Funktionale Sicherheit SIL Seminare

Verfahrenstechnik_Industrieanlagen_02_Fotolia_17258093_Paylessimages-Fotolia-com_AP_0

Verfahrenstechnische Anlagen und Maschinen können bei gefährlichen Ausfällen und Fehlfunktionen zu Risiken für Personen, Umwelt und Sachwerte führen. Diese Risiken müssen durch Anlagenbetreiber anhand einer Risikoanalyse bewertet werden. Abhängig vom resultierenden Risiko sind hieraus Maßnahmen zur Risikoreduzierung durch Fehlervermeidung, Fehlererkennung und Fehlerbeherrschung abzuleiten.

Verfahrenstechnische Anlagen und Maschinen können bei gefährlichen Ausfällen und Fehlfunktionen zu Risiken für Personen, Umwelt und Sachwerte führen. Diese Risiken müssen durch... mehr erfahren »
Fenster schließen
Funktionale Sicherheit SIL Seminare

Verfahrenstechnik_Industrieanlagen_02_Fotolia_17258093_Paylessimages-Fotolia-com_AP_0

Verfahrenstechnische Anlagen und Maschinen können bei gefährlichen Ausfällen und Fehlfunktionen zu Risiken für Personen, Umwelt und Sachwerte führen. Diese Risiken müssen durch Anlagenbetreiber anhand einer Risikoanalyse bewertet werden. Abhängig vom resultierenden Risiko sind hieraus Maßnahmen zur Risikoreduzierung durch Fehlervermeidung, Fehlererkennung und Fehlerbeherrschung abzuleiten.

Filter schließen
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
SIL Funktionale Sicherheit hdt.de FUNK­TIO­NA­LE SI­CHER­HEIT (SIL) - mit in­ten­si­ven Übun­gen
2-tägiges Intensivseminar zur Erstellung von Gefährdungsbeurteilungen - in kleinem Kreis (max. 6 Teilnehmer) zur Erarbeitung praktischer Vorgehensweisen mit intensivem Übungsanteil für HAZOP/PAAG, Risikograph, Risikomatrix, LOPA
Anlagentechnik hdt.de Si­che­rer Be­trieb von An­la­gen - Be­trei­ber­ver­ant­wor­tung und An­la­gen­do­ku­men­ta­ti­on
Anlagendokumentation zum Nachweis der Betreiberverantwortung gegenüber Behörden und Dritten. Vorgehensweisen für permanente Aktualität, Verbindung zu Qualitäts- Arbeits-, Umweltmanagement- und ERP -Systemen, Dokumentenmanagement- und CAE-Systeme
SIL Funktionale Sicherheit hdt.de Safe­ty In­te­gri­ty Le­vel (SIL) IEC EN 61508 EN 61511
Kompakter Einstieg in die Ziele und Methoden der IEC EN 61508 / IEC EN 61511. SIl Ermittlung und SIL Bewertung werden ausführlich behandelt. Schwerpunkt Anwender.

Als Hauptziel ist sicherzustellen, dass Anlagen und Maschinen sicher betrieben werden können. Darum ist die Vermeidung gefährlicher Ausfälle von Anlagen, PLT-Betriebseinrichtungen und PLT-Überwachungseinrichtungen, sowie gefährlicher unerkannter Ausfälle von PLT-Schutzeinrichtungen von grundlegender Bedeutung. Funktionale Sicherheit ist der Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung abhängt. Diese Systeme müssen ihre bestimmungsgemäßen Funktionen (Sicherheitsfunktionen) unter definierten Fehlerbedingungen und mit definierter, hoher Wahrscheinlichkeit ausführen. Erfolgt die Risikoreduzierung mit Mitteln der Prozessleittechnik, so müssen die verwendeten Komponenten die Anforderungen des internationalen Standards IEC 61508 (ebenfalls verfügbar als DIN EN 61508, VDE 0803) erfüllen. Diese Norm liefert allgemeine Vorgaben für die Vermeidung und Beherrschung von Ausfällen in elektrischen, elektronischen oder programmierbaren elektronischen Geräten. Sie gibt organisatorische und technische Anforderungen sowohl für die Geräteentwicklung als auch für den Gerätebetrieb vor. Dabei werden für Anlagen und risikoreduzierende Maßnahmen vier Sicherheitsstufen unterschieden, von SIL1 für geringes Risiko bis SIL4 für sehr hohes Risiko. Je höher das Risiko, umso zuverlässiger müssen die Maßnahmen zur Risikoreduzierung durchgeführt werden. In gleichem Maße steigen die Anforderungen an die verwendeten Komponenten. Erstmals fordert eine Norm einen quantitativen Nachweis für das verbleibende Risiko für die komplette PLT-Schutzeinrichtung, bestehend aus Sensor, Steuerung und Aktor.

Die IEC 61508 dient auch als Basisnorm zur Erstellung branchen- oder anwendungsspezifischer Standards. So beschreibt z. B. die IEC 61511 (ebenfalls verfügbar als DIN EN 61511, VDE 0810) die für den Einsatz sicherheitstechnischer Systeme in der Prozessindustrie festgelegten Anforderungen. Diese Norm wird üblicherweise für den SIL-Nachweis für bestehende Geräte über Betriebsbewährung mit herangezogen.

Häufig gestellte Fragen (FAQs) über Funktionale Sicherheit und die internationale Norm IEC 61508 ("Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/ programmierbar elektronischer Systeme"). Die Antworten auf die Fragen erheben nicht den Anspruch einer definitiven technischen Klärung, sondern sollen insbesondere Erstanwender über die Norm informieren.

Schlüsselkonzepte

Was ist Funktionale Sicherheit?
Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion eines sicherheitsbezogenen E/E/PE-Systems, sicherheitsbezogenen Systemen anderer Technologie und externer Einrichtungen zur Risikominderung abhängt. Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.

Beispiel für eine Sicherheitsfunktion: Übertemperaturschutz, bestehend aus einem in den Windungen eines elektrischen Motors sitzenden Temperatursensor, der den Motor vor einer Überhitzung abschaltet.

Gegenbeispiel: Das Anbringen einer speziellen Isolierung, sodass der Motor hohen Temperaturen widerstehen kann, wäre keine Sicherheitsfunktion, obwohl dies ebenfalls der Sicherheit dient und Schutz gegen die gleiche Gefahr bietet.
Was ist ein sicherheitsbezogenes System nach IEC 61508?
Ein sicherheitsbezogenes System schließt alles (Hardware, Software, menschliche Faktoren) ein, das zur Ausführung von einer oder mehrerer Sicherheitsfunktionen erforderlich ist. Ausfälle der Sicherheitsfunktion würden eine signifikante Zunahme des Sicherheitsrisikos für Personen und/oder Umwelt bedeuten. Ein sicherheitsbezogenes System kann eine eigenständige Anlage zur Ausführung einer bestimmten Sicherheitsfunktion sein (z. B. Brandmeldesystem) oder in eine andere Anlage integriert sein (z. B.
Motordrehzahlüberwachung in einer Maschine).
Eine formale Definition ist in IEC 61508-4, Abschnitt 3.4.1, gegeben.

Was bedeutet E/E/PE?
E/E/PE ist eine Abkürzung für elektrisch/elektronisch/programmierbar elektronisch. In IEC 61508-4, Abschnitt 3.2.6, ist der Begriff definiert als "basierend auf elektrischer (E) und/oder elektronischer (E) und/oder programmierbar elektronischer (PE) Technologie".

Was ist eine Sicherheitsfunktion?
Funktion, die von einem sicherheitsbezogenen E/E/PE-System, einem sicherheitsbezogenen System anderer Technologie oder externen Einrichtungen zur Risikominderung ausgeführt wird mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Anlagenzustand zu erreichen oder aufrechtzuerhalten.

Was ist ein Safety Integrity Level (SIL)?
Ein Safety Integrity Level ist eine von vier diskreten Stufen, wobei jede Stufe einem Bereich für die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion entspricht. SIL4 stellt die höchste Stufe dar, SIL1 die niedrigste. Dabei ist zu beachten, dass ein Safety Integrity Level eine Eigenschaft einer Sicherheitsfunktion ist und sich nicht auf ein System oder Teilsystem bezieht.

Was bedeutet Software Safety Integrity im Rahmen der als Ausfallwahrscheinlichkeit definierten Safety Integrity?
Ein Safety Integrity Level (SIL) bezieht sich auf eine durchgehende Sicherheitsfunktion eines sicherheitsbezogenen Systems. Wie jede andere Komponente verfügt Software über keinen Safety Integrity Level, wenn sie isoliert von einem sicherheitsbezogenen System betrachtet wird. Integriert in ein System, kann sich die Software zur Unterstützung von Sicherheitsfunktionen zu einem bestimmten Safety Integrity Level eignen. Dies ist davon abhängig, wie die Software spezifiziert, entwickelt, implementiert, verifiziert, usw. wurde. SILn Software ist eine Kurzform für "Software, entwickelt unter Verwendung angemessener Techniken und Maßnahmen, die sicherstellen, dass die Software die Anforderungen an systematische Ausfälle einer bestimmten Sicherheitsfunktion X für SILn erfüllt". Hardware zeigt Alterungserscheinungen. Die daraus resultierenden zufälligen Ausfallraten können unter Verwendung statistischer Methoden numerisch beschrieben werden. Diese Effekte treten bei Software nicht auf. Alle Softwareausfälle ergeben sich aus systematischen Fehlern bei der Entwicklung und im Betrieb. Die Anwendung von konventioneller Sicherheitsanalyse auf systematisches Verhalten findet keine breite Akzeptanz. Deswegen sagt die Norm aus, dass es nur hinsichtlich der Sicherheitsintegrität der Hardware möglich ist, quantitativ zu arbeiten und Methoden zur Voraussage der Zuverlässigkeit bei der Beurteilung, ob die Ausfallgrenzwerte (siehe IEC 61508-1, Tabellen 2 und 3) erreicht worden sind, anzuwenden. Um die Ausfallgrenzwerte im Hinblick auf die systematische Sicherheitsintegrität (insbesondere Software) zu erreichen, müssen qualitative Methoden und Beurteilungen unter Berücksichtigung der erforderlichen Vorsichtsmaßnahmen angewendet werden. Trotz der genannten Schwierigkeiten liefern die Tabellen 2 und 3 von IEC 61508-1 einen nützlichen Rahmen zum Vergleich der verschiedenen Erfüllungsgrade systematischer Sicherheitsintegrität.

Was ist gemeint mit SILn-System, SILn-Teilsystem oder SILn-Komponente?

Ein Safety Integrity Level (SIL) ist keine Eigenschaft von Systemen, Teilsystemen oder Komponenten. Die korrekte Interpretation dieser Aussage ist, dass das System, Teilsystem oder die Komponente in Sicherheitsfunktionen bis zum Safety Integrity Level n eingesetzt werden kann. Dies allein ist aber nicht ausreichend, um eine Sicherheitsfunktion für den geforderten Safety Integrity Level aufzubauen.
Der Safety Integrity Level eines Teilsystems bestimmt den höchsten Safety Integrity Level, der für eine Sicherheitsfunktion unter Verwendung dieses Teilsystems geltend gemacht werden kann. Aus diesem Grund wird stattdessen manchmal der Begriff "Safety Integrity Level claim limit" verwendet. Die Befähigung bzw. Einsetzbarkeit eines Teilsystems für SILn (mit n = 1, 2, 3 oder 4) wird erreicht, wenn das Teilsystem die Anforderungen 1 oder 2 (siehe unten) erfüllt.

1. Designanforderungen für SILn zur Vermeidung und Beherrschung systematischer Fehler nach IEC 61508-2 und IEC 61508-3, oder
2. Anforderungen an Betriebsbewährung nach IEC 61508-2, Abschnitte 7.4.7.6 bis 7.4.7.10

Was ist eine Beurteilung der funktionalen Sicherheit (functional safety assessment)?

Dies ist eine auf Nachweise gestützte Untersuchung, die sicherstellt, dass die Funktionale Sicherheit erreicht wurde. Diejenigen Personen, die die Beurteilung der funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein und einen ausreichenden Unabhängigkeitsgrad besitzen. Sie müssen die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse betrachten und beurteilen, inwieweit die Ziele und Anforderungen der Norm IEC 61508 erreicht worden sind.
Weitere Details sind in IEC 61508-1, Abschnitt 8, zu finden.



Was ist eine Betriebsart?

Die IEC 61508 beschreibt zwei Betriebsarten für Sicherheitsfunktionen. Diese sind die Betriebsart mit niedriger Anforderungsrate (low demand mode) und die Betriebsart mit hoher oder kontinuierlicher Anforderungsrate (high demand or continuous mode). Formale Definitionen der Begriffe sind in IEC 61508-4, Abschnitt 3.5.12, gegeben. Zum Verständnis dieser beiden Betriebsarten muss zunächst der Unterschied zwischen einer Betriebsart auf Anforderung und einer kontinuierlichen Betriebsart erklärt werden. Eine Sicherheitsfunktion, die im Anforderungsmodus arbeitet, wird nur auf Anforderung ausgeführt und bringt das zu überwachende System (equipment under control - EUC) in einen definierten sicheren Zustand. Das sicherheitsbezogene E/E/PE-System, das diese Sicherheitsfunktion ausführt, hat keinen Einfluß auf das EUC bevor eine Anforderung an die Sicherheitsfunktion auftritt. Beispiele hierfür: Schutzsysteme in chemischen Anlagen, Antiblockiersysteme in Kraftfahrzeugen.
Eine Sicherheitsfunktion, die im kontinuierlichen Modus arbeitet, hält das EUC immer in seinem normalen sicheren Zustand. Das sicherheitsbezogene E/E/PE-System überwacht das EUC also ständig. Ein gefährlicher Ausfall dieses Systems führt unmittelbar zu einer Gefährdung, falls keine weiteren sicherheitsbezogenen Systeme oder externe Maßnahmen zur Risikominderung wirksam werden. Beispiele hierfür: Drehzahlüberwachung an Maschinen, Brennersteuerungen.

Die IEC 61508 unterscheidet zwischen:

  • Betriebsart mit niedriger Anforderungsrate (low demand mode) und

  • Betriebsart mit hoher oder kontinuierlicher Anforderungsrate (high demand or continuous mode)

Was ist der Unterschied zwischen den Betriebsarten low demand mode und high demand or continuous mode?

Die IEC 61508 verwendet Betriebsarten zur Unterscheidung zweier Typen von Sicherheitsfunktionen, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt werden. Die Betriebsarten sind wichtig, wenn die Ausfallgrenzwerte einer Sicherheitsfunktion zum Safety Integrity Level in Bezug gesetzt werden. Die IEC 61508 setzt den Safety Integrity Level einer Sicherheitsfunktion in Bezug zur

  • mittleren Ausfallwahrscheinlichkeit der entworfenen Funktion auf Anforderung (für low demand mode, siehe IEC 61508-1, Tabelle 2)

  • Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (für high demand or continuous mode, siehe IEC 61508-1, Tabelle 3)

Low demand mode liegt vor, wenn die Anforderungsrate an das sicherheitsbezogene System nicht mehr als einmal pro Jahr beträgt und nicht größer als die doppelte Frequenz der Wiederholungsprüfung ist. High demand or continuous mode liegt vor, wenn die Anforderungsrate an das sicherheitsbezogene System mehr als einmal pro Jahr beträgt oder größer als die doppelte Frequenz der Wiederholungsprüfung ist (siehe auch IEC 61508-4, Abschnitt 3.5.12).

Was ist ein equipment under control (EUC)?

Einrichtung, Maschine, Gerät oder Anlage, verwendet zur Fertigung, Stoffumformung, zum Transport, zu medizinischen oder anderen Tätigkeiten (siehe IEC 61508-4, Abschnitt 3.2.3).
Falls eine vernünftigerweise vorhersehbare Aktivität oder Inaktivität zu durch das EUC verursachten Gefährdungen mit unvertretbarem Risiko führt, sind Sicherheitsfunktionen erforderlich, um einen sicheren Zustand für das EUC zu erreichen oder aufrecht zu erhalten. Diese Sicherheitsfunktionen werden durch ein oder mehrere sicherheitsbezogene Systeme ausgeführt. Das EUC umfasst also alle Einrichtungen, Maschinen, Geräte oder Anlagen, die Gefährdungen verursachen können und für die sicherheitsbezogene Systeme erforderlich sind. Beispiel: Für sicherheitsbezogene Schutzsysteme auf Bohrplattformen beinhaltet die EUC alle Teile der Plattform, die die Sicherheitsanforderungen beeinflussen könnten.

Anwendungsbereich

Ist die IEC 61508 für mich relevant?
Gefährdungen für Anlagen und zugehörige Steuerungssysteme müssen durch die Planer oder Entwickler mittels einer Gefährdungs- und Risikoanalyse ermittelt werden. Diese Analyse zeigt, ob Funktionale Sicherheit erforderlich ist, um einen angemessenen Schutz gegen mögliche Gefährdungen zu gewährleisten. Falls zutreffend, müssen die zugehörigen Konzepte in angemessener Art und Weise in die Entwicklung einfließen. Funktionale Sicherheit ist nur eine der Möglichkeiten zum Umgang mit diesen Gefährdungen. Auch andere Methoden zu deren Vermeidung oder Reduzierung, wie inhärente Sicherheit durch die Entwicklung, sind von grundlegender Bedeutung.

Die IEC 61508 definiert angemessene Methoden, um Funktionale Sicherheit für die von dieser Norm betroffenen Systeme zu erreichen.

Welche Systeme sind von der IEC 61508 betroffen?
Die IEC 61508 ist auf sicherheitsbezogene Systeme anzuwenden, wenn eines oder mehrere dieser Systeme elektrische und/oder elektronsiche und/oder programmierbare elektronsiche (E/E/PE) Geräte enthalten. Sie deckt mögliche Risiken ab, die durch den Ausfall der von sicherheitsbezogenen E/E/PE-Systemen ausgeführten Sicherheitsfunktionen verursacht werden. Nicht abgedeckt werden Gefährdungen durch die E/E/PE-Geräte selbst, wie z. B. elektrischer Schlag. Die Norm ist allgemein auf sicherheitsbezogene E/E/PE-Systeme anwendbar, unabhängig von der jeweiligen Applikation.


Geben Sie einige praktische Beispiele

Die Norm IEC 61508 kann auf sicherheitsbezogene E/E/PE-Systeme aus folgenden Bereichen angewendet werden:

  • Notabschalt-Systeme

  • Feuermelde- und Gaswarnsysteme

  • Turbinenüberwachung
* Brennersteuerungen

  • Automatische Überlastanzeigen für Kräne

  • Sicherheitsverriegelungen und Notabschaltsysteme für Maschinen

  • Medizinische Geräte

  • Dynamische Positionierung (Überwachung von Schiffsbewegungen in der Nähe von Offshore-Anlagen)

  • Fly-by-wire Betrieb von Flugzeugleitwerken

  • Bahnsignalsysteme

  • Verwendung drehzahlvariabler Antriebsmotoren zur Geschwindigkeitsbeschränkung als Schutzmaßnahme

  • Kraftfahrzeug-Antiblockiersysteme,
  • Motormanagementsysteme
  • 
Netzwerk-basierte Fernüberwachung, Betrieb oder Programmierung einer verfahrenstechnischen Anlage

Sicherheitsfunktionen können aus elektromechanischen Relais, nicht programmierbarer Elektronik und programmierbarer Elektronik aufgebaut sein. Programmierbare elektronische sicherheitsbezogene Systeme umfassen typischerweise (frei) programmierbare Steuerungen, Mikroprozessoren, ASIC's oder andere programmierbare Geräte (z. B. intelligente Sensoren, Transmitter und Aktoren).

Die Norm ist immer auf das gesamte sicherheitsbezogene E/E/PE-System anzuwenden, z. B. vom Sensor über Steuerelektronik und Kommunikationssysteme bis zum Aktor, unter Berücksichtigung möglicher Fehler des Bedienpersonals. Für eine effektive Spezifikation und Implementierung von Sicherheitsfunktionen ist wesentlich, daß das System als Ganzes betrachtet wird.

Wie ist die IEC 61508 anzuwenden, wenn E/E/PE Technologie nur einen kleinen Teil eines sicherheitsbezogenen Systems ausmacht?

Die IEC 61508 ist auf jedes sicherheitsbezogene System anwendbar, das ein E/E/PE Gerät enthält.
Dies ist sinnvoll, weil viele Anforderungen der Norm (speziell in IEC 61508-1) nicht technologiespezifisch sind. Frühe Entwicklungsphasen (z. B. Konzeptphase, Gefährdungs- und Risikoanalyse) können stattfinden, bevor über die Technologie entschieden wird. Sogar während späterer Entwicklungsphasen (z. B. Realisierungsphase) können bestimmte Anforderungen der Funktionalen Sicherheit sowohl Nicht-E/E/PE Geräte (z. B. mechanische Komponenten) als auch E/E/PE Geräte betreffen. Beispielsweise beziehen sich die Anforderungen für Zuverlässigkeit und Fehlertoleranz der Hardware in IEC 61508-2 auf die Eigenschaften aller Komponenten eines sicherheitsbezogenen E/E/PE-Systems, unabhängig davon, ob sie E/E/PE Technologie enthalten.

Einfache sicherheitsbezogene E/E/PE-Systeme können auch dann mit der IEC 61508 konform sein, wenn nicht jede Anforderung des Standards erfüllt wird.
Woraus besteht die IEC 61508?

Der Standard ist in sieben Teilen veröffentlicht, wie in der Tabelle unten gezeigt. Nur die ersten vier Teile enthalten normative Anforderungen.
Struktur der IEC 61508 ("Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/ programmierbarer elektronischer Systeme"):

1. IEC 61508-1: Allgemeine Anforderungen


2. IEC 61508-2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme


3. IEC 61508-3: Anforderungen an Software


4. IEC 61508-4: Begriffe und Abkürzungen


5. IEC 61508-5: Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität (safety integrity level)


6. IEC 61508-6: Richtlinien für die Anwendung von IEC 61508-2 und IEC 61508-3
7. IEC 61508-7: Überblick über Techniken und Massnahmen

Wie geht man beim Lesen der Norm am besten vor?

Anhang A der IEC 61508-5 liefert eine Einführung zu den Themen Risiko und Sicherheitsintegrität. In IEC 61508-1 sind die Anforderungen an den gesamten Sicherheitslebenszyklus (enthalten in Abschnitt 7) in einem Lebenszyklus-Diagramm (Abbildung 2) zusammengefasst, mit einem Überblick zu jeder Phase in Tabelle 1. Zusätzlich enthält Abschnitt 7.18 die Anforderungen an Verifikation, Management und Bewertung der Funktionalen Sicherheit.

IEC 61508-6, Anhang A, gibt einen achtseitigen Überblick über die Anforderungen von IEC 61508-2 und IEC 61508-3.
In IEC 61508-2 sind die Anforderungen an den E/E/PES Sicherheitslebenszyklus (enthalten in Abschnitt 7) in einem Lebenszyklus-Diagramm (Abbildung 2) zusammengefasst, mit einem Überblick zu jeder Phase in Tabelle 1. In gleicher Weise sind in IEC 61508-3 die Anforderungen an den Softwarelebenszyklus (enthalten in Abschnitt 7) in Abbildung 3 zusammengefasst, mit einem Überblick in Tabelle 1.

Jede einzelne Anforderung der IEC 61508 sollte zusammen mit der zugehörigen Lebenszyklusphase (wo zutreffend) und den angegebenen Zielen für die einzelnen Phasen betrachtet werden. In jedem Abschnitt sind die Ziele den Anforderungen jeweils unmittelbar vorangestellt.

Gefährdungs- und Risikoanalyse

Befasst sich die IEC 61508 ausschließlich mit der Gewährleistung von Sicherheit durch Verbesserung der Ausfallsicherheit?

Nein. Ein entscheidender erster Schritt im Sicherheitslebenszyklus ist, dass die erforderlichen Sicherheitsfunktionen aus einer Gefährdungs- und Risikoanalyse abgeleitet werden. Dabei ist nicht nur die Sicherheitsintegrität der Sicherheitsfunktionen von Bedeutung, sondern auch die effektive und genaue Spezifikation der Sicherheitsfunktionen selbst. Fordert die IEC 61508 die Durchführung einer quantitativen Risikoanalyse zur Bestimmung des Safety Integrity Levels? Nein. Die Norm erlaubt sowohl quantitative als auch qualitative Methoden (vgl. IEC 61508-5, Anhänge C, D und E).
Es ist zu beachten, dass eine Risikoanalyse generell eine große Erfahrung erfordert. Deswegen wird sie in der Regel in Teamarbeit erstellt.

Konformität mit der der IEC 61508
Sicherheitsfunktionen, die einem sicherheitsbezogenen E/E/PE-System zugeordnet sind?
Die Spezifikation der auszuführenden Sicherheitsfunktionen setzt sich nach IEC 61508 aus den folgenden zwei Elementen zusammen:
* Anforderungen an die Sicherheitsfunktion (also was die Sicherheitsfunktion tut) und
* Anforderungen an die Sicherheitsintegrität (also die Wahrscheinlichkeit, dass eine Sicherheitsfunktion zufriedenstellend ausgeführt wird)

Die IEC 61508 schreibt für eine bestimmte Anwendung weder die notwendigen Anforderungen an Sicherheitsfunktionen noch die Anforderungen an die Sicherheitsintegrität vor.
Der Safety Integrity Level (SIL 1, 2, 3oder 4) entspricht einem Wertebereich für die Sicherheitsintegrität, gemessen als mittlere Ausfallwahrscheinlichkeit einer Sicherheitsfunktion im Anforderungsfall oder als Wahrscheinlichkeit eines gefährlichen Ausfalls der Sicherheitsfunktion pro Stunde.

Der einem sicherheitsbezogenen E/E/PE-System zugeordnete Safety Integrity Level hat Einfluß auf den Schärfegrad, mit dem eine Anforderung zu erfüllen ist. Dies hängt aber auch noch von weiteren Faktoren ab (vgl. hierzu IEC 61508-1, Abschnitt 4.1).
Hersteller geben an, dass ihre Produkte der IEC 61508 für einen bestimmten Safety Integrity Level (SIL) entsprechen. Bedeutet dies, dass die Verwendung dieser Produkte für mich ausreicht, um die IEC 61508 zu erfüllen? Nein. Ein Safety Integrity Level (SIL) kann nicht direkt einem Teilsystem oder einer Komponente zugeordnet werden, sondern er bezieht sich auf eine Sicherheitsfunktion, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt wird.

Die IEC 61508 deckt alle Komponenten des sicherheitsbezogenen E/E/PE-Systems ab, einschließlich Feldgeräten und spezieller Anwendungslogik. Jedes Teilsystem und jede Komponente, die zur Realisierung einer Sicherheitsfunktion eingesetzt wird, muss den für die Funktion geforderten Safety Integrity Level erfüllen. Dies ist nicht für jede Anordnung aus Teilsystemen oder Komponenten gegeben, auch wenn diese für den geforderten Safety Integrity Level geeignet sind. Ein einfaches Beispiel hierfür ist die unvorschriftsmäßige Installation eines Teilsystems oder einer Komponente.

Hersteller von Produkten zum Einsatz in sicherheitsbezogenen E/E/PE-Systemen sollten deswegen ausreichende Informationen zum Nachweis liefern, dass das Produkt die Anforderungen der IEC 61508 erfüllt.

Ich bin Lieferant von Teilsystemen wie Sensoren oder Aktoren zum Einsatz in sicherheitsrelevanten E/E/PE-Systemen.

Was bedeutet die IEC 61508 für mich?


Wenn ein Teilsystem in ein sicherheitsbezogenes E/E/PE-System nach IEC 61508 integriert wird, muss dessen Beitrag auf die Leistung des gesamten Systems bezüglich der Sicherheitsintegrität berücksichtigt werden. Zu diesem Zweck benötigt der Entwickler/Integrator bestimmte Informationen für jedes sicherheitsbezogene Teilsystem. Lieferanten von Teilsystemen zum Einsatz in sicherheitsbezogenen E/E/PE-Systemen sollten hierfür die folgenden Informationen liefern (siehe auch IEC 61508-2, Abschnitt 7.4.7.3):

  • funktionale Spezifikationen, Schnittstelleninformationen und Einschränkungen in Bezug auf die Umgebung des Teilsystems

  • geschätzte Ausfallraten (auf Grund zufälliger Hardwareausfälle) für alle Ausfallmodi
* Diagnosedeckungsgrad und Diagnose-Testintervall

  • Hardwarefehlertoleranz
  • 
Informationen zur Identifikation der Hardware- und Softwarekonfiguration
  • 
Informationen zur Ableitung des Anteils ungefährlicher Ausfälle (SFF) des Teilsystems

  • dokumentarischer Nachweis, dass das Teilsystem validiert wurde

  • höchster Safety Integrity Level, der für eine Sicherheitsfunktion in Anspruch genommen werden kann, die das Teilsystem verwendet

Müssen zur Erfüllung der IEC 61508 Komponenten verwendet werden, die durch externe Stellen zertifiziert sind?

Nein. Die Norm fordert eine Beurteilung der Funktionalen Sicherheit für alle Teile des sicherheitsbezogenen E/E/PE-Systems und für alle Lebenszyklusphasen (siehe IEC 61508-1, Abschnitt 8).

Der geforderte minimale Unabhängigkeitsgrad des Assessors erstreckt sich von einer unabhängigen Person aus der gleichen Organisation für SIL1 bis zu einer unabhängigen Organisation für SIL4. Der geforderte minimale Unabhängigkeitsgrad für SIL2 und SIL3 wird von zusätzlichen Faktoren beeinflusst wie Komplexitätsgrad und Neuigkeitsgrad des Entwurfs, sowie Entwicklererfahrung. Personen, die die Beurteilung der Funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein.

In welcher Weise muss der Einfluß menschlichen Verhaltens auf den Betrieb von sicherheitsbezogenen E/E/PE-Systemen berücksichtigt werden?

Die IEC 61508 fordert, dass menschliche Faktoren bei der Festlegung von Gefährdungen und gefährlichen Vorfällen (vgl. IEC 61508-1, Abschnitt 7.4.2.3) und beim Entwurf sicherheitsbezogener E/E/PE-Systeme (vgl. IEC 61508-2, Abschnitt 7.4.5.3) einbezogen werden.

Bei sicherheitsbezogenen E/E/PE-Schutzsystemen müssen hier folgende drei Bereiche betrachtet werden:

  • menschliche Aktivitäten oder Fehler, die eine Anforderung des sicherheitsbezogenen E/E/PE-Schutzsystems auslösen
  • 
menschliches Versagen bei der Rekation auf Alarme
  • 
menschliches Versagen bei Test und Wartung, die die Wirksamkeit herabsetzen und die Wahrscheinlichkeit eines Ausfalls bei Anforderung erhöhen

Kann ein sicherheitsbezogenes E/E/PE-System Hardware und/oder Software enthalten, die nicht nach IEC 61508 hergestellt wurde und die Norm trotzdem erfüllen?
Hier ist die alternative Argumentation über Betriebsbewährung zur Erfüllung der Designanforderungen bezüglich systematischer Fehler, sowohl für Hardware als auch für Software, möglich. Es ist jedoch anzumerken, dass das Argument der Betriebsbewährung für folgende Anforderungen nicht angewendet werden kann:

  • Einschränkungen der Sicherheitsintegrität der Hardware aufgrund der Architektur (siehe IEC 61508-2, 7.4.2.1)

  • Abschätzung der Wahrscheinlichkeit des Ausfalls von Sicherheitsfunktionen infolge zufälliger Hardwareausfälle (siehe IEC 61508-2, 7.4.3.2)
* Systemverhalten bei Erkennung eines Fehlers (siehe IEC 61508-2, 7.4.6)

IEC 61508-2, Abschnitt 7.4.2.2, gibt eine Zusammenfassung von Designanforderungen, einschließlich Verweisen auf detailliertere systematische Hardwareanforderungen im Standard. Betriebsbewährung beruht auf der Verfügbarkeit eines dokumentarischen Nachweises zu zufälligen Hardwarefehlern, systematischen Fehlern und auf analytischen Verfahren und Tests, ob die vorigen Verwendungsbedingungen eines Subsystems von denen für das sicherheitsbezogene E/E/PE-System abweichen. IEC 61508-2, Abschnitt 7.4.7.6, fordert, dass:

  • die vorherigen Verwendungsbedingungen des speziellen Teilsystems die gleichen sind oder ausreichend nah zu denen liegen, denen das Teilsystem im sicherheitsbezogenen E/E/PE-System unterliegen wird (siehe IEC 61508-2, 7.4.7.7)
  • 
die vorherigen Verwendungsbedingungen des speziellen Teilsystems die gleichen sind oder ausreichend nah zu denen liegen, denen das Teilsystem im sicherheitsbezogenen E/E/PE-System unterliegen wird, um festzulegen, dass die Wahrscheinlichkeit irgendeines nicht erkannten systematischen Fehlers niedrig genug ist, so dass der erforderliche Safety Integrity Level der Sicherheitsfunktionen, die das Teilsystem verwenden, erreicht wird (siehe IEC 61508-2, 7.4.7.8) die beanspruchten Ausfallraten eine ausreichende statistische Basis haben (siehe IEC 61508-2, 7.4.7.9) ausreichende Sammlung von Daten zu Ausfällen (siehe IEC 61508-2, 7.4.7.10)

  • die Bewertung unter Berücksichtugung der Komplexität des Teilsystems, des Anteils, den das System zur Risikominderung beiträgt, der Auswirkungen, die mit dem Ausfall des Teilsystems verbunden sind und der Neuheit des Entwurfs erfolgt (siehe IEC 61508-2, 7.4.7.11)
  • 
die Anwendung eines "betriebsbewährten" sicherheitsbezogenen Teilsystems im sicherheitsbezogenen E/E/PE-System auf diejenigen Funktionen und Schnittstellen des Teilsystems beschränkt sein sollte, die die zutreffenden Anforderungen erfüllen (siehe IEC 61508-2, 7.4.7.12) IEC 61508-2, Abschnitt 7.4.2.11, erlaubt den Einsatz von Standardsoftware oder bereits entwickelter Software, auch ohne die Verfügbarkeit eines dokumentarischen Nachweises, jedoch mit Schwerpunkt auf Analyse und Tests. Dieses Konzept sollte vom oben beschriebenen Betriebsbewährungskonzept unterschieden werden.

Müssen Steuerungssysteme, die Anforderungen an sicherheitsbezogene Systeme stellen, selbst als sicherheitsbezogene Systeme betrachtet werden?
Falls nicht beabsichtigt ist, ein Steuerungssystem als sicherheitsbezogenes System zu betrachten, müssen die folgenden Anforderungen zutreffen (siehe IEC 61508-1, 7.5.2.4):

  • Die Rate gefahrbringender Ausfälle, die für das Steuerungssystem in Anspruch genommen werden kann, darf nicht kleiner als 10-5 gefahrbringende Ausfälle pro Stunde sein.
  • 
Es muss ein ausreichender Nachweis geführt werden, dass die erlaubte gefährliche Ausfallrate erreicht wird.

  • Alle vernünftigerweise vorhersehbaren gefährlichen Ausfallarten müssen bestimmt sein.

  • Es ist sicherzustellen, dass das Steuerungsystem getrennt und unabhängig von allen sicherheitsbezogenen Systemen ist.

 

Wie hängen elektromagnetische Störfestigkeitsgrenzwerte mit dem Safety Integrity Level zusammen?

IEC 61508-2, Abschnitt 7.2.3.2 e) sagt hierzu aus: Die Anforderungsspezifikation zur E/E/PE-Sicherheitsintegrität muss die elektromagnetischen Störfestigkeitsgrenzwerte (siehe IEC 61000-1-1) enthalten, die erforderlich sind, um elektromagnetische Verträglichkeit zu erreichen. Die elektromagnetischen Störfestigkeitsgrenzwerte sollten sowohl unter Berücksichtigung der elektromagnetischen Umgebung (siehe IEC 61000-2-5) als auch der erforderlichen Safety Integrity Levels abgeleitet werden.

IEC 61508 führt keine Methode zur Bestimmung von Anforderungen an elektromagnetische Verträglichkeit in Abhängigkeit vom Safety Integrity Level auf. Hier sollte die elektromagnetische Umgebung berücksichtigt werden, in der das sicherheitsbezogene System betrieben wird. Die Störgrenzen sollten so hoch angesetzt werden, dass sie in der Betriebsumgebung nicht überschritten werden. In der Praxis ist es jedoch schwierig sicherzustellen, dass die Störungen immer unter dieser Grenze liegen. Je höher die Störfestigkeitsgrenze angesetzt wird, desto niedriger ist die Wahrscheinlichkeit, dass eine Störung diese Grenze während des Betriebes überschreitet. Deshalb kann es notwendig sein, höhere Störfestigkeitsgrenzwerte anzusetzen, wenn die Safety Integrity Levels zunehmen, insbesondere, wenn Unsicherheit über die im Betrieb vorhandenen Störfelder besteht.

Stellung im Rahmen der internationalen Standards

Welchen internationalen Status hat die IEC 61508?
Die Übernahme internationaler IEC Standards ist jedem Land, ob Mitglied der IEC oder nicht, gänzlich freigestellt. Nationale IEC Gremien übernehmen die internationalen IEC Standards so weit wie möglich in ihre nationalen Standards. Jede Abweichung dem internationalen IEC Standard und dem zugehörigen nationalen Standard muß in letzterem klar angegeben werden. Der Umfang, in dem die IEC 61508 in verschiedenen Industriebereichen anzuwenden ist, hängt davon ab, ob auf IEC 61508 basierende anwendungsspezifische Standards entwickelt wurden.

Wie ist der Zusammenhang zwischen IEC 61508 und appplikationsspezifischen Standards?
Diese Internationale Norm beschreibt einen allgemeinen Lösungsweg für alle Aktivitäten während des Sicherheitslebenszyklus für Systeme, die aus elektrischen und/oder elektronischen und/oder programmierbar elektronischen Bauteilen bestehen und die eingesetzt werden, um Sicherheitsfunktionen auszuführen. Dieser allgemeine Lösungsweg wurde gewählt, um ein sinnvolles und konsistentes technisches Verfahren für alle elektrischen Sicherheitssysteme zu entwickeln. Ein Hauptziel ist es, die Entwicklung von Normen für bestimmte Anwendungsgebiete zu ermöglichen. Aus diesem Grund sind die ersten vier Teile der Norm grundlegende Sicherheitspublikationen.

Welche anwendungsspezifischen Standards basierend auf IEC 61508 liegen vor?

Die folgenden anwendungsspezifischen Standards wurden veröffentlicht:
IEC 61511-1: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie - Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware
IEC 61511-2: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie - Teil 2: Anleitungen zur Anwendung der IEC 61511-1
IEC 61511-3: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie - Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel
IEC 61513: Kernkraftwerke - Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen

In Entwicklung befinden sich IEC 62061 für den Maschinenbereich und IEC 61800-5-2 für Antriebssysteme.
Die IEC stellt keine Normentwürfe zur Verfügung. Nationale Gremien können Entwürfe für einen begrenzten Zeitraum der Öffentlichkeit zur Verfügung stellen. Die Regelungen hierzu sind länderspezifisch. Einzelheiten hierzu können beim jeweiligen nationalen Gremium erfragt werden.
Andere Standards können sich ebenfalls in der Erstellung befinden.

Kann man die IEC 61508 als eigenständigen Standard anwenden? Ja. Als eines der Hauptziele liefert diese Norm allgemeine Anforderungen für sicherheitsbezogene E/E/PE-Systeme, für die keine anwendungsspezifischen Normen vorhanden sind. Viele Anforderungen der IEC 61508, insbesondere aus IEC 61508-2 und IEC 61508-3, werden in anwendungsspezifischen Standards nicht wiederholt, sondern referenziert. Dies hat zur Folge, dass die meisten Anwender von anwendungsspezifischen Standards ebenfalls die IEC 61508 benötigen.

Regionale Umsetzungen und technische Interpretation

Wo kann ich länderspezifische Informationen zur IEC 61508 finden?

Die folgenden Websites liefern länderspezifische Details zur IEC 61508:

  • Deutschland: DKE (www.dke.de, in deutsch )
  • 
Dänemark: Dansk Standard (www.ds.dk, in dänisch und englisch)
* Großbritannien: IEE Professional Network - Functional Safety (www.iee.org, in englisch)

Ist die IEC 61508 auch ein europäischer Standard?
Ja. Die sieben Teile der IEC 61508 wurden durch die CENELEC im Dezember 2001 als EN 61508 herausgegeben.
Alle CENELEC Mitgliedsstaaten mussten bis August 2002 die EN 61508 in nationales Recht umsetzen, entweder durch Veröffentlichung eines identischen nationalen Standards oder versehen mit nationalen Anhängen. Alle mit der Norm widersprüchlichen nationalen Standards der CENELEC Mitgliedsstaaten mussten im August 2004 zurückgezogen werden.

Ist die Anwendung der IEC 61508 durch eine EG Richtlinie vorgeschrieben? Nein. Die EN 61508 besitzt nicht den Status einer harmonisierten europäischen Norm. Es gibt keine EG Richtlinie, die auf die Norm verweist. Dies verhindert jedoch nicht die unterstützende Verwendung relevanter Teile der EN 61508 in EG Konformitätserklärungen, falls dies zweckmäßig ist. Weil die EN 61508 aber keine harmonisierte europäische Norm ist, ist dann keine Konformitätsvermutung mit einer EG Richtlinie gegeben. Deshalb muß in diesen Fällen jeweils erklärt werden, wie die Konformität mit EN 61508 angewendet wurde, um die grundlegenden Anforderungen einer bestimmten Richtlinie zu erfüllen. Die Harmonisierung von IEC 61511 und IEC 61513 unter einer EG Richtlinie ist nicht geplant. Bezüglich IEC 61800-5-2 wurde bisher keine Entscheidung getroffen. Es ist jedoch beabsichtigt, die IEC 62061 nach deren Veröffentlichung als mit der EG Maschinenrichtlinie harmonisierte europäische Norm zu übernehmen.

Quelle: Endress + Hauser Messtechnik GmbH, Weil am Rhein (Stand 11.07.2005)

Als Hauptziel ist sicherzustellen, dass Anlagen und Maschinen sicher betrieben werden können. Darum ist die Vermeidung gefährlicher Ausfälle von Anlagen, PLT-Betriebseinrichtungen und... mehr erfahren »
Fenster schließen

Als Hauptziel ist sicherzustellen, dass Anlagen und Maschinen sicher betrieben werden können. Darum ist die Vermeidung gefährlicher Ausfälle von Anlagen, PLT-Betriebseinrichtungen und PLT-Überwachungseinrichtungen, sowie gefährlicher unerkannter Ausfälle von PLT-Schutzeinrichtungen von grundlegender Bedeutung. Funktionale Sicherheit ist der Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung abhängt. Diese Systeme müssen ihre bestimmungsgemäßen Funktionen (Sicherheitsfunktionen) unter definierten Fehlerbedingungen und mit definierter, hoher Wahrscheinlichkeit ausführen. Erfolgt die Risikoreduzierung mit Mitteln der Prozessleittechnik, so müssen die verwendeten Komponenten die Anforderungen des internationalen Standards IEC 61508 (ebenfalls verfügbar als DIN EN 61508, VDE 0803) erfüllen. Diese Norm liefert allgemeine Vorgaben für die Vermeidung und Beherrschung von Ausfällen in elektrischen, elektronischen oder programmierbaren elektronischen Geräten. Sie gibt organisatorische und technische Anforderungen sowohl für die Geräteentwicklung als auch für den Gerätebetrieb vor. Dabei werden für Anlagen und risikoreduzierende Maßnahmen vier Sicherheitsstufen unterschieden, von SIL1 für geringes Risiko bis SIL4 für sehr hohes Risiko. Je höher das Risiko, umso zuverlässiger müssen die Maßnahmen zur Risikoreduzierung durchgeführt werden. In gleichem Maße steigen die Anforderungen an die verwendeten Komponenten. Erstmals fordert eine Norm einen quantitativen Nachweis für das verbleibende Risiko für die komplette PLT-Schutzeinrichtung, bestehend aus Sensor, Steuerung und Aktor.

Die IEC 61508 dient auch als Basisnorm zur Erstellung branchen- oder anwendungsspezifischer Standards. So beschreibt z. B. die IEC 61511 (ebenfalls verfügbar als DIN EN 61511, VDE 0810) die für den Einsatz sicherheitstechnischer Systeme in der Prozessindustrie festgelegten Anforderungen. Diese Norm wird üblicherweise für den SIL-Nachweis für bestehende Geräte über Betriebsbewährung mit herangezogen.

Häufig gestellte Fragen (FAQs) über Funktionale Sicherheit und die internationale Norm IEC 61508 ("Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/ programmierbar elektronischer Systeme"). Die Antworten auf die Fragen erheben nicht den Anspruch einer definitiven technischen Klärung, sondern sollen insbesondere Erstanwender über die Norm informieren.

Schlüsselkonzepte

Was ist Funktionale Sicherheit?
Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion eines sicherheitsbezogenen E/E/PE-Systems, sicherheitsbezogenen Systemen anderer Technologie und externer Einrichtungen zur Risikominderung abhängt. Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.

Beispiel für eine Sicherheitsfunktion: Übertemperaturschutz, bestehend aus einem in den Windungen eines elektrischen Motors sitzenden Temperatursensor, der den Motor vor einer Überhitzung abschaltet.

Gegenbeispiel: Das Anbringen einer speziellen Isolierung, sodass der Motor hohen Temperaturen widerstehen kann, wäre keine Sicherheitsfunktion, obwohl dies ebenfalls der Sicherheit dient und Schutz gegen die gleiche Gefahr bietet.
Was ist ein sicherheitsbezogenes System nach IEC 61508?
Ein sicherheitsbezogenes System schließt alles (Hardware, Software, menschliche Faktoren) ein, das zur Ausführung von einer oder mehrerer Sicherheitsfunktionen erforderlich ist. Ausfälle der Sicherheitsfunktion würden eine signifikante Zunahme des Sicherheitsrisikos für Personen und/oder Umwelt bedeuten. Ein sicherheitsbezogenes System kann eine eigenständige Anlage zur Ausführung einer bestimmten Sicherheitsfunktion sein (z. B. Brandmeldesystem) oder in eine andere Anlage integriert sein (z. B.
Motordrehzahlüberwachung in einer Maschine).
Eine formale Definition ist in IEC 61508-4, Abschnitt 3.4.1, gegeben.

Was bedeutet E/E/PE?
E/E/PE ist eine Abkürzung für elektrisch/elektronisch/programmierbar elektronisch. In IEC 61508-4, Abschnitt 3.2.6, ist der Begriff definiert als "basierend auf elektrischer (E) und/oder elektronischer (E) und/oder programmierbar elektronischer (PE) Technologie".

Was ist eine Sicherheitsfunktion?
Funktion, die von einem sicherheitsbezogenen E/E/PE-System, einem sicherheitsbezogenen System anderer Technologie oder externen Einrichtungen zur Risikominderung ausgeführt wird mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Anlagenzustand zu erreichen oder aufrechtzuerhalten.

Was ist ein Safety Integrity Level (SIL)?
Ein Safety Integrity Level ist eine von vier diskreten Stufen, wobei jede Stufe einem Bereich für die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion entspricht. SIL4 stellt die höchste Stufe dar, SIL1 die niedrigste. Dabei ist zu beachten, dass ein Safety Integrity Level eine Eigenschaft einer Sicherheitsfunktion ist und sich nicht auf ein System oder Teilsystem bezieht.

Was bedeutet Software Safety Integrity im Rahmen der als Ausfallwahrscheinlichkeit definierten Safety Integrity?
Ein Safety Integrity Level (SIL) bezieht sich auf eine durchgehende Sicherheitsfunktion eines sicherheitsbezogenen Systems. Wie jede andere Komponente verfügt Software über keinen Safety Integrity Level, wenn sie isoliert von einem sicherheitsbezogenen System betrachtet wird. Integriert in ein System, kann sich die Software zur Unterstützung von Sicherheitsfunktionen zu einem bestimmten Safety Integrity Level eignen. Dies ist davon abhängig, wie die Software spezifiziert, entwickelt, implementiert, verifiziert, usw. wurde. SILn Software ist eine Kurzform für "Software, entwickelt unter Verwendung angemessener Techniken und Maßnahmen, die sicherstellen, dass die Software die Anforderungen an systematische Ausfälle einer bestimmten Sicherheitsfunktion X für SILn erfüllt". Hardware zeigt Alterungserscheinungen. Die daraus resultierenden zufälligen Ausfallraten können unter Verwendung statistischer Methoden numerisch beschrieben werden. Diese Effekte treten bei Software nicht auf. Alle Softwareausfälle ergeben sich aus systematischen Fehlern bei der Entwicklung und im Betrieb. Die Anwendung von konventioneller Sicherheitsanalyse auf systematisches Verhalten findet keine breite Akzeptanz. Deswegen sagt die Norm aus, dass es nur hinsichtlich der Sicherheitsintegrität der Hardware möglich ist, quantitativ zu arbeiten und Methoden zur Voraussage der Zuverlässigkeit bei der Beurteilung, ob die Ausfallgrenzwerte (siehe IEC 61508-1, Tabellen 2 und 3) erreicht worden sind, anzuwenden. Um die Ausfallgrenzwerte im Hinblick auf die systematische Sicherheitsintegrität (insbesondere Software) zu erreichen, müssen qualitative Methoden und Beurteilungen unter Berücksichtigung der erforderlichen Vorsichtsmaßnahmen angewendet werden. Trotz der genannten Schwierigkeiten liefern die Tabellen 2 und 3 von IEC 61508-1 einen nützlichen Rahmen zum Vergleich der verschiedenen Erfüllungsgrade systematischer Sicherheitsintegrität.

Was ist gemeint mit SILn-System, SILn-Teilsystem oder SILn-Komponente?

Ein Safety Integrity Level (SIL) ist keine Eigenschaft von Systemen, Teilsystemen oder Komponenten. Die korrekte Interpretation dieser Aussage ist, dass das System, Teilsystem oder die Komponente in Sicherheitsfunktionen bis zum Safety Integrity Level n eingesetzt werden kann. Dies allein ist aber nicht ausreichend, um eine Sicherheitsfunktion für den geforderten Safety Integrity Level aufzubauen.
Der Safety Integrity Level eines Teilsystems bestimmt den höchsten Safety Integrity Level, der für eine Sicherheitsfunktion unter Verwendung dieses Teilsystems geltend gemacht werden kann. Aus diesem Grund wird stattdessen manchmal der Begriff "Safety Integrity Level claim limit" verwendet. Die Befähigung bzw. Einsetzbarkeit eines Teilsystems für SILn (mit n = 1, 2, 3 oder 4) wird erreicht, wenn das Teilsystem die Anforderungen 1 oder 2 (siehe unten) erfüllt.

1. Designanforderungen für SILn zur Vermeidung und Beherrschung systematischer Fehler nach IEC 61508-2 und IEC 61508-3, oder
2. Anforderungen an Betriebsbewährung nach IEC 61508-2, Abschnitte 7.4.7.6 bis 7.4.7.10

Was ist eine Beurteilung der funktionalen Sicherheit (functional safety assessment)?

Dies ist eine auf Nachweise gestützte Untersuchung, die sicherstellt, dass die Funktionale Sicherheit erreicht wurde. Diejenigen Personen, die die Beurteilung der funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein und einen ausreichenden Unabhängigkeitsgrad besitzen. Sie müssen die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse betrachten und beurteilen, inwieweit die Ziele und Anforderungen der Norm IEC 61508 erreicht worden sind.
Weitere Details sind in IEC 61508-1, Abschnitt 8, zu finden.



Was ist eine Betriebsart?

Die IEC 61508 beschreibt zwei Betriebsarten für Sicherheitsfunktionen. Diese sind die Betriebsart mit niedriger Anforderungsrate (low demand mode) und die Betriebsart mit hoher oder kontinuierlicher Anforderungsrate (high demand or continuous mode). Formale Definitionen der Begriffe sind in IEC 61508-4, Abschnitt 3.5.12, gegeben. Zum Verständnis dieser beiden Betriebsarten muss zunächst der Unterschied zwischen einer Betriebsart auf Anforderung und einer kontinuierlichen Betriebsart erklärt werden. Eine Sicherheitsfunktion, die im Anforderungsmodus arbeitet, wird nur auf Anforderung ausgeführt und bringt das zu überwachende System (equipment under control - EUC) in einen definierten sicheren Zustand. Das sicherheitsbezogene E/E/PE-System, das diese Sicherheitsfunktion ausführt, hat keinen Einfluß auf das EUC bevor eine Anforderung an die Sicherheitsfunktion auftritt. Beispiele hierfür: Schutzsysteme in chemischen Anlagen, Antiblockiersysteme in Kraftfahrzeugen.
Eine Sicherheitsfunktion, die im kontinuierlichen Modus arbeitet, hält das EUC immer in seinem normalen sicheren Zustand. Das sicherheitsbezogene E/E/PE-System überwacht das EUC also ständig. Ein gefährlicher Ausfall dieses Systems führt unmittelbar zu einer Gefährdung, falls keine weiteren sicherheitsbezogenen Systeme oder externe Maßnahmen zur Risikominderung wirksam werden. Beispiele hierfür: Drehzahlüberwachung an Maschinen, Brennersteuerungen.

Die IEC 61508 unterscheidet zwischen:

  • Betriebsart mit niedriger Anforderungsrate (low demand mode) und

  • Betriebsart mit hoher oder kontinuierlicher Anforderungsrate (high demand or continuous mode)

Was ist der Unterschied zwischen den Betriebsarten low demand mode und high demand or continuous mode?

Die IEC 61508 verwendet Betriebsarten zur Unterscheidung zweier Typen von Sicherheitsfunktionen, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt werden. Die Betriebsarten sind wichtig, wenn die Ausfallgrenzwerte einer Sicherheitsfunktion zum Safety Integrity Level in Bezug gesetzt werden. Die IEC 61508 setzt den Safety Integrity Level einer Sicherheitsfunktion in Bezug zur

  • mittleren Ausfallwahrscheinlichkeit der entworfenen Funktion auf Anforderung (für low demand mode, siehe IEC 61508-1, Tabelle 2)

  • Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (für high demand or continuous mode, siehe IEC 61508-1, Tabelle 3)

Low demand mode liegt vor, wenn die Anforderungsrate an das sicherheitsbezogene System nicht mehr als einmal pro Jahr beträgt und nicht größer als die doppelte Frequenz der Wiederholungsprüfung ist. High demand or continuous mode liegt vor, wenn die Anforderungsrate an das sicherheitsbezogene System mehr als einmal pro Jahr beträgt oder größer als die doppelte Frequenz der Wiederholungsprüfung ist (siehe auch IEC 61508-4, Abschnitt 3.5.12).

Was ist ein equipment under control (EUC)?

Einrichtung, Maschine, Gerät oder Anlage, verwendet zur Fertigung, Stoffumformung, zum Transport, zu medizinischen oder anderen Tätigkeiten (siehe IEC 61508-4, Abschnitt 3.2.3).
Falls eine vernünftigerweise vorhersehbare Aktivität oder Inaktivität zu durch das EUC verursachten Gefährdungen mit unvertretbarem Risiko führt, sind Sicherheitsfunktionen erforderlich, um einen sicheren Zustand für das EUC zu erreichen oder aufrecht zu erhalten. Diese Sicherheitsfunktionen werden durch ein oder mehrere sicherheitsbezogene Systeme ausgeführt. Das EUC umfasst also alle Einrichtungen, Maschinen, Geräte oder Anlagen, die Gefährdungen verursachen können und für die sicherheitsbezogene Systeme erforderlich sind. Beispiel: Für sicherheitsbezogene Schutzsysteme auf Bohrplattformen beinhaltet die EUC alle Teile der Plattform, die die Sicherheitsanforderungen beeinflussen könnten.

Anwendungsbereich

Ist die IEC 61508 für mich relevant?
Gefährdungen für Anlagen und zugehörige Steuerungssysteme müssen durch die Planer oder Entwickler mittels einer Gefährdungs- und Risikoanalyse ermittelt werden. Diese Analyse zeigt, ob Funktionale Sicherheit erforderlich ist, um einen angemessenen Schutz gegen mögliche Gefährdungen zu gewährleisten. Falls zutreffend, müssen die zugehörigen Konzepte in angemessener Art und Weise in die Entwicklung einfließen. Funktionale Sicherheit ist nur eine der Möglichkeiten zum Umgang mit diesen Gefährdungen. Auch andere Methoden zu deren Vermeidung oder Reduzierung, wie inhärente Sicherheit durch die Entwicklung, sind von grundlegender Bedeutung.

Die IEC 61508 definiert angemessene Methoden, um Funktionale Sicherheit für die von dieser Norm betroffenen Systeme zu erreichen.

Welche Systeme sind von der IEC 61508 betroffen?
Die IEC 61508 ist auf sicherheitsbezogene Systeme anzuwenden, wenn eines oder mehrere dieser Systeme elektrische und/oder elektronsiche und/oder programmierbare elektronsiche (E/E/PE) Geräte enthalten. Sie deckt mögliche Risiken ab, die durch den Ausfall der von sicherheitsbezogenen E/E/PE-Systemen ausgeführten Sicherheitsfunktionen verursacht werden. Nicht abgedeckt werden Gefährdungen durch die E/E/PE-Geräte selbst, wie z. B. elektrischer Schlag. Die Norm ist allgemein auf sicherheitsbezogene E/E/PE-Systeme anwendbar, unabhängig von der jeweiligen Applikation.


Geben Sie einige praktische Beispiele

Die Norm IEC 61508 kann auf sicherheitsbezogene E/E/PE-Systeme aus folgenden Bereichen angewendet werden:

  • Notabschalt-Systeme

  • Feuermelde- und Gaswarnsysteme

  • Turbinenüberwachung
* Brennersteuerungen

  • Automatische Überlastanzeigen für Kräne

  • Sicherheitsverriegelungen und Notabschaltsysteme für Maschinen

  • Medizinische Geräte

  • Dynamische Positionierung (Überwachung von Schiffsbewegungen in der Nähe von Offshore-Anlagen)

  • Fly-by-wire Betrieb von Flugzeugleitwerken

  • Bahnsignalsysteme

  • Verwendung drehzahlvariabler Antriebsmotoren zur Geschwindigkeitsbeschränkung als Schutzmaßnahme

  • Kraftfahrzeug-Antiblockiersysteme,
  • Motormanagementsysteme
  • 
Netzwerk-basierte Fernüberwachung, Betrieb oder Programmierung einer verfahrenstechnischen Anlage

Sicherheitsfunktionen können aus elektromechanischen Relais, nicht programmierbarer Elektronik und programmierbarer Elektronik aufgebaut sein. Programmierbare elektronische sicherheitsbezogene Systeme umfassen typischerweise (frei) programmierbare Steuerungen, Mikroprozessoren, ASIC's oder andere programmierbare Geräte (z. B. intelligente Sensoren, Transmitter und Aktoren).

Die Norm ist immer auf das gesamte sicherheitsbezogene E/E/PE-System anzuwenden, z. B. vom Sensor über Steuerelektronik und Kommunikationssysteme bis zum Aktor, unter Berücksichtigung möglicher Fehler des Bedienpersonals. Für eine effektive Spezifikation und Implementierung von Sicherheitsfunktionen ist wesentlich, daß das System als Ganzes betrachtet wird.

Wie ist die IEC 61508 anzuwenden, wenn E/E/PE Technologie nur einen kleinen Teil eines sicherheitsbezogenen Systems ausmacht?

Die IEC 61508 ist auf jedes sicherheitsbezogene System anwendbar, das ein E/E/PE Gerät enthält.
Dies ist sinnvoll, weil viele Anforderungen der Norm (speziell in IEC 61508-1) nicht technologiespezifisch sind. Frühe Entwicklungsphasen (z. B. Konzeptphase, Gefährdungs- und Risikoanalyse) können stattfinden, bevor über die Technologie entschieden wird. Sogar während späterer Entwicklungsphasen (z. B. Realisierungsphase) können bestimmte Anforderungen der Funktionalen Sicherheit sowohl Nicht-E/E/PE Geräte (z. B. mechanische Komponenten) als auch E/E/PE Geräte betreffen. Beispielsweise beziehen sich die Anforderungen für Zuverlässigkeit und Fehlertoleranz der Hardware in IEC 61508-2 auf die Eigenschaften aller Komponenten eines sicherheitsbezogenen E/E/PE-Systems, unabhängig davon, ob sie E/E/PE Technologie enthalten.

Einfache sicherheitsbezogene E/E/PE-Systeme können auch dann mit der IEC 61508 konform sein, wenn nicht jede Anforderung des Standards erfüllt wird.
Woraus besteht die IEC 61508?

Der Standard ist in sieben Teilen veröffentlicht, wie in der Tabelle unten gezeigt. Nur die ersten vier Teile enthalten normative Anforderungen.
Struktur der IEC 61508 ("Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/ programmierbarer elektronischer Systeme"):

1. IEC 61508-1: Allgemeine Anforderungen


2. IEC 61508-2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme


3. IEC 61508-3: Anforderungen an Software


4. IEC 61508-4: Begriffe und Abkürzungen


5. IEC 61508-5: Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität (safety integrity level)


6. IEC 61508-6: Richtlinien für die Anwendung von IEC 61508-2 und IEC 61508-3
7. IEC 61508-7: Überblick über Techniken und Massnahmen

Wie geht man beim Lesen der Norm am besten vor?

Anhang A der IEC 61508-5 liefert eine Einführung zu den Themen Risiko und Sicherheitsintegrität. In IEC 61508-1 sind die Anforderungen an den gesamten Sicherheitslebenszyklus (enthalten in Abschnitt 7) in einem Lebenszyklus-Diagramm (Abbildung 2) zusammengefasst, mit einem Überblick zu jeder Phase in Tabelle 1. Zusätzlich enthält Abschnitt 7.18 die Anforderungen an Verifikation, Management und Bewertung der Funktionalen Sicherheit.

IEC 61508-6, Anhang A, gibt einen achtseitigen Überblick über die Anforderungen von IEC 61508-2 und IEC 61508-3.
In IEC 61508-2 sind die Anforderungen an den E/E/PES Sicherheitslebenszyklus (enthalten in Abschnitt 7) in einem Lebenszyklus-Diagramm (Abbildung 2) zusammengefasst, mit einem Überblick zu jeder Phase in Tabelle 1. In gleicher Weise sind in IEC 61508-3 die Anforderungen an den Softwarelebenszyklus (enthalten in Abschnitt 7) in Abbildung 3 zusammengefasst, mit einem Überblick in Tabelle 1.

Jede einzelne Anforderung der IEC 61508 sollte zusammen mit der zugehörigen Lebenszyklusphase (wo zutreffend) und den angegebenen Zielen für die einzelnen Phasen betrachtet werden. In jedem Abschnitt sind die Ziele den Anforderungen jeweils unmittelbar vorangestellt.

Gefährdungs- und Risikoanalyse

Befasst sich die IEC 61508 ausschließlich mit der Gewährleistung von Sicherheit durch Verbesserung der Ausfallsicherheit?

Nein. Ein entscheidender erster Schritt im Sicherheitslebenszyklus ist, dass die erforderlichen Sicherheitsfunktionen aus einer Gefährdungs- und Risikoanalyse abgeleitet werden. Dabei ist nicht nur die Sicherheitsintegrität der Sicherheitsfunktionen von Bedeutung, sondern auch die effektive und genaue Spezifikation der Sicherheitsfunktionen selbst. Fordert die IEC 61508 die Durchführung einer quantitativen Risikoanalyse zur Bestimmung des Safety Integrity Levels? Nein. Die Norm erlaubt sowohl quantitative als auch qualitative Methoden (vgl. IEC 61508-5, Anhänge C, D und E).
Es ist zu beachten, dass eine Risikoanalyse generell eine große Erfahrung erfordert. Deswegen wird sie in der Regel in Teamarbeit erstellt.

Konformität mit der der IEC 61508
Sicherheitsfunktionen, die einem sicherheitsbezogenen E/E/PE-System zugeordnet sind?
Die Spezifikation der auszuführenden Sicherheitsfunktionen setzt sich nach IEC 61508 aus den folgenden zwei Elementen zusammen:
* Anforderungen an die Sicherheitsfunktion (also was die Sicherheitsfunktion tut) und
* Anforderungen an die Sicherheitsintegrität (also die Wahrscheinlichkeit, dass eine Sicherheitsfunktion zufriedenstellend ausgeführt wird)

Die IEC 61508 schreibt für eine bestimmte Anwendung weder die notwendigen Anforderungen an Sicherheitsfunktionen noch die Anforderungen an die Sicherheitsintegrität vor.
Der Safety Integrity Level (SIL 1, 2, 3oder 4) entspricht einem Wertebereich für die Sicherheitsintegrität, gemessen als mittlere Ausfallwahrscheinlichkeit einer Sicherheitsfunktion im Anforderungsfall oder als Wahrscheinlichkeit eines gefährlichen Ausfalls der Sicherheitsfunktion pro Stunde.

Der einem sicherheitsbezogenen E/E/PE-System zugeordnete Safety Integrity Level hat Einfluß auf den Schärfegrad, mit dem eine Anforderung zu erfüllen ist. Dies hängt aber auch noch von weiteren Faktoren ab (vgl. hierzu IEC 61508-1, Abschnitt 4.1).
Hersteller geben an, dass ihre Produkte der IEC 61508 für einen bestimmten Safety Integrity Level (SIL) entsprechen. Bedeutet dies, dass die Verwendung dieser Produkte für mich ausreicht, um die IEC 61508 zu erfüllen? Nein. Ein Safety Integrity Level (SIL) kann nicht direkt einem Teilsystem oder einer Komponente zugeordnet werden, sondern er bezieht sich auf eine Sicherheitsfunktion, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt wird.

Die IEC 61508 deckt alle Komponenten des sicherheitsbezogenen E/E/PE-Systems ab, einschließlich Feldgeräten und spezieller Anwendungslogik. Jedes Teilsystem und jede Komponente, die zur Realisierung einer Sicherheitsfunktion eingesetzt wird, muss den für die Funktion geforderten Safety Integrity Level erfüllen. Dies ist nicht für jede Anordnung aus Teilsystemen oder Komponenten gegeben, auch wenn diese für den geforderten Safety Integrity Level geeignet sind. Ein einfaches Beispiel hierfür ist die unvorschriftsmäßige Installation eines Teilsystems oder einer Komponente.

Hersteller von Produkten zum Einsatz in sicherheitsbezogenen E/E/PE-Systemen sollten deswegen ausreichende Informationen zum Nachweis liefern, dass das Produkt die Anforderungen der IEC 61508 erfüllt.

Ich bin Lieferant von Teilsystemen wie Sensoren oder Aktoren zum Einsatz in sicherheitsrelevanten E/E/PE-Systemen.

Was bedeutet die IEC 61508 für mich?


Wenn ein Teilsystem in ein sicherheitsbezogenes E/E/PE-System nach IEC 61508 integriert wird, muss dessen Beitrag auf die Leistung des gesamten Systems bezüglich der Sicherheitsintegrität berücksichtigt werden. Zu diesem Zweck benötigt der Entwickler/Integrator bestimmte Informationen für jedes sicherheitsbezogene Teilsystem. Lieferanten von Teilsystemen zum Einsatz in sicherheitsbezogenen E/E/PE-Systemen sollten hierfür die folgenden Informationen liefern (siehe auch IEC 61508-2, Abschnitt 7.4.7.3):

  • funktionale Spezifikationen, Schnittstelleninformationen und Einschränkungen in Bezug auf die Umgebung des Teilsystems

  • geschätzte Ausfallraten (auf Grund zufälliger Hardwareausfälle) für alle Ausfallmodi
* Diagnosedeckungsgrad und Diagnose-Testintervall

  • Hardwarefehlertoleranz
  • 
Informationen zur Identifikation der Hardware- und Softwarekonfiguration
  • 
Informationen zur Ableitung des Anteils ungefährlicher Ausfälle (SFF) des Teilsystems

  • dokumentarischer Nachweis, dass das Teilsystem validiert wurde

  • höchster Safety Integrity Level, der für eine Sicherheitsfunktion in Anspruch genommen werden kann, die das Teilsystem verwendet

Müssen zur Erfüllung der IEC 61508 Komponenten verwendet werden, die durch externe Stellen zertifiziert sind?

Nein. Die Norm fordert eine Beurteilung der Funktionalen Sicherheit für alle Teile des sicherheitsbezogenen E/E/PE-Systems und für alle Lebenszyklusphasen (siehe IEC 61508-1, Abschnitt 8).

Der geforderte minimale Unabhängigkeitsgrad des Assessors erstreckt sich von einer unabhängigen Person aus der gleichen Organisation für SIL1 bis zu einer unabhängigen Organisation für SIL4. Der geforderte minimale Unabhängigkeitsgrad für SIL2 und SIL3 wird von zusätzlichen Faktoren beeinflusst wie Komplexitätsgrad und Neuigkeitsgrad des Entwurfs, sowie Entwicklererfahrung. Personen, die die Beurteilung der Funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein.

In welcher Weise muss der Einfluß menschlichen Verhaltens auf den Betrieb von sicherheitsbezogenen E/E/PE-Systemen berücksichtigt werden?

Die IEC 61508 fordert, dass menschliche Faktoren bei der Festlegung von Gefährdungen und gefährlichen Vorfällen (vgl. IEC 61508-1, Abschnitt 7.4.2.3) und beim Entwurf sicherheitsbezogener E/E/PE-Systeme (vgl. IEC 61508-2, Abschnitt 7.4.5.3) einbezogen werden.

Bei sicherheitsbezogenen E/E/PE-Schutzsystemen müssen hier folgende drei Bereiche betrachtet werden:

  • menschliche Aktivitäten oder Fehler, die eine Anforderung des sicherheitsbezogenen E/E/PE-Schutzsystems auslösen
  • 
menschliches Versagen bei der Rekation auf Alarme
  • 
menschliches Versagen bei Test und Wartung, die die Wirksamkeit herabsetzen und die Wahrscheinlichkeit eines Ausfalls bei Anforderung erhöhen

Kann ein sicherheitsbezogenes E/E/PE-System Hardware und/oder Software enthalten, die nicht nach IEC 61508 hergestellt wurde und die Norm trotzdem erfüllen?
Hier ist die alternative Argumentation über Betriebsbewährung zur Erfüllung der Designanforderungen bezüglich systematischer Fehler, sowohl für Hardware als auch für Software, möglich. Es ist jedoch anzumerken, dass das Argument der Betriebsbewährung für folgende Anforderungen nicht angewendet werden kann:

  • Einschränkungen der Sicherheitsintegrität der Hardware aufgrund der Architektur (siehe IEC 61508-2, 7.4.2.1)

  • Abschätzung der Wahrscheinlichkeit des Ausfalls von Sicherheitsfunktionen infolge zufälliger Hardwareausfälle (siehe IEC 61508-2, 7.4.3.2)
* Systemverhalten bei Erkennung eines Fehlers (siehe IEC 61508-2, 7.4.6)

IEC 61508-2, Abschnitt 7.4.2.2, gibt eine Zusammenfassung von Designanforderungen, einschließlich Verweisen auf detailliertere systematische Hardwareanforderungen im Standard. Betriebsbewährung beruht auf der Verfügbarkeit eines dokumentarischen Nachweises zu zufälligen Hardwarefehlern, systematischen Fehlern und auf analytischen Verfahren und Tests, ob die vorigen Verwendungsbedingungen eines Subsystems von denen für das sicherheitsbezogene E/E/PE-System abweichen. IEC 61508-2, Abschnitt 7.4.7.6, fordert, dass:

  • die vorherigen Verwendungsbedingungen des speziellen Teilsystems die gleichen sind oder ausreichend nah zu denen liegen, denen das Teilsystem im sicherheitsbezogenen E/E/PE-System unterliegen wird (siehe IEC 61508-2, 7.4.7.7)
  • 
die vorherigen Verwendungsbedingungen des speziellen Teilsystems die gleichen sind oder ausreichend nah zu denen liegen, denen das Teilsystem im sicherheitsbezogenen E/E/PE-System unterliegen wird, um festzulegen, dass die Wahrscheinlichkeit irgendeines nicht erkannten systematischen Fehlers niedrig genug ist, so dass der erforderliche Safety Integrity Level der Sicherheitsfunktionen, die das Teilsystem verwenden, erreicht wird (siehe IEC 61508-2, 7.4.7.8) die beanspruchten Ausfallraten eine ausreichende statistische Basis haben (siehe IEC 61508-2, 7.4.7.9) ausreichende Sammlung von Daten zu Ausfällen (siehe IEC 61508-2, 7.4.7.10)

  • die Bewertung unter Berücksichtugung der Komplexität des Teilsystems, des Anteils, den das System zur Risikominderung beiträgt, der Auswirkungen, die mit dem Ausfall des Teilsystems verbunden sind und der Neuheit des Entwurfs erfolgt (siehe IEC 61508-2, 7.4.7.11)
  • 
die Anwendung eines "betriebsbewährten" sicherheitsbezogenen Teilsystems im sicherheitsbezogenen E/E/PE-System auf diejenigen Funktionen und Schnittstellen des Teilsystems beschränkt sein sollte, die die zutreffenden Anforderungen erfüllen (siehe IEC 61508-2, 7.4.7.12) IEC 61508-2, Abschnitt 7.4.2.11, erlaubt den Einsatz von Standardsoftware oder bereits entwickelter Software, auch ohne die Verfügbarkeit eines dokumentarischen Nachweises, jedoch mit Schwerpunkt auf Analyse und Tests. Dieses Konzept sollte vom oben beschriebenen Betriebsbewährungskonzept unterschieden werden.

Müssen Steuerungssysteme, die Anforderungen an sicherheitsbezogene Systeme stellen, selbst als sicherheitsbezogene Systeme betrachtet werden?
Falls nicht beabsichtigt ist, ein Steuerungssystem als sicherheitsbezogenes System zu betrachten, müssen die folgenden Anforderungen zutreffen (siehe IEC 61508-1, 7.5.2.4):

  • Die Rate gefahrbringender Ausfälle, die für das Steuerungssystem in Anspruch genommen werden kann, darf nicht kleiner als 10-5 gefahrbringende Ausfälle pro Stunde sein.
  • 
Es muss ein ausreichender Nachweis geführt werden, dass die erlaubte gefährliche Ausfallrate erreicht wird.

  • Alle vernünftigerweise vorhersehbaren gefährlichen Ausfallarten müssen bestimmt sein.

  • Es ist sicherzustellen, dass das Steuerungsystem getrennt und unabhängig von allen sicherheitsbezogenen Systemen ist.

 

Wie hängen elektromagnetische Störfestigkeitsgrenzwerte mit dem Safety Integrity Level zusammen?

IEC 61508-2, Abschnitt 7.2.3.2 e) sagt hierzu aus: Die Anforderungsspezifikation zur E/E/PE-Sicherheitsintegrität muss die elektromagnetischen Störfestigkeitsgrenzwerte (siehe IEC 61000-1-1) enthalten, die erforderlich sind, um elektromagnetische Verträglichkeit zu erreichen. Die elektromagnetischen Störfestigkeitsgrenzwerte sollten sowohl unter Berücksichtigung der elektromagnetischen Umgebung (siehe IEC 61000-2-5) als auch der erforderlichen Safety Integrity Levels abgeleitet werden.

IEC 61508 führt keine Methode zur Bestimmung von Anforderungen an elektromagnetische Verträglichkeit in Abhängigkeit vom Safety Integrity Level auf. Hier sollte die elektromagnetische Umgebung berücksichtigt werden, in der das sicherheitsbezogene System betrieben wird. Die Störgrenzen sollten so hoch angesetzt werden, dass sie in der Betriebsumgebung nicht überschritten werden. In der Praxis ist es jedoch schwierig sicherzustellen, dass die Störungen immer unter dieser Grenze liegen. Je höher die Störfestigkeitsgrenze angesetzt wird, desto niedriger ist die Wahrscheinlichkeit, dass eine Störung diese Grenze während des Betriebes überschreitet. Deshalb kann es notwendig sein, höhere Störfestigkeitsgrenzwerte anzusetzen, wenn die Safety Integrity Levels zunehmen, insbesondere, wenn Unsicherheit über die im Betrieb vorhandenen Störfelder besteht.

Stellung im Rahmen der internationalen Standards

Welchen internationalen Status hat die IEC 61508?
Die Übernahme internationaler IEC Standards ist jedem Land, ob Mitglied der IEC oder nicht, gänzlich freigestellt. Nationale IEC Gremien übernehmen die internationalen IEC Standards so weit wie möglich in ihre nationalen Standards. Jede Abweichung dem internationalen IEC Standard und dem zugehörigen nationalen Standard muß in letzterem klar angegeben werden. Der Umfang, in dem die IEC 61508 in verschiedenen Industriebereichen anzuwenden ist, hängt davon ab, ob auf IEC 61508 basierende anwendungsspezifische Standards entwickelt wurden.

Wie ist der Zusammenhang zwischen IEC 61508 und appplikationsspezifischen Standards?
Diese Internationale Norm beschreibt einen allgemeinen Lösungsweg für alle Aktivitäten während des Sicherheitslebenszyklus für Systeme, die aus elektrischen und/oder elektronischen und/oder programmierbar elektronischen Bauteilen bestehen und die eingesetzt werden, um Sicherheitsfunktionen auszuführen. Dieser allgemeine Lösungsweg wurde gewählt, um ein sinnvolles und konsistentes technisches Verfahren für alle elektrischen Sicherheitssysteme zu entwickeln. Ein Hauptziel ist es, die Entwicklung von Normen für bestimmte Anwendungsgebiete zu ermöglichen. Aus diesem Grund sind die ersten vier Teile der Norm grundlegende Sicherheitspublikationen.

Welche anwendungsspezifischen Standards basierend auf IEC 61508 liegen vor?

Die folgenden anwendungsspezifischen Standards wurden veröffentlicht:
IEC 61511-1: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie - Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware
IEC 61511-2: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie - Teil 2: Anleitungen zur Anwendung der IEC 61511-1
IEC 61511-3: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie - Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel
IEC 61513: Kernkraftwerke - Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen

In Entwicklung befinden sich IEC 62061 für den Maschinenbereich und IEC 61800-5-2 für Antriebssysteme.
Die IEC stellt keine Normentwürfe zur Verfügung. Nationale Gremien können Entwürfe für einen begrenzten Zeitraum der Öffentlichkeit zur Verfügung stellen. Die Regelungen hierzu sind länderspezifisch. Einzelheiten hierzu können beim jeweiligen nationalen Gremium erfragt werden.
Andere Standards können sich ebenfalls in der Erstellung befinden.

Kann man die IEC 61508 als eigenständigen Standard anwenden? Ja. Als eines der Hauptziele liefert diese Norm allgemeine Anforderungen für sicherheitsbezogene E/E/PE-Systeme, für die keine anwendungsspezifischen Normen vorhanden sind. Viele Anforderungen der IEC 61508, insbesondere aus IEC 61508-2 und IEC 61508-3, werden in anwendungsspezifischen Standards nicht wiederholt, sondern referenziert. Dies hat zur Folge, dass die meisten Anwender von anwendungsspezifischen Standards ebenfalls die IEC 61508 benötigen.

Regionale Umsetzungen und technische Interpretation

Wo kann ich länderspezifische Informationen zur IEC 61508 finden?

Die folgenden Websites liefern länderspezifische Details zur IEC 61508:

  • Deutschland: DKE (www.dke.de, in deutsch )
  • 
Dänemark: Dansk Standard (www.ds.dk, in dänisch und englisch)
* Großbritannien: IEE Professional Network - Functional Safety (www.iee.org, in englisch)

Ist die IEC 61508 auch ein europäischer Standard?
Ja. Die sieben Teile der IEC 61508 wurden durch die CENELEC im Dezember 2001 als EN 61508 herausgegeben.
Alle CENELEC Mitgliedsstaaten mussten bis August 2002 die EN 61508 in nationales Recht umsetzen, entweder durch Veröffentlichung eines identischen nationalen Standards oder versehen mit nationalen Anhängen. Alle mit der Norm widersprüchlichen nationalen Standards der CENELEC Mitgliedsstaaten mussten im August 2004 zurückgezogen werden.

Ist die Anwendung der IEC 61508 durch eine EG Richtlinie vorgeschrieben? Nein. Die EN 61508 besitzt nicht den Status einer harmonisierten europäischen Norm. Es gibt keine EG Richtlinie, die auf die Norm verweist. Dies verhindert jedoch nicht die unterstützende Verwendung relevanter Teile der EN 61508 in EG Konformitätserklärungen, falls dies zweckmäßig ist. Weil die EN 61508 aber keine harmonisierte europäische Norm ist, ist dann keine Konformitätsvermutung mit einer EG Richtlinie gegeben. Deshalb muß in diesen Fällen jeweils erklärt werden, wie die Konformität mit EN 61508 angewendet wurde, um die grundlegenden Anforderungen einer bestimmten Richtlinie zu erfüllen. Die Harmonisierung von IEC 61511 und IEC 61513 unter einer EG Richtlinie ist nicht geplant. Bezüglich IEC 61800-5-2 wurde bisher keine Entscheidung getroffen. Es ist jedoch beabsichtigt, die IEC 62061 nach deren Veröffentlichung als mit der EG Maschinenrichtlinie harmonisierte europäische Norm zu übernehmen.

Quelle: Endress + Hauser Messtechnik GmbH, Weil am Rhein (Stand 11.07.2005)

Zuletzt angesehen