Funktionale Sicherheit in derFunktionale Sicherheit in derProzessindustrie

EN 61508 / EN 61511/

VL PLT2, SS 2011P f fü P l i h ikProfessur für Prozessleittechnik

Übersicht

• PLT-SchutzeinrichtungenSi h h it d EN 61508• Sicherheitsgrundnorm EN 61508

– Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme

• Safety Integrity Level (SIL)– Quantitative Betrachtung kompletter Sicherheitssysteme Quantitative Betrachtung kompletter Sicherheitssysteme

(Sensor-Steuerung-Aktor)– Berechung von Versagenswahrscheinlichkeiten für

verschiedene Beanspruchungsszenarienverschiedene Beanspruchungsszenarien

• Lebenszyklusbetrachtung– Berücksichtigung von Entwicklung & Fertigung

4.5.2011 Folie 2PLT-2 (c) 2011, UR

EN 61508/VDE 0803 &EN 61511/VDE 0810EN 61511/VDE 0810

4.5.2011 PLT-2 (c) 2011, UR Folie 3

Forderung: akzeptables Risiko

• Von Anlagen und Maschinen dürfen keineb d G f h hbesonderen Gefahren ausgehen

– Gefahrstoffverordnung– Betriebssicherheitverordnung– Betriebssicherheitverordnung– ...

• Betreiber und Konstrukteure müssen daherBetreiber und Konstrukteure müssen daher– Risikoanalyse durchführen– Vorhandene Gefahren durch geeignete

Maßnahmen auf akzeptables Risiko reduzieren

• Einsatz geeigneter PLT-Schutzeinrichtungen !

4.5.2011 PLT-2 (c) 2011, UR Folie 4

Klassifizierung von PLT-Funktionen

EreignisverhinderndePLT S h t

SchadenbegrenzendePLT S h t

Andere S h t i i htPLT-Schutz-

einrichtungenPLT-Schutz-

einrichtungenSchutzeinrichtungen

EN 61511: Safety Instrumented System (SIS)

PLT-Überwachungseinrichtungen

61115: Basic Process Control System (BPCS)

PLT-Betriebseinrichtungen

4.5.2011 PLT-2 (c) 2011, UR Folie 5

6 5 as c ocess Co t o Syste ( CS)

Funktion von PLT-Schutzeinrichtungen

Kurve 1 Kurve 2 Kurve 3- eb

Prozessgrößeni

cht

best

imm

ungs

-em

äßer

Bet

rie

unzu

läss

iger

Fe

hlbe

reic

h Nicht‐PLT‐Schutzeinrichtung 

spricht an

ereignisverhindernde PLT‐Schutzeinrichtung 

spricht an

b ge

ssig

er

bere

ich Grenzwert

der Schutz-einrichtungB

etrie

b

zulä

Fehl

b einrichtung

h

Grenzwert der Über-ng

sgem

äßer

Gut

bere

ic

der Überwachungs-einrichtung

best

imm

un

PLT‐Überwachungs‐einrichtung spricht anPLT‐Überwachungs‐einrichtung spricht an

4.5.2011 PLT-2 (c) 2011, UR Folie 6

Zeit

Risikominimierung nach EN61508 durch folgende Schrittefolgende Schritte

• Risikodefinition und –bewertung– Qualitiative Bewertung des Schadensfalls– Quantitative Bewertung der Schutzeinrichtung:

Versagenswahrscheinlichkeiten der Wirkkette Versagenswahrscheinlichkeiten der Wirkkette Sensor-Steuerung-Aktor über gesamte Lebensdauer

M ß h R t i ik i i i• Maßnahmen zur Restrisikominimierung• Einsatz geeigneter Gerate

d k h d f• Wiederkehrende Prüfung – Korrekte Einhaltung der Sicherheitsfunktionen

4.5.2011 PLT-2 (c) 2011, UR Folie 7

Qualitative Bewertung des SchadensfallsRisikograph nach IEC 61508/61511Risikograph nach IEC 61508/61511

• Schadenausmaß C:– C1: leichte Verletzung einer Person; kleinere

schädliche Umwelteinflüsseschädliche Umwelteinflüsse.– C2: Schwere irreversible Verletzung einer oder

mehrerer Personen oder Tod einer Person; vorübergehende größere schädliche Umwelteinflüsse

– C3: Tod mehrerer Personen; langandauernde C3: Tod mehrerer Personen; langandauernde größere schädliche Umwelteinflüsse.

– C4: Katastrophale Auswirkungen, sehr viele Tote.

• Aufenthaltsdauer F:– F1: selten bis öfter– F2: häufig bis dauernd

• Gefahrenabwehr P:– P1: möglich unter bestimmten Bedingungen– P2: kaum möglich

h h l hk• Eintrittswahrscheinlichkeit:– W1: sehr gering– W2: gering– W3: relativ hoch (Endress & Hauser 2004)

4.5.2011 PLT-2 (c) 2011, UR Folie 8

Safety Integrity Level

• SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktioneiner Sicherheitsfunktion

• Unterscheidung nach Anforderungsrate– Low Demand Mode: Anforderungsrate <= 1/Jahr bzw. < 2 x

F Wi d h l üfFrequenz Wiederholungsprüfung– High demand/Continous: Anforderungsrate > 1/Jahr bzw. > 2 x

Frequenz Wiederholungsprüfung

SIL Niedrige Anforderungrate:PFD

Hohe oder kontinuierliche Anforderung: PFH

4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-84 ≥ 10 bis < 10 ≥ 10 bis < 10

3 ≥ 10-4 bis < 10-3 ≥ 10-8 bis < 10-7

2 ≥ 10-3 bis < 10-2 ≥ 10-7 bis < 10-6

1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5

4.5.2011 PLT-2 (c) 2011, UR Folie 9

1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5

Probability of Failure on Demand (PFD)

• Verfügbarkeit/Unverfügbarkeit von S h t i i htSchutzeinrichtungen

– mittlere Ausfallwahrscheinlichkeit der entworfenen Funktion bei AnforderungFunktion bei Anforderung

– average probability of failure to perform its design function on demand

• Näherungsweise für einkanalige Systeme:– PFD = du*T1/2 R t fäh li h i ht td kb F hldu Rate gefährlicher,nicht entdeckbarer FehlerT1 Prüfintervall

4.5.2011 PLT-2 (c) 2011, UR Folie 10

Voraussetzung zur Berechung der PFD

• VoraussetzungenÜ– Regelmäßige 100% Überprüfung (Wiederholungs-

prüfung, proof test) deckt alle Fehler auf. Nach Wiederholungsprüfung gilt System als neuwertigg p g g y g

– Automatische Diagnose mindestens 10 mal häufiger als WdhPrüfung. Deckt nur einen Teil der Fehler auf (Diagnosedeckungsgrad diagnosticFehler auf (Diagnosedeckungsgrad, diagnosticcoverage, DC).

– Sobald ein Fehler entdeckt wurde, wird dieser mit fester Reparaturzeit (MTTR=const.) repariert.

– Konstante Ausfallraten – Common Cause Fehler durch -Faktor abbildbar– Common Cause Fehler durch -Faktor abbildbar

4.5.2011 PLT-2 (c) 2011, UR Folie 11

Ausfallkategorien sicherheitstechnischer EinrichtungenEinrichtungen

• Kategorie Gefährlichkeit– Gefährliche Fehler

• Sicherheitsfkt. wird im Bedarfsfall nicht ausgeführt

– Sichere FehlerSichere Fehler• Sicherer Zustand wird eingenommen

• Kategorie Erkennbarg– Erkannte Fehler

• werden bei automatischer Diagnose erkannt

U k t F hl– Unerkannte Fehler• werden erst bei Wiederholungsprüfung aufgedeckt

4.5.2011 PLT-2 (c) 2011, UR Folie 12

Fehlerraten

Fehlerarten SicherSafe

GefährlichDangerousSafe Dangerous

Erkanntdetected

k

SD DDUnerkanntundetected

SU DU

4.5.2011 PLT-2 (c) 2011, UR Folie 13

Homogenes 1oo2-System

Zuverlässigkeits-blockdiagramm

Zustandsdiagrammblockdiagramm

System 1

2

System 21

0

4.5.2011 PLT-2 (c) 2011, UR Folie 14

Herleitung PFD1oo2 nach EN 61508

1. Ermittlung mittlere Systemausfalldauer bei erkannten bzw unerkannten Fehlernerkannten bzw. unerkannten Fehlern

2. Berechnung der relativen Systemausfalldauern (Bezug auf Zeitintervall zwischen WdhPrüfungen)

3. Berechnung Wahrscheinlichkeiten für Systemausfall

4 Multiplikation der rel Ausfalldauern (2) mit WS 4. Multiplikation der rel. Ausfalldauern (2) mit WS für Systemausfälle (3)

5. Addition der Teilergebnisse für erkannten/unerkannten Fehler

6. Berücksichtigung von Fehlern mit gemeinsamer UrsacheUrsache

4.5.2011 PLT-2 (c) 2011, UR Folie 15

Bei erkannten Fehlern (1/3)

• Schritt 1: Mittlere SAD = MTTR– Ein erkannter Fehler wird sofort repariert

• Schritt 2: Relative SAD = MTTR / T1

S h 3 S f S f ll• Schritt 3: WS für Systemausfall– Erkannter Fehler führt in einem 1oo2-System

genau dann zum Systemausfall wenn einer der genau dann zum Systemausfall, wenn einer der beiden Kanäle aufgrund erk. Fehler ausfällt und der jeweils andere nicht verfügbar ist.

112 KDDerk PFDTP

4.5.2011 PLT-2 (c) 2011, UR Folie 16

Bei erkannten Fehlern (2/3)

• Schritt 3: WS für Systemausfall

112 KDDerk PFDTP

• Schritt 4: Anteil an der gesamten PFDMTTRPPFD

MTTRT

PPFD erkerk 1

MTTRPFDT

MTTRPFDTPFD KDDKDDerk 11

11 22

4.5.2011 PLT-2 (c) 2011, UR Folie 17

Bei erkannten Fehlern (3/3)

• Schritt 4: Anteil an der gesamten PFD

MTTRPFDT

MTTRPFDTPFD KDDKDDerk 22 111

MTTRMTTRTPFD

T

DDDUDDDUK

2)(:6TeilEN61508,aus 1

1

1

MTTRMTTRMTTRTPFD DDDDDU

DDDUerk

DD

)(2

2

1DD

DDDDDUerk

2

)(

4.5.2011 PLT-2 (c) 2011, UR Folie 18

Bei unerkannten Fehlern (1/4)

• Schritt 1: Mittlere SAD – kann nicht vorhergesagt werden, jedoch

Erwartungswert eines 1oo2-Systems

b i2)( TA f llE– SIS-Ausfall wird bei nächster WdhPrüfung erkannt

const.bei32)( 1 TAusfallE

und repariert mittlere SAD bei 2-kanaligem System = mittlere ausgefallene Zeit + Dauer Reparaturp

MTTRTSAD 131

4.5.2011 PLT-2 (c) 2011, UR Folie 19

3

Bei unerkannten Fehlern (2/4)

• Schritt 3: WS für Systemausfall

112 KDUunerk PFDTP

• Schritt 4: Anteil an der gesamten PFD

MTTRT1

TT

PPFD unerkunerk3

1

MTTRTPFD

T

MTTRT

PFDTPFD KDUKDUunerk 3232 1

11

1

11

4.5.2011 PLT-2 (c) 2011, UR Folie 20

Bei unerkannten Fehlern (3/4)

• Schritt 4: Anteil an der gesamten PFD

MTTRPFDT

MTTRPFDTPFD KDDKDDerk 22 111

MTTRMTTRTPFD

T

DDDUDDDUK

2)(:6TeilEN61508,aus 1

1

1

MTTRMTTRMTTRTPFD DDDDDU

DDDUerk

DD

)(2

2

1DD

DDDDDUerk

2

)(

4.5.2011 PLT-2 (c) 2011, UR Folie 21

Literatur

• Normen– EN 61508

• Bücher– Pukite, J., Pukite, P. (1998) Modeling for Reliability Analysis: Markow Modeling for

Supportable Analyses of Complex Systems. IEEE Presspp y p y– Birolini, A. (2004) Zuverlässigkeit von Geräten und Systemen. Heidelberg:Springer.– Börcsök, J. (2004). Elektronische Sicherheitssysteme. Heidelberg:Hüthig.

• Fachartikel

4.5.2011 PLT-2 (c) 2011, UR Folie 22