• Home
• Wir
• QM
  • Qualitätsmanagement
  • QM-Schulungen
  • QM-Audit
  • Dokumentvorlagen
  • QM-Software
• UM
  • Umweltmanagement
  • UM-Schulungen
  • UM-Audit
  • Dokumentvorlagen
  • UM-Software
• FSM
  • Funktionale Sicherheit
  • Maschinensicherheit/PL
  • Prozesssicherheit/SIL
  • Produktzuverlässigkeit
  • FSM-Audit
  • Software
• Shop
• Sitemap
• Kontakt

Die Antworten auf die Fragen erheben nicht den Anspruch einer definitiven technischen Klärung, sondern sollen insbesondere Erstanwender über die Norm informieren. "Elektrische / elektronische / programmierbar elektronische Systeme“ werden im Folgenden angesprochen.

Was ist ein „equipment under control (EUC)“?
Einrichtung, Maschine, Gerät oder Anlage, verwendet zur Fertigung, Stoffumformung, zum Transport, zu medizinischen oder anderen Tätigkeiten (siehe IEC/EN 61508-4, Abschnitt 3.2.1).

Falls eine vernünftigerweise vorhersehbare Aktivität oder Inaktivität zu durch das EUC verursachten Gefährdungen mit unvertretbarem Risiko führt, sind Sicherheitsfunktionen erforderlich, um einen sicheren Zustand für das EUC zu erreichen oder aufrecht zu erhalten. Diese Sicherheitsfunktionen werden durch ein oder mehrere sicherheitsbezogene Systeme ausgeführt.

Das EUC umfasst also alle Einrichtungen, Maschinen, Geräte oder Anlagen, die Gefährdungen verursachen können und für die sicherheitsbezogene Systeme erforderlich sind. Beispiel: Für sicherheitsbezogene Schutzsysteme auf Bohrplattformen beinhaltet die EUC alle Teile der Plattform, die die Sicherheitsanforderungen beeinflussen könnten.

Was bedeutet E/E/PE?
E/E/PE ist eine Abkürzung für elektrisch/elektronisch/programmierbar elektronisch. In IEC/EN 61508-4, Abschnitt 3.2.13, ist der Begrif definiert als "basierend auf elektrischer (E) und/oder elektronischer (E) und/oder programmierbar elektronischer (PE) Technologie".

Was ist Funktionale Sicherheit?
Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion eines sicherheitsbezogenen E/E/PE-Systems, sicherheitsbezogenen Systemen anderer Technologie und externer Einrichtungen zur Risikominderung abhängt. Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.

Was ist ein sicherheitsbezogenes System nach IEC/EN 61508?
Ein sicherheitsbezogenes System schließt alles (Hardware, Software, menschliche Faktoren) ein, das zur Ausführung einer oder mehrerer Sicherheitsfunktionen erforderlich ist, wobei Ausfälle der Sicherheitsfunktion eine signifikante Zunahme des Sicherheitsrisikos für Personen und/oder Umwelt bedeuten würden.

Ein sicherheitsbezogenes System kann eine eigenständige Anlage zur Ausführung einer bestimmten Sicherheitsfunktion sein (z.B. Brandmeldesystem) oder in eine andere Anlage integriert sein (z.B. Motordrehzahlüberwachung in einer Maschine).

Eine formale Definition ist in IEC/EN 61508-4, Abschnitt 3.4.1, gegeben.

Was ist eine Sicherheitsfunktion?
Funktion, die von einem sicherheitsbezogenen E/E/PE-System, einem sicherheitsbezogenen System anderer Technologie oder externen Einrichtungen zur Risikominderung ausgeführt wird mit dem Ziel, unter Berücksichtigung eines gefährlichen Vorfalls, einen sicheren (Anlagen-/System-) Zustand zu erreichen oder aufrechtzuerhalten.

Was ist ein „Sicherheits-Integritätslevel (SIL)“?
Ein Sicherheits-Integritätslevel ist einer von vier diskreten Stufen, wobei jede Stufe einem Bereich für die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion entspricht. SIL4 stellt die höchste Stufe dar, SIL1 die niedrigste.

Rechnerische Ermittlung der sicherheitstechnischen Kenngrößen
Die IEC/EN 61508 unterscheidet zwei Bewertungsverfahren, um eine Aussage über die Eignung einer Sicherheitseinrichtung zu treffen. Es müssen immer beide Bewertungsverfahren durchgeführt werden.

1. Bewertungsverfahren
Das erste Verfahen hat die Hardware-Fehlertoleranz (HFT) und die Sicherheits-Ausfallfraktion (SFF) zum Gegenstand. Hier wird nach dem Grundsatz verfahren, dass ein einfach gestaltetes System (einkanalig) eine Diagnose mit sehr hoher Wirksamkeit benutzen muss, um Fehler im System zu erkennen.

Hingegen reicht bei einem aufwendig gestaltetem System (mehrkanalig) eine Diagnose mit einer geringeren Wirksamkeit, da hier mehrere Kanäle unabhängig voneinander die Schutzfunktion auslösen können.

Die Struktur eines Sicherheitssystems (ein- oder mehrkanalig) drückt sich in der HFT aus. In Verbindung mit dem als Ziel gesetzten SIL ist die zu errechnende SFF wesentlich. Sie wird durch die Wirksamkeit der Diagnose bestimmt.

2. Bewertungsverfahren
Das zweite Bewertungsverfahren besteht in der Berechnung der Ausfallwahrscheinlichkeiten PFD, PFH und basiert auf den Daten der FME(D)A oder der Fehlerbaumanalyse. Als Berechnungsverfahren sind die Anwendung von Zuverlässigkeitsblockdiagrammen oder Markov-Modellen gebräuchlich.

Die Wahrscheinlichkeit eines gefährlichen Ausfalls ist nach dem Einschalten eines großen Systems eher klein. Mit fortlaufender Betriebszeit steigt die Ausfallwahrscheinlichkeit eines Systems bei Anforderung an. Überschreitet dieser Wert einen zulässigen Grenzwert, so muss ein kompletter Test eines Systems durchgeführt werden.

Theoretisch wäre das System durch einen solchen Test für eine unbegrenzte Zeit einsetzbar, wenn die Ausfallrate immer konstant wäre und nicht am Ende der Lebensdauer stark ansteigen würde (Badewannenkurve).

Was bedeutet Software Safety Integrity im Rahmen der als Ausfallwahrscheinlichkeit definierten Safety Integrity?
Ein Sicherheits-Integritätslevel (SIL) bezieht sich auf eine durchgehende Sicherheitsfunktion eines sicherheitsbezogenen Systems. Wie jede andere Komponente verfügt Software über keinen Sicherheits-Integritätslevel, wenn sie isoliert von einem sicherheitsbezogenen System betrachtet wird. Integriert in ein System, kann sich die Software zur Unterstützung von Sicherheitsfunktionen zu einem bestimmten Sicherheits-Integritätslevel eignen. Dies ist davon abhängig, wie die Software spezifiziert, entwickelt, implementiert, verifiziert, validiert usw. wurde. SILn Software ist eine Kurzform für "Software, entwickelt unter Verwendung angemessener Techniken und Maßnahmen, die sicherstellen, dass die Software die Anforderungen an systematische Ausfälle einer bestimmten Sicherheitsfunktion X für SILn erfüllt".

Hardware zeigt Alterungserscheinungen. Die daraus resultierenden zufälligen Ausfallraten können unter Verwendung statistischer Methoden numerisch beschrieben werden. Diese Effekte treten bei Software nicht auf. Alle Softwareausfälle ergeben sich aus systematischen Fehlern bei der Entwicklung und im Betrieb. Die Anwendung von konventioneller Sicherheitsanalyse auf systematisches Verhalten findet keine breite Akzeptanz. Deswegen sagt die Norm aus, dass es nur hinsichtlich der Sicherheitsintegrität der Hardware möglich ist, quantitativ zu arbeiten und Methoden zur Voraussage der Zuverlässigkeit bei der Beurteilung, ob die Ausfallgrenzwerte (siehe IEC/EN 61508-1, Tabellen 2 und 3) erreicht worden sind, anzuwenden. Um die Ausfallgrenzwerte im Hinblick auf die systematische Sicherheitsintegrität (insbesondere Software) zu erreichen, müssen qualitative Methoden und Beurteilungen unter Berücksichtigung der erforderlichen Vorsichtsmaßnahmen angewendet werden.

Trotz der genannten Schwierigkeiten liefern die Tabellen 2 und 3 von IEC/EN 61508-1 einen nützlichen Rahmen zum Vergleich der verschiedenen Erfüllungsgrade systematischer Sicherheitsintegrität.

Was ist gemeint mit SILn-System, SILn-Teilsystem oder SILn-Komponente?
Ein Sicherheits-Integritätslevel (SIL) ist keine Eigenschaft von Systemen, Teilsystemen oder Komponenten. Die korrekte Interpretation dieser Aussage ist, dass das System, Teilsystem oder die Komponente in Sicherheitsfunktionen bis zum Sicherheits-Integritätslevel n eingesetzt werden kann. Dies allein ist aber nicht ausreichend, um eine Sicherheitsfunktion für den geforderten Sicherheits-Integritätslevel aufzubauen.

Der Sicherheits-Integritätslevel eines Teilsystems bestimmt den höchsten Sicherheits-Integritätslevel, der für eine Sicherheitsfunktion unter Verwendung dieses Teilsystems geltend gemacht werden kann. Aus diesem Grund wird stattdessen manchmal der Begriff "Sicherheits-Integritätslevel claim limit" verwendet. Die Befähigung bzw. Einsetzbarkeit eines Teilsystems für SILn (mit n=1, 2, 3 oder 4) wird erreicht, wenn das Teilsystem die Anforderungen 1 oder 2 (siehe unten) erfüllt.

Designanforderungen für SILn zur Vermeidung und Beherrschung systematischer Fehler nach IEC/EN 61508-2 und IEC/EN 61508-3 oder Anforderungen an Betriebsbewährung nach IEC/EN 61508-2, Abschnitte 7.4.7.6 bis 7.4.7.10.

Was ist eine Beurteilung der Funktionalen Sicherheit (functional safety assessment)?
Dies ist eine auf Nachweise gestützte Untersuchung, die sicherstellt, dass die Funktionale Sicherheit erreicht wurde. Diejenigen Personen, die die Beurteilung der Funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein und einen ausreichenden Unabhängigkeitsgrad besitzen. Sie müssen die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse betrachten und beurteilen, inwieweit die Ziele und Anforderungen der Norm IEC/EN 61508 erreicht worden sind.

Weitere Details sind in IEC/EN 61508-1, Abschnitt 8, zu finden.

Was ist eine Betriebsart?
Die IEC/EN 61508 beschreibt drei Betriebsarten für Sicherheitsfunktionen. Diese sind

• die Betriebsart mit niedriger Anforderungsrate (low demand mode),
• die Betriebsart mit hoher Anforderungsrate (high demand mode) und
• die Betriebsart mit kontinuierlicher Anforderungsrate (continuous mode).

Formale Definitionen der Begriffe sind in IEC/EN 61508-4, Abschnitt 3.5.16, gegeben.

Zum Verständnis dieser Betriebsarten muss zunächst der Unterschied zwischen "auf Anforderung" und "kontinuierlich" erklärt werden.

Eine Sicherheitsfunktion, die im Anforderungsmodus arbeitet, wird nur auf Anforderung ausgeführt und bringt das zu überwachende System (equipment under control - EUC) in einen definierten sicheren Zustand. Das sicherheitsbezogene E/E/PE-System, das diese Sicherheitsfunktion ausführt, hat keinen Einfluss auf das EUC bevor eine Anforderung an die Sicherheitsfunktion auftritt.

Beispiele hierfür: Schutzsysteme in chemischen Anlagen, Antiblockiersysteme in Kraftfahrzeugen.

Eine Sicherheitsfunktion, die im kontinuierlichen Modus arbeitet, hält das EUC immer in seinem normalen sicheren Zustand. Das sicherheitsbezogene E/E/PE-System überwacht das EUC also ständig. Ein gefährlicher Ausfall dieses Systems führt unmittelbar zu einer Gefährdung, falls keine weiteren sicherheitsbezogenen Systeme oder externe Maßnahmen zur Risikominderung wirksam werden.

Beispiele hierfür: Drehzahlüberwachung an Maschinen, Brennersteuerungen.

Was ist der Unterschied zwischen den Betriebsarten "low demand mode", "high demand mode" und "continuous mode"?
Die IEC/EN 61508 verwendet Betriebsarten zur Unterscheidung zweier Typen von Sicherheitsfunktionen, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt werden. Die Betriebsarten sind wichtig, wenn die Ausfallgrenzwerte einer Sicherheitsfunktion zum Sicherheits-Integritätslevel in Bezug gesetzt werden.

Die IEC/EN 61508 setzt den Sicherheits-Integritätslevel einer Sicherheitsfunktion in Bezug zur

• mittleren Wahrscheinlichkeit eines Ausfalls bei Anforderung der Sicherheitsfunktion (low demand mode, siehe IEC/EN 61508-1, Tabelle 2);
• mittlere Häufigkeit eines gefahrbringenden Ausfalls der Sicherheitsfunktion pro Stunde (high demand oder continuous mode, siehe IEC/EN 61508-1, Tabelle 3).

Betriebsart mit niedriger Anforderungsrate (low demand mode)
Die Sicherheitsfunktion wird nur auf Anforderung ausgeführt, um die EUC in einen festgelegten sicheren Zustand zu überführen. Die Häufigkeit von Anforderungen beträgt nicht mehr als einmal pro Jahr.

Betriebsart mit hoher Anforderung (high demand mode)
Die Sicherheitsfunktion wird nur auf Anforderung ausgeführt, um die EUC in einen festgelegten sicheren Zustand zu überführen. Die Häufigkeit von Anforderungen beträgt mehr als einmal pro Jahr.

Betriebsart mit kontinuierlicher Anforderung (continuous mode)
Die Sicherheitsfunktion hält die EUC in einem sicheren Zustand als Teil des normalen Betriebs.

(siehe auch IEC/EN 61508-4, Abschnitt 3.5.16)

Vereinbaren Sie ein Gespräch oder schreiben Sie uns Ihr Anliegen mittels Kontaktformular.