit SILDr. Thomas Reus

FAS 630deutsche AusgabeVerkaufs-Artikel-Nr.: 00463374

kostenfrei

JUMO Produkte + Preise

deutsche AusgabeVerkaufs-Artikel-Nr.: 00397668kostenfrei

JUMO Products

englische AusgabeVerkaufs-Artikel-Nr.: 00404116kostenfrei

Fachliteratur von JUMO - lehrreiches fr Einsteiger und Praktiker

5/25/2018 Fas630d Sil

21/24

5/25/2018 Fas630d Sil

22/24

5/25/2018 Fas630d Sil

23/24

5/25/2018 Fas630d Sil

24/24

fas630d sil

Documents