SIL nach EN61508

Funktionale Sicherheit in der
Prozessindustrie
EN 61508 / EN 61511
VL PLT2, SS 2011
PProfessur f fü für PProzessleittechnik l i h ik

Übersicht
• PLT-Schutzeinrichtungen
• Si Sicherheitsgrundnorm h h it d EN 61508
– Funktionale Sicherheit sicherheitsbezogener
elektrischer/elektronischer/programmierbar
elektronischer Systeme
• Safety Integrity Level (SIL)
– Quantitative Betrachtung kompletter Sicherheitssysteme
(Sensor-Steuerung-Aktor)
– Berechung von Versagenswahrscheinlichkeiten für
verschiedene Beanspruchungsszenarien
• Lebenszyklusbetrachtung
– Berücksichtigung von Entwicklung & Fertigung
4.5.2011 PLT-2 (c) 2011, UR
Folie 2

EN 61508/VDE 0803 &
EN 61511/VDE 0810
4.5.2011 PLT-2 (c) 2011, UR Folie 3

Forderung: akzeptables Risiko
• Von Anlagen und Maschinen dürfen keine
bbesonderen d GGefahren f h ausgehen h
– Gefahrstoffverordnung
– Betriebssicherheitverordnung
– ...
• Betreiber und Konstrukteure müssen daher
– Risikoanalyse durchführen
– Vorhandene Gefahren durch geeignete
Maßnahmen auf akzeptables Risiko reduzieren
• Einsatz geeigneter PLT-Schutzeinrichtungen !
4.5.2011 PLT-2 (c) 2011, UR Folie 4

Klassifizierung von PLT-Funktionen
Ereignisverhindernde
PLT PLT-Schutz- S h t
einrichtungen
Schadenbegrenzende
PLT PLT-Schutz- S h t
einrichtungen
Andere
SSchutzeinrichtungen h t i i ht
EN 61511: Safety Instrumented System (SIS)
PLT-Überwachungseinrichtungen
PLT-Betriebseinrichtungen
61115: 6 5 Basic as c Process ocess Control Co t o System Syste ( (BPCS) CS)
4.5.2011 PLT-2 (c) 2011, UR Folie 5

Funktion von PLT-Schutzeinrichtungen
nicht
bestimmungs-
b
-
geemäßer
Betrieeb
Betrieb
bestimmunngsgemäßer
Prozessgröße
unzulässiger
Fehlbereich
zulässiger
Fehlbbereich
Gutbereich
Kurve 1 Kurve 2 Kurve 3
Nicht‐PLT‐
Schutzeinrichtung
spricht an
ereignisverhindernde
PLT‐Schutzeinrichtung
spricht an
PLT‐Überwachungs‐
einrichtung spricht an
Grenzwert
der Schutz-
einrichtung
Grenzwert
der Über
wachungseinrichtung
4.5.2011 PLT-2 (c) 2011, UR Folie 6
Zeit

Risikominimierung nach EN61508 durch
folgende Schritte
• Risikodefinition und –bewertung
– Qualitiative Bewertung des Schadensfalls
– Quantitative Bewertung der Schutzeinrichtung:
Versagenswahrscheinlichkeiten der Wirkkette
Sensor-Steuerung-Aktor über gesamte
Lebensdauer
• MMaßnahmen ß h zur Restrisikominimierung
R t i ik i i i
• Einsatz geeigneter Gerate
• Wiederkehrende d k h d Prüfung f
– Korrekte Einhaltung der Sicherheitsfunktionen
4.5.2011 PLT-2 (c) 2011, UR Folie 7

Qualitative Bewertung des Schadensfalls
Risikograph nach IEC 61508/61511
• Schadenausmaß C:
– C1: leichte Verletzung einer Person; kleinere
schädliche Umwelteinflüsse
Umwelteinflüsse.
– C2: Schwere irreversible Verletzung einer oder
mehrerer Personen oder Tod einer Person;
vorübergehende größere schädliche
Umwelteinflüsse
– C3: Tod mehrerer Personen; langandauernde
größere schädliche Umwelteinflüsse.
– C4: Katastrophale Auswirkungen, sehr viele Tote.
• Aufenthaltsdauer F:
– F1: selten bis öfter
– F2: häufig bis dauernd
• Gefahrenabwehr P:
– P1: möglich unter bestimmten Bedingungen
– P2: kaum möglich
• Eintrittswahrscheinlichkeit:
h h l hk
– W1: sehr gering
– W2: gering
– W3: relativ hoch
(Endress & Hauser 2004)
4.5.2011 PLT-2 (c) 2011, UR Folie 8

Safety Integrity Level
• SIL = Wahrscheinlichkeitsbereich für das Versagen
einer Sicherheitsfunktion
• Unterscheidung nach Anforderungsrate
– Low Demand Mode: Anforderungsrate 1/Jahr bzw. > 2 x
Frequenz Wiederholungsprüfung
SIL Niedrige Anforderungrate:
PFD
Hohe oder kontinuierliche
Anforderung: PFH
4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-8 4 ≥ 10 bis < 10 ≥ 10 bis < 10
3 ≥ 10 -4 bis < 10 -3 ≥ 10 -8 bis < 10 -7
2 ≥ 10 -3 bis < 10 -2 ≥ 10 -7 bis < 10 -6
1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5 1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5 4.5.2011 PLT-2 (c) 2011, UR Folie 9

Probability of Failure on Demand (PFD)
• Verfügbarkeit/Unverfügbarkeit von
SSchutzeinrichtungen h t i i ht
– mittlere Ausfallwahrscheinlichkeit der entworfenen
Funktion bei Anforderung
– average probability of failure to perform its design
function on demand
• Näherungsweise für einkanalige Systeme:
–PFD = du*T 1/2
du RRate t gefährlicher,nicht fäh li h i ht entdeckbarer td kb FFehler hl
T 1
Prüfintervall
4.5.2011 PLT-2 (c) 2011, UR Folie 10

Voraussetzung zur Berechung der PFD
• Voraussetzungen
– Regelmäßige 100% ÜÜberprüfung
(Wiederholungsprüfung,
proof test) deckt alle Fehler auf. Nach
Wiederholungsprüfung g p g ggilt System y als neuwertigg
– Automatische Diagnose mindestens 10 mal
häufiger als WdhPrüfung. Deckt nur einen Teil der
Fehler auf (Diagnosedeckungsgrad (Diagnosedeckungsgrad, diagnostic
coverage, DC).
– Sobald ein Fehler entdeckt wurde, wird dieser mit
fester Reparaturzeit (MTTR=const.) repariert.
– Konstante Ausfallraten
– Common Cause Fehler durch -Faktor -Faktor abbildbar
4.5.2011 PLT-2 (c) 2011, UR Folie 11

Ausfallkategorien sicherheitstechnischer
Einrichtungen
• Kategorie Gefährlichkeit
– Gefährliche Fehler
• Sicherheitsfkt. wird im Bedarfsfall nicht ausgeführt
– Sichere Fehler
• Sicherer Zustand wird eingenommen
• Kategorie g Erkennbar
– Erkannte Fehler
• werden bei automatischer Diagnose erkannt
– UUnerkannte k t Fehler F hl
• werden erst bei Wiederholungsprüfung aufgedeckt
4.5.2011 PLT-2 (c) 2011, UR Folie 12

Fehlerraten
Fehlerarten Sicher
Gefährlich
Safe Dangerous
Erkannt
detected
Unerkannt k
undetected
SD
DD
SU
DU
4.5.2011 PLT-2 (c) 2011, UR Folie 13

Homogenes 1oo2-System
Zuverlässigkeits-
blockdiagramm
System 1
System 2
Zustandsdiagramm
4.5.2011 PLT-2 (c) 2011, UR Folie 14
2
1
0

Herleitung PFD 1oo2 nach EN 61508
1. Ermittlung mittlere Systemausfalldauer bei
erkannten bzw bzw. unerkannten Fehlern
2. Berechnung der relativen Systemausfalldauern
(Bezug auf Zeitintervall zwischen WdhPrüfungen)
3. Berechnung Wahrscheinlichkeiten für
Systemausfall
44. Multiplikation der rel. rel Ausfalldauern (2) mit WS
für Systemausfälle (3)
5. Addition der Teilergebnisse für
erkannten/unerkannten Fehler
6. Berücksichtigung von Fehlern mit gemeinsamer
Ursache
4.5.2011 PLT-2 (c) 2011, UR Folie 15

Bei erkannten Fehlern (1/3)
• Schritt 1: Mittlere SAD = MTTR
– Ein erkannter Fehler wird sofort repariert
• Schritt 2: Relative SAD = MTTR / T1 • SSchritt h 3: 3 WS S für f Systemausfall
S f ll
– Erkannter Fehler führt in einem 1oo2-System
genau dann zum Systemausfall, Systemausfall wenn einer der
beiden Kanäle aufgrund erk. Fehler ausfällt und
der jeweils andere nicht verfügbar ist.
P
erk
2 DD T1
PFDK1
4.5.2011 PLT-2 (c) 2011, UR Folie 16

Bei erkannten Fehlern (2/3)
• Schritt 3: WS für Systemausfall
P
erk
2 DD T1
PFDK1
• Schritt 4: Anteil an der gesamten PFD
MTTR
PFD PFDerk
P Perk
T
1
MTTR
2 DD
T1
PFDK
1 2
DD
PFD 1 MTTR
T
PFDerk K
1
4.5.2011 PLT-2 (c) 2011, UR Folie 17

Bei erkannten Fehlern (3/3)
• Schritt 4: Anteil an der gesamten PFD
MTTR
PFDerk DD
T1
PFDK
1 2
DD
PFDK
T
2 1
ausEN61508,
Teil6
:
1
MTTR
DU
T
1 DD
PFDK
1 ( DU
DD)
MTTR
MTTR
2
D
2 D
DU
T
1 DD
PFD erk 2
( DU
DD )
MTTR
MTTR
DD MTTR
D
2
D
4.5.2011 PLT-2 (c) 2011, UR Folie 18

Bei unerkannten Fehlern (1/4)
• Schritt 1: Mittlere SAD
– kann nicht vorhergesagt werden, jedoch
Erwartungswert eines 1oo2-Systems
2
E ( AAusfall f ll ) T T1
bi bei
const.
3
– SIS-Ausfall wird bei nächster WdhPrüfung erkannt
und repariert mittlere SAD bei 2-kanaligem
System = mittlere ausgefallene Zeit + Dauer
Reparatur p
1
SAD T1
3
MTTR
4.5.2011 PLT-2 (c) 2011, UR Folie 19

Bei unerkannten Fehlern (2/4)
• Schritt 3: WS für Systemausfall
P
unerk
2 DU T1
PFDK1
• Schritt 4: Anteil an der gesamten PFD
P
PFDunerk unerk
T1 3
MTTR
T
1
T T1
MTTR
T
T
PFD
3
1
2 DU
1 K1
2DU
PFD
1
MTTR
T
3
PFDunerk K
1
4.5.2011 PLT-2 (c) 2011, UR Folie 20

Bei unerkannten Fehlern (3/4)
• Schritt 4: Anteil an der gesamten PFD
MTTR
PFDerk DD
T1
PFDK
1 2
DD
PFDK
T
2 1
ausEN61508,
Teil6
:
1
MTTR
DU
T
1 DD
PFDK
1 ( DU
DD)
MTTR
MTTR
2
D
2 D
DU
T
1 DD
PFD erk 2
( DU
DD )
MTTR
MTTR
DD MTTR
D
2
D
4.5.2011 PLT-2 (c) 2011, UR Folie 21

Literatur
• Normen
– EN 61508
• Bücher
– Pukite, J., Pukite, P. (1998) Modeling for Reliability Analysis: Markow Modeling for
Supportable pp Analyses y of Complex p Systems. y IEEE Press
– Birolini, A. (2004) Zuverlässigkeit von Geräten und Systemen. Heidelberg:Springer.
– Börcsök, J. (2004). Elektronische Sicherheitssysteme. Heidelberg:Hüthig.
• Fachartikel
4.5.2011 PLT-2 (c) 2011, UR Folie 22