Funktionale Sicherheit in derFunktionale Sicherheit in derProzessindustrie
EN 61508 / EN 61511/
VL PLT2, SS 2012P f fü P l i h ikProfessur für Prozessleittechnik
Übersicht
• PLT-SchutzeinrichtungenSi h h it d EN 61508• Sicherheitsgrundnorm EN 61508
– Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme
• Safety Integrity Level (SIL)– Quantitative Betrachtung kompletter Sicherheitssysteme Quantitative Betrachtung kompletter Sicherheitssysteme
(Sensor-Steuerung-Aktor)– Berechung von Versagenswahrscheinlichkeiten für
verschiedene Beanspruchungsszenarienverschiedene Beanspruchungsszenarien
• Lebenszyklusbetrachtung– Berücksichtigung von Entwicklung & Fertigung
02.05.2012 Folie 2PLT2
EN 61508/VDE 0803 &EN 61511/VDE 0810EN 61511/VDE 0810
02.05.2012 Folie 3PLT2
Forderung: akzeptables Risiko
• Von Anlagen und Maschinen dürfen keineb d G f h hbesonderen Gefahren ausgehen
– Gefahrstoffverordnung– Betriebssicherheitverordnung– Betriebssicherheitverordnung– ...
• Betreiber und Konstrukteure müssen daherBetreiber und Konstrukteure müssen daher– Risikoanalyse durchführen– Vorhandene Gefahren durch geeignete
Maßnahmen auf akzeptables Risiko reduzieren
• Einsatz geeigneter PLT-Schutzeinrichtungen !
02.05.2012 Folie 4PLT2
Klassifizierung von PLT-Funktionen
EreignisverhinderndePLT S h t
SchadenbegrenzendePLT S h t
Andere S h t i i htPLT-Schutz-
einrichtungenPLT-Schutz-
einrichtungenSchutzeinrichtungen
EN 61511: Safety Instrumented System (SIS)
PLT-Überwachungseinrichtungen
EN 61511: Basic Process Control System (BPCS)
PLT-Betriebseinrichtungen
02.05.2012
6 5 as c ocess Co t o Syste ( CS)
Folie 5PLT2
Funktion von PLT-Schutzeinrichtungen
Kurve 1 Kurve 2 Kurve 3- eb
Prozessgrößeni
cht
best
imm
ungs
-em
äßer
Bet
rie
unzu
läss
iger
Fe
hlbe
reic
h Nicht‐PLT‐Schutzeinrichtung
spricht an
ereignisverhindernde PLT‐Schutzeinrichtung
spricht an
b ge
ssig
er
bere
ich Grenzwert
der Schutz-einrichtungB
etrie
b
zulä
Fehl
b einrichtung
h
Grenzwert der Über-ng
sgem
äßer
Gut
bere
ic
der Überwachungs-einrichtung
best
imm
un
PLT‐Überwachungs‐einrichtung spricht anPLT‐Überwachungs‐einrichtung spricht an
02.05.2012
Zeit
Folie 6PLT2
Risikominimierung nach EN61508 durch folgende Schrittefolgende Schritte
• Risikodefinition und –bewertung– Qualitiative Bewertung des Schadensfalls– Quantitative Bewertung der Schutzeinrichtung:
Versagenswahrscheinlichkeiten der Wirkkette Versagenswahrscheinlichkeiten der Wirkkette Sensor-Steuerung-Aktor über gesamte Lebensdauer
M ß h R t i ik i i i• Maßnahmen zur Restrisikominimierung• Einsatz geeigneter Gerate
d k h d f• Wiederkehrende Prüfung – Korrekte Einhaltung der Sicherheitsfunktionen
02.05.2012 Folie 7PLT2
Qualitative Bewertung des SchadensfallsRisikograph nach IEC 61508/61511Risikograph nach IEC 61508/61511
• Schadenausmaß C:– C1: leichte Verletzung einer Person; kleinere
schädliche Umwelteinflüsseschädliche Umwelteinflüsse.– C2: Schwere irreversible Verletzung einer oder
mehrerer Personen oder Tod einer Person; vorübergehende größere schädliche Umwelteinflüsse
– C3: Tod mehrerer Personen; langandauernde C3: Tod mehrerer Personen; langandauernde größere schädliche Umwelteinflüsse.
– C4: Katastrophale Auswirkungen, sehr viele Tote.
• Aufenthaltsdauer F:– F1: selten bis öfter– F2: häufig bis dauernd
• Gefahrenabwehr P:– P1: möglich unter bestimmten Bedingungen– P2: kaum möglich
h h l hk• Eintrittswahrscheinlichkeit:– W1: sehr gering– W2: gering– W3: relativ hoch (Endress & Hauser 2004)
02.05.2012 Folie 8PLT2
Safety Integrity Level
• SIL = Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktioneiner Sicherheitsfunktion
• Unterscheidung nach Anforderungsrate– Low Demand Mode: Anforderungsrate <= 1/Jahr bzw. < 2 x
F Wi d h l üfFrequenz Wiederholungsprüfung– High demand/Continous: Anforderungsrate > 1/Jahr bzw. > 2 x
Frequenz Wiederholungsprüfung
SIL Niedrige Anforderungrate:PFD
Hohe oder kontinuierliche Anforderung: PFH
4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-84 ≥ 10 bis < 10 ≥ 10 bis < 10
3 ≥ 10-4 bis < 10-3 ≥ 10-8 bis < 10-7
2 ≥ 10-3 bis < 10-2 ≥ 10-7 bis < 10-6
1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5
02.05.2012
1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5
Folie 9PLT2
Probability of Failure on Demand (PFD)
• Verfügbarkeit/Unverfügbarkeit von S h t i i htSchutzeinrichtungen
– mittlere Ausfallwahrscheinlichkeit der entworfenen Funktion bei AnforderungFunktion bei Anforderung
– average probability of failure to perform its design function on demand
• Näherungsweise für einkanalige Systeme:– PFD = du*T1/2 R t fäh li h i ht td kb F hldu Rate gefährlicher,nicht entdeckbarer FehlerT1 Prüfintervall
02.05.2012 Folie 10PLT2
Voraussetzung zur Berechung der PFD
• VoraussetzungenÜ– Regelmäßige 100% Überprüfung (Wiederholungs-
prüfung, proof test) deckt alle Fehler auf. Nach Wiederholungsprüfung gilt System als neuwertigg p g g y g
– Automatische Diagnose mindestens 10 mal häufiger als WdhPrüfung. Deckt nur einen Teil der Fehler auf (Diagnosedeckungsgrad diagnosticFehler auf (Diagnosedeckungsgrad, diagnosticcoverage, DC).
– Sobald ein Fehler entdeckt wurde, wird dieser mit fester Reparaturzeit (MTTR=const.) repariert.
– Konstante Ausfallraten – Common Cause Fehler durch -Faktor abbildbar– Common Cause Fehler durch -Faktor abbildbar
02.05.2012 Folie 11PLT2
Ausfallkategorien sicherheitstechnischer EinrichtungenEinrichtungen
• Kategorie Gefährlichkeit– Gefährliche Fehler
• Sicherheitsfkt. wird im Bedarfsfall nicht ausgeführt
– Sichere FehlerSichere Fehler• Sicherer Zustand wird eingenommen
• Kategorie Erkennbarg– Erkannte Fehler
• werden bei automatischer Diagnose erkannt
U k t F hl– Unerkannte Fehler• werden erst bei Wiederholungsprüfung aufgedeckt
02.05.2012 Folie 12PLT2
Fehlerraten
Fehlerarten SicherSafe
GefährlichDangerousSafe Dangerous
Erkanntdetected
k
SD DDUnerkanntundetected
SU DU
02.05.2012 Folie 13PLT2
Homogenes 1oo2-System
Zuverlässigkeits-blockdiagramm
Zustandsdiagrammblockdiagramm
System 1
2
System 21
0
02.05.2012 Folie 14PLT2
Herleitung PFD1oo2 nach EN 61508
1. Ermittlung mittlere Systemausfalldauer bei erkannten bzw unerkannten Fehlernerkannten bzw. unerkannten Fehlern
2. Berechnung der relativen Systemausfalldauern (Bezug auf Zeitintervall zwischen WdhPrüfungen)
3. Berechnung Wahrscheinlichkeiten für Systemausfall
4 Multiplikation der rel Ausfalldauern (2) mit WS 4. Multiplikation der rel. Ausfalldauern (2) mit WS für Systemausfälle (3)
5. Addition der Teilergebnisse für erkannten/unerkannten Fehler
6. Berücksichtigung von Fehlern mit gemeinsamer UrsacheUrsache
02.05.2012 Folie 15PLT2
Bei erkannten Fehlern (1/3)
• Schritt 1: Mittlere SAD = MTTR– Ein erkannter Fehler wird sofort repariert
• Schritt 2: Relative SAD = MTTR / T1
S h 3 S f S f ll• Schritt 3: WS für Systemausfall– Erkannter Fehler führt in einem 1oo2-System
genau dann zum Systemausfall wenn einer der genau dann zum Systemausfall, wenn einer der beiden Kanäle aufgrund erk. Fehler ausfällt und der jeweils andere nicht verfügbar ist.
112 KDDerk PFDTP
02.05.2012 Folie 16PLT2
Bei erkannten Fehlern (2/3)
• Schritt 3: WS für Systemausfall
112 KDDerk PFDTP
• Schritt 4: Anteil an der gesamten PFDMTTRPPFD
MTTRT
PPFD erkerk 1
MTTRPFDT
MTTRPFDTPFD KDDKDDerk 11
11 22
02.05.2012 Folie 17PLT2
Bei erkannten Fehlern (3/3)
• Schritt 4: Anteil an der gesamten PFD
MTTRPFDT
MTTRPFDTPFD KDDKDDerk 22 111
MTTRMTTRTPFD
T
DDDUDDDUK
2)(:6TeilEN61508,aus 1
1
1
MTTRMTTRMTTRTPFD DDDDDU
DDDUerk
DD
)(2
2
1DD
DDDDDUerk
2
)(
02.05.2012 Folie 18PLT2
Bei unerkannten Fehlern (1/4)
• Schritt 1: Mittlere SAD – kann nicht vorhergesagt werden, jedoch
Erwartungswert eines 1oo2-Systems
b i2)( TA f llE– SIS-Ausfall wird bei nächster WdhPrüfung erkannt
const.bei32)( 1 TAusfallE
und repariert mittlere SAD bei 2-kanaligem System = mittlere ausgefallene Zeit + Dauer Reparaturp
MTTRTSAD 131
02.05.2012
3Folie 19PLT2
Bei unerkannten Fehlern (2/4)
• Schritt 3: WS für Systemausfall
112 KDUunerk PFDTP
• Schritt 4: Anteil an der gesamten PFD
MTTRT1
TT
PPFD unerkunerk3
1
MTTRTPFD
T
MTTRT
PFDTPFD KDUKDUunerk 3232 1
11
1
11
02.05.2012 Folie 20PLT2
Bei unerkannten Fehlern (3/4)
• Schritt 4: Anteil an der gesamten PFD
MTTRTPFD
MTTRT
PFDTPFD KDUKDUunerk 232 11
1
11
MTTRMTTRTPFD
T
DDDU
KDUKDUunerk
)(:6TeilEN61508aus
3
1
11
11
MTTRTMTTRMTTRTPFD
MTTRMTTRPFD
DDDU
DDDDDUK
)(2
2)(:6TeilEN61508,aus
11
1
MTTRMTTRMTTRPFD DU
D
DD
D
DUDDDUunerk 32
)(2 11
02.05.2012 Folie 21PLT2
Literatur
• Normen– EN 61508
• Bücher– Pukite, J., Pukite, P. (1998) Modeling for Reliability Analysis: Markow Modeling for
Supportable Analyses of Complex Systems. IEEE Presspp y p y– Birolini, A. (2004) Zuverlässigkeit von Geräten und Systemen. Heidelberg:Springer.– Börcsök, J. (2004). Elektronische Sicherheitssysteme. Heidelberg:Hüthig.
• Fachartikel
02.05.2012 Folie 22PLT2