SIL nach EN61508
SIL nach EN61508
SIL nach EN61508
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Funktionale Sicherheit in der<br />
Prozessindustrie<br />
EN 61508 / EN 61511<br />
VL PLT2, SS 2012<br />
PProfessur f fü für PProzessleittechnik l i h ik
Übersicht<br />
• PLT-Schutzeinrichtungen<br />
• Si Sicherheitsgrundnorm h h it d EN 61508<br />
– Funktionale Sicherheit sicherheitsbezogener<br />
elektrischer/elektronischer/programmierbar<br />
elektronischer Systeme<br />
• Safety Integrity Level (<strong>SIL</strong>)<br />
– Quantitative Betrachtung kompletter Sicherheitssysteme<br />
(Sensor-Steuerung-Aktor)<br />
– Berechung von Versagenswahrscheinlichkeiten für<br />
verschiedene Beanspruchungsszenarien<br />
• Lebenszyklusbetrachtung<br />
– Berücksichtigung von Entwicklung & Fertigung<br />
02.05.2012 PLT2<br />
Folie 2
EN 61508/VDE 0803 &<br />
EN 61511/VDE 0810<br />
02.05.2012 PLT2<br />
Folie 3
Forderung: akzeptables Risiko<br />
• Von Anlagen und Maschinen dürfen keine<br />
bbesonderen d GGefahren f h ausgehen h<br />
– Gefahrstoffverordnung<br />
– Betriebssicherheitverordnung<br />
– ...<br />
• Betreiber und Konstrukteure müssen daher<br />
– Risikoanalyse durchführen<br />
– Vorhandene Gefahren durch geeignete<br />
Maßnahmen auf akzeptables Risiko reduzieren<br />
• Einsatz geeigneter PLT-Schutzeinrichtungen !<br />
02.05.2012 PLT2<br />
Folie 4
Klassifizierung von PLT-Funktionen<br />
02.05.2012<br />
Ereignisverhindernde<br />
PLT PLT-Schutz- S h t<br />
einrichtungen<br />
Schadenbegrenzende<br />
PLT PLT-Schutz- S h t<br />
einrichtungen<br />
Andere<br />
SSchutzeinrichtungen h t i i ht<br />
EN 61511: Safety Instrumented System (SIS)<br />
PLT-Überwachungseinrichtungen<br />
PLT-Betriebseinrichtungen<br />
EN 61511: 6 5 Basic as c Process ocess Control Co t o System Syste ( (BPCS) CS)<br />
PLT2<br />
Folie 5
Funktion von PLT-Schutzeinrichtungen<br />
02.05.2012<br />
nicht<br />
bestimmungs-<br />
b<br />
-<br />
geemäßer<br />
Betrieeb<br />
Betrieb<br />
bestimmunngsgemäßer<br />
Prozessgröße<br />
unzulässiger<br />
Fehlbereich<br />
zulässiger<br />
Fehlbbereich<br />
Gutbereich<br />
Kurve 1 Kurve 2 Kurve 3<br />
Nicht‐PLT‐<br />
Schutzeinrichtung<br />
spricht an<br />
PLT2<br />
ereignisverhindernde<br />
PLT‐Schutzeinrichtung<br />
spricht an<br />
PLT‐Überwachungs‐<br />
einrichtung spricht an<br />
Grenzwert<br />
der Schutz-<br />
einrichtung<br />
Grenzwert<br />
der Über<br />
wachungseinrichtung<br />
Zeit<br />
Folie 6
Risikominimierung <strong>nach</strong> <strong>EN61508</strong> durch<br />
folgende Schritte<br />
• Risikodefinition und –bewertung<br />
– Qualitiative Bewertung des Schadensfalls<br />
– Quantitative Bewertung der Schutzeinrichtung:<br />
Versagenswahrscheinlichkeiten der Wirkkette<br />
Sensor-Steuerung-Aktor über gesamte<br />
Lebensdauer<br />
• MMaßnahmen ß h zur Restrisikominimierung<br />
R t i ik i i i<br />
• Einsatz geeigneter Gerate<br />
• Wiederkehrende d k h d Prüfung f<br />
– Korrekte Einhaltung der Sicherheitsfunktionen<br />
02.05.2012 PLT2<br />
Folie 7
Qualitative Bewertung des Schadensfalls<br />
Risikograph <strong>nach</strong> IEC 61508/61511<br />
• Schadenausmaß C:<br />
– C1: leichte Verletzung einer Person; kleinere<br />
schädliche Umwelteinflüsse<br />
Umwelteinflüsse.<br />
– C2: Schwere irreversible Verletzung einer oder<br />
mehrerer Personen oder Tod einer Person;<br />
vorübergehende größere schädliche<br />
Umwelteinflüsse<br />
– C3: Tod mehrerer Personen; langandauernde<br />
größere schädliche Umwelteinflüsse.<br />
– C4: Katastrophale Auswirkungen, sehr viele Tote.<br />
• Aufenthaltsdauer F:<br />
– F1: selten bis öfter<br />
– F2: häufig bis dauernd<br />
• Gefahrenabwehr P:<br />
– P1: möglich unter bestimmten Bedingungen<br />
– P2: kaum möglich<br />
• Eintrittswahrscheinlichkeit:<br />
h h l hk<br />
– W1: sehr gering<br />
– W2: gering<br />
– W3: relativ hoch<br />
(Endress & Hauser 2004)<br />
02.05.2012 PLT2<br />
Folie 8
Safety Integrity Level<br />
• <strong>SIL</strong> = Wahrscheinlichkeitsbereich für das Versagen<br />
einer Sicherheitsfunktion<br />
• Unterscheidung <strong>nach</strong> Anforderungsrate<br />
– Low Demand Mode: Anforderungsrate 1/Jahr bzw. > 2 x<br />
Frequenz Wiederholungsprüfung<br />
<strong>SIL</strong> Niedrige Anforderungrate:<br />
PFD<br />
Hohe oder kontinuierliche<br />
Anforderung: PFH<br />
4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-8 4 ≥ 10 bis < 10 ≥ 10 bis < 10<br />
3 ≥ 10 -4 bis < 10 -3 ≥ 10 -8 bis < 10 -7<br />
2 ≥ 10 -3 bis < 10 -2 ≥ 10 -7 bis < 10 -6<br />
1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5 1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5 02.05.2012<br />
PLT2<br />
Folie 9
Probability of Failure on Demand (PFD)<br />
• Verfügbarkeit/Unverfügbarkeit von<br />
SSchutzeinrichtungen h t i i ht<br />
– mittlere Ausfallwahrscheinlichkeit der entworfenen<br />
Funktion bei Anforderung<br />
– average probability of failure to perform its design<br />
function on demand<br />
• Näherungsweise für einkanalige Systeme:<br />
–PFD = � du*T 1/2<br />
�� du RRate t gefährlicher,nicht fäh li h i ht entdeckbarer td kb FFehler hl<br />
T 1<br />
Prüfintervall<br />
02.05.2012 PLT2<br />
Folie 10
Voraussetzung zur Berechung der PFD<br />
• Voraussetzungen<br />
– Regelmäßige 100% ÜÜberprüfung<br />
(Wiederholungsprüfung,<br />
proof test) deckt alle Fehler auf. Nach<br />
Wiederholungsprüfung g p g ggilt System y als neuwertigg<br />
– Automatische Diagnose mindestens 10 mal<br />
häufiger als WdhPrüfung. Deckt nur einen Teil der<br />
Fehler auf (Diagnosedeckungsgrad (Diagnosedeckungsgrad, diagnostic<br />
coverage, DC).<br />
– Sobald ein Fehler entdeckt wurde, wird dieser mit<br />
fester Reparaturzeit (MTTR=const.) repariert.<br />
– Konstante Ausfallraten �<br />
– Common Cause Fehler durch �-Faktor �-Faktor abbildbar<br />
02.05.2012 PLT2<br />
Folie 11
Ausfallkategorien sicherheitstechnischer<br />
Einrichtungen<br />
• Kategorie Gefährlichkeit<br />
– Gefährliche Fehler<br />
• Sicherheitsfkt. wird im Bedarfsfall nicht ausgeführt<br />
– Sichere Fehler<br />
• Sicherer Zustand wird eingenommen<br />
• Kategorie g Erkennbar<br />
– Erkannte Fehler<br />
• werden bei automatischer Diagnose erkannt<br />
– UUnerkannte k t Fehler F hl<br />
• werden erst bei Wiederholungsprüfung aufgedeckt<br />
02.05.2012 PLT2<br />
Folie 12
Fehlerraten �<br />
Fehlerarten Sicher<br />
Gefährlich<br />
Safe Dangerous<br />
Erkannt<br />
detected<br />
Unerkannt k<br />
undetected<br />
� �<br />
SD<br />
DD<br />
� �<br />
SU<br />
DU<br />
02.05.2012 PLT2<br />
Folie 13
Homogenes 1oo2-System<br />
Zuverlässigkeits-<br />
blockdiagramm<br />
System 1<br />
System 2<br />
Zustandsdiagramm<br />
02.05.2012 PLT2<br />
Folie 14<br />
2<br />
1<br />
0
Herleitung PFD 1oo2 <strong>nach</strong> EN 61508<br />
1. Ermittlung mittlere Systemausfalldauer bei<br />
erkannten bzw bzw. unerkannten Fehlern<br />
2. Berechnung der relativen Systemausfalldauern<br />
(Bezug auf Zeitintervall zwischen WdhPrüfungen)<br />
3. Berechnung Wahrscheinlichkeiten für<br />
Systemausfall<br />
44. Multiplikation der rel. rel Ausfalldauern (2) mit WS<br />
für Systemausfälle (3)<br />
5. Addition der Teilergebnisse für<br />
erkannten/unerkannten Fehler<br />
6. Berücksichtigung von Fehlern mit gemeinsamer<br />
Ursache<br />
02.05.2012 PLT2<br />
Folie 15
Bei erkannten Fehlern (1/3)<br />
• Schritt 1: Mittlere SAD = MTTR<br />
– Ein erkannter Fehler wird sofort repariert<br />
• Schritt 2: Relative SAD = MTTR / T1 • SSchritt h 3: 3 WS S für f Systemausfall<br />
S f ll<br />
– Erkannter Fehler führt in einem 1oo2-System<br />
genau dann zum Systemausfall, Systemausfall wenn einer der<br />
beiden Kanäle aufgrund erk. Fehler ausfällt und<br />
der jeweils andere nicht verfügbar ist.<br />
P � � �<br />
erk<br />
2 � DD �T1<br />
PFDK1<br />
02.05.2012 PLT2<br />
Folie 16
Bei erkannten Fehlern (2/3)<br />
• Schritt 3: WS für Systemausfall<br />
P � � �<br />
erk<br />
2 � DD �T1<br />
PFDK1<br />
• Schritt 4: Anteil an der gesamten PFD<br />
MTTR<br />
PFD PFDerk ��<br />
P Perk<br />
�<br />
T<br />
1<br />
MTTR<br />
� 2� �DD<br />
�T1<br />
� PFDK<br />
1 � � 2�<br />
�DD<br />
� PFD 1 � MTTR<br />
T<br />
PFDerk K<br />
1<br />
02.05.2012 PLT2<br />
Folie 17
Bei erkannten Fehlern (3/3)<br />
• Schritt 4: Anteil an der gesamten PFD<br />
MTTR<br />
PFDerk � ��DD<br />
�T1<br />
� PFDK<br />
1 � � 2�<br />
�DD<br />
� PFDK<br />
T<br />
2 1<br />
aus<strong>EN61508</strong>,<br />
Teil6<br />
:<br />
1<br />
� MTTR<br />
��DU<br />
�T �<br />
1 � �DD<br />
PFDK<br />
1 � ( �DU<br />
��DD)<br />
���<br />
� � MTTR�<br />
� MTTR�<br />
� � � 2 � �<br />
�<br />
� �D<br />
� 2 � �D<br />
��<br />
��DU<br />
�T �<br />
1 � �DD<br />
PFD erk � 2�<br />
( � DU ��<br />
DD ) ���<br />
��<br />
� MTTR��<br />
� MTTR��<br />
��<br />
DD � MTTR<br />
� �D ��<br />
2 ��<br />
�D<br />
�<br />
02.05.2012 PLT2<br />
Folie 18
Bei unerkannten Fehlern (1/4)<br />
• Schritt 1: Mittlere SAD<br />
02.05.2012<br />
– kann nicht vorhergesagt werden, jedoch<br />
Erwartungswert eines 1oo2-Systems<br />
2<br />
E ( AAusfall f ll ) � T T1<br />
bi bei ��<br />
� const.<br />
3<br />
– SIS-Ausfall wird bei nächster WdhPrüfung erkannt<br />
und repariert � mittlere SAD bei 2-kanaligem<br />
System = mittlere ausgefallene Zeit + Dauer<br />
Reparatur p<br />
1<br />
SAD � T1<br />
�<br />
3<br />
MTTR<br />
PLT2<br />
Folie 19
Bei unerkannten Fehlern (2/4)<br />
• Schritt 3: WS für Systemausfall<br />
P � � �<br />
unerk<br />
2� DU �T1<br />
PFDK1<br />
• Schritt 4: Anteil an der gesamten PFD<br />
� P<br />
PFDunerk unerk<br />
T1 � 3<br />
� MTTR<br />
T<br />
1<br />
T T1<br />
� MTTR<br />
�T �<br />
� � �T<br />
�PFD<br />
� 3<br />
1<br />
2 �DU<br />
1 K1<br />
� 2��DU<br />
�PFD<br />
1 ��<br />
� MTTR�<br />
T<br />
� 3 �<br />
PFDunerk K<br />
1<br />
02.05.2012 PLT2<br />
Folie 20
Bei unerkannten Fehlern (3/4)<br />
• Schritt 4: Anteil an der gesamten PFD<br />
T1<br />
� MTTR<br />
�T �<br />
� � �T<br />
�PFD<br />
� 3<br />
1<br />
2 � DU 1 K 1 � 2��<br />
DU �PFDK<br />
1 ���<br />
� MTTR��<br />
T<br />
��<br />
3 ��<br />
PFD unerk<br />
K<br />
1<br />
aus aus<strong>EN61508</strong><br />
<strong>EN61508</strong>, Teil 6 : PFD<br />
K1<br />
� ( � � ( �<br />
DU<br />
��<br />
��<br />
DD<br />
��<br />
) ���<br />
� �D<br />
DU<br />
�T1 � �<br />
��<br />
� MTTR��<br />
��<br />
� �<br />
� MTTR<br />
2 �<br />
DD<br />
�<br />
MTTR MTTR��<br />
�<br />
��<br />
�<br />
DU �� T 1 ��<br />
� DD<br />
�� T 1 ��<br />
� 2 2�<br />
( ��<br />
DU ��<br />
��<br />
DD ) ���<br />
��<br />
��<br />
MTTR MTTR��<br />
��<br />
MTTR MTTR��<br />
���<br />
���<br />
��<br />
MTTR MTTR��<br />
� �D<br />
� 2 � �D<br />
� � 3 �<br />
PFD PFDunerk DU<br />
02.05.2012 PLT2<br />
Folie 21<br />
D
Literatur<br />
• Normen<br />
– EN 61508<br />
• Bücher<br />
– Pukite, J., Pukite, P. (1998) Modeling for Reliability Analysis: Markow Modeling for<br />
Supportable pp Analyses y of Complex p Systems. y IEEE Press<br />
– Birolini, A. (2004) Zuverlässigkeit von Geräten und Systemen. Heidelberg:Springer.<br />
– Börcsök, J. (2004). Elektronische Sicherheitssysteme. Heidelberg:Hüthig.<br />
• Fachartikel<br />
02.05.2012 PLT2<br />
Folie 22