funktionale sicherheit – sil - auma.com · 2015.06.03 3 funktionale sicherheit auma bietet eine...

FUNKTIONALE SICHERHEIT – SILElektrische Stellantriebe für sicherheitsbezogene Systeme bis SIL 3

22

AUMA ist ein weltweit führender Hersteller von elektrischen Stellantrieben für die Automatisierung von Industrie armaturen. Stellantriebe von AUMA bewähren sich auf der ganzen Welt überall dort, wo Flüssigkeits- oder Gasströme, Pulver oder Granulate reguliert und gesteuert werden: in der Wasserver- und -entsorgung, in Kraftwerken, Rohrleitungsnetzen, Raffi nerien ebenso wie in industriellen Anlagen jeder Art.

DIE SPEZIALISTEN FÜR ELEKTRISCHE STELLANTRIEBE

Seit der Unternehmensgründung 1964 konzentrieren wir uns auf die Entwicklung, die Herstellung, den Vertrieb und den Service von elektrischen Stellantrieben. Unsere Produkte haben sich bei unseren Kunden weltweit einen Namen gemacht für Langlebigkeit, Zuverläs-sigkeit und Präzision.

Als mittelständisches Privatunternehmen hat sich AUMA zu einem erfolgreichen Global Player mit weltweit mehr als 2 400 Mitarbei-tern entwickelt. Unser weltumspannendes Vertriebs- und Service-netzwerk bietet Ihnen kompetente Ansprechpartner in über 70 Ländern.

2015

.06.

03

3

FUNKTIONALE SICHERHEIT

AUMA bietet eine breite Palette an elektrischen Stellantrieben, die für sicherheitsbezogene Systeme bis SIL 3 zugelassen sind. Unsere Produkte tragen weltweit zum sicheren Betrieb techni-scher Anlagen bei. International anerkannte Prüfi nstitute haben Sicherheitskennzahlen und SIL-Fähigkeit für unsere Produkte ermittelt.

In dieser Broschüre fi nden Sie neben detaillierten Informationen über die SIL-Fähigkeit der AUMA Produkte auch eine grundle-gende Einführung in das Thema funktionale Sicherheit und SIL.

Weitere Informationen wie Zertifi kate, Prüfberichte, Sicherheits-kennzahlen oder unsere umfangreichen Handbücher „Funktionale Sicherheit – SIL“ können Sie bei uns anfordern oder von unserer Website www.auma.com herunterladen.

INHALT

AUMA automatisiert Armaturen 3Risikoreduzierung durch Funktionale Sicherheit 4Die Normen IEC 61508 und IEC 61511 6Wie wird funktionale Sicherheit erreicht? 7Was ist eine Sicherheitsfunktion? 8Was ist ein sicherheitstechnisches System? 9Die wichtigsten Sicherheitskennzahlen 10Ermittlung der SIL-Fähigkeit 12Verbesserung der SIL-Fähigkeit 13AUMA Produkte mit SIL-Klassifi zierung 14Integrierte Steuerung AC .2 in Ausführung SIL 16Funktionen des SIL-Moduls 18Ermittlung der Sicherheitskennzahlen für AUMA Produkte 20Sicherheitskennzahlen für ausgewählte AUMA Produkte 24Weiterführende Informationen 25AUMA Produkte mit SIL-Klassifi zierung – Übersicht 26Index 27

AUMA AUTOMATISIERT ARMATUREN

4

Fragen zur Sicherheit von modernen Industrieanlagen gewin-nen immer mehr an Bedeutung, insbesondere bei Anlagen mit hohem Gefahrenpotenzial im Öl- und Gas-Bereich, in der chemischen Industrie oder in Kraftwerken.

Zur Überwachung von Prozessen, von denen eine Gefahr für Mensch und Umwelt ausgeht, werden heute zunehmend moderne Sicherheitssysteme eingesetzt, die bei einem Störfall eingreifen. Solche Systeme schalten zum Beispiel im Notfall eine Anlage ab, stoppen die Zufuhr gefährlicher Stoffe, sorgen für Kühlung oder öffnen Überdruckventile. Um die Gefahren, die von einer Anlage ausgehen, zu reduzieren, müssen diese Systeme ihre Sicherheits-funktion im Notfall zuverlässig ausführen und dürfen nicht ausfallen.

Wie aber können Anlagenbetreiber und Gerätehersteller sicherstel-len, dass die eingesetzten Systeme „sicher“ arbeiten und die nötigen Anforderungen erfüllen? Wie können Ausfallrisiken beurteilt werden?

Hier geben die Normen zur funktionalen Sicherheit IEC 61508 und IEC 61511 eine Antwort. Sie beschreiben erstmals Methoden, um die Ausfallrisiken von modernen, oft softwarege-steuerten Systemen zu beurteilen und Maßnahmen zur Risikoredu-zierung zu bestimmen.

WAS IST FUNKTIONALE SICHERHEIT?

Funktionale Sicherheit nach der IEC 61508 bezieht sich auf Systeme, die Sicherheitsfunktionen ausführen und deren Ausfall ein erhebli-ches Risiko für Mensch und Umwelt darstellt.

Um funktionale Sicherheit zu erreichen, muss eine Sicherheitsfunk-tion bei einem Störfall dafür sorgen, dass eine technische Anlage in einen sicheren Zustand geführt wird oder in einem sicheren Zustand bleibt.

Es geht also nicht um die grundsätzlichen Gefahren eines Produkts oder einer Anlage, wie zum Beispiel rotierende Teile, sondern um die Gefahren, die auf Grund eines Ausfalls einer Sicherheitsfunktion von einer Anlage ausgehen können.

Ziel der funktionalen Sicherheit ist es, die Wahrscheinlichkeit gefährlicher Ausfälle und damit auch die Risiken für Mensch und Umwelt auf ein vertretbares Maß zu reduzieren.

Insgesamt leistet die funktionale Sicherheit – gemeinsam mit weiteren Maßnahmen, wie zum Beispiel dem Brandschutz, der elektrischen Sicherheit oder dem Explosionsschutz – einen wichtigen Beitrag zur Gesamtsicherheit einer Anlage.

RISIKOREDUZIERUNG DURCH FUNKTIONALE SICHERHEIT

5

WAS IST SIL?

SIL ist ein Begriff, der mit der funktionalen Sicherheit in enger Verbindung steht. SIL steht für Sicherheits-Integritätslevel (engl. Safety Integrity Level) und ist eine Maßeinheit für die Risikoreduzie-rung bei Sicherheitsfunktionen.

Je größer die Gefahren sind, die von einem Prozess oder einer Anlage ausgehen, desto höher sind die Anforderungen an die Zuverlässigkeit der Sicherheitsfunktionen.

Die IEC 61508 defi niert vier verschiedene Sicherheitsanforderungs-stufen, SIL 1 bis SIL 4.

SIL 4 stellt dabei die höchsten Anforderungen an die Sicherheit, SIL 1 die niedrigsten. Für jeden dieser Level sind spezifi sche Ausfall-wahrscheinlichkeiten defi niert, die eine Sicherheitsfunktion nicht überschreiten darf.

Welcher SIL erforderlich ist, kann anhand einer Risikobeurteilung ermittelt werden.

WELCHE ROLLE SPIELT AUMA?

AUMA Produkte werden als Komponenten in Systemen eingesetzt, die Sicherheitsfunktionen ausführen. Daher haben wir – in Zusam-menarbeit mit unabhängigen Prüfi nstituten wie TÜV und exida – untersucht, für welchen SIL unsere Stellantriebe, Steuerungen und Getriebe geeignet sind.

Anhand der dabei ermittelten Sicherheitskennzahlen können Anlagenplaner die passenden Geräte für die jeweiligen Sicherheits-anforderungen auswählen.

6

DIE URSPRÜNGE

Es waren Industrieunfälle mit verheerenden Folgen, wie der Dioxin-Unfall von Seveso 1976 oder das Unglück im indischen Bhopal 1984, die weltweit Normungsprozesse zur Sicherheit von technischen Anlagen in Gang setzten.

So entstand zum Beispiel auf EU-Ebene zunächst die Seveso I- und später die Seveso II-Richtlinie 96/82/EG zur Beherrschung der Gefahren bei Unfällen mit gefährlichen Stoffen. Mit diesen Richtli-nien wurde der Schutz von Mensch, Umwelt und Sachwerten als oberstes Ziel festgeschrieben. Zudem wurden konkrete Vorgaben für Anlagen mit hohem Gefahrenpotenzial erlassen.

Um diese Richtlinien umzusetzen, entstanden in der Folge zunächst nationale Normen zur funktionalen Sicherheit. Seit 1998 steht mit der IEC 61508 hier erstmals eine international gültige Norm zur Verfügung. Die DIN EN 61508 ist die entsprechende seit 2002 in Deutschland geltende Norm.

IEC 61508

Die IEC 61508 ist die weltweit gültige Norm zur funktionalen Sicherheit von elektrischen, elektronischen oder programmierbar elektronischen Systemen (E/E/PES), die Sicherheitsfunktionen ausführen. Die Normanforderungen werden – wo zutreffend – auch auf andere, zum Beispiel mechanische Komponenten übertragen.

Die Norm richtet sich sowohl an Anlagenplaner und Anlagenbetrei-ber als auch an Gerätehersteller.

Sie dient als anwendungsunabhängige Basisnorm und wird ergänzt durch weitere, anwendungsspezifi sche Normen, zum Beispiel die IEC 61511 für die Prozessindustrie.

Konzept der RisikominderungZiel ist es, die Risiken von Prozessen und Anlagen durch den Einsatz von sicherheitsbezogenen Systemen zu reduzieren. Die Norm geht grundsätzlich davon aus, dass es nicht möglich ist, jegliche Risiken auszuschließen. Sie bietet jedoch Methoden zur Risikoanalyse, zur Risikominderung und zur Quantifi zierung des Restrisikos.

Anforderungen an sicherheitsbezogene SystemeDie Norm beschreibt die Anforderungen an sicherheitsbezogene Systeme bzw. an die Sicherheitsfunktionen und defi niert Sicherheits-Integritätslevel (SIL). Daraus werden entsprechende SIL-Anforderun-gen an die eingesetzten Systemkomponenten abgeleitet.

Berücksichtigung des LebenszyklusUm die Ausfallrisiken zu minimieren, wird der gesamte Sicherheitsle-benszyklus der Komponenten berücksichtigt, von der Spezifi kation über die Realisierung bis hin zur Außerbetriebsetzung.

IEC 61511

Diese Norm beinhaltet die anwendungsspezifi sche Umsetzung der IEC 61508 speziell für die Prozessindustrie. Sie defi niert die Anforde-rungen an sicherheitsbezogene Systeme, die in prozesstechnischen Anlagen zur Risikominderung eingesetzt werden.

Sie richtet sich in erster Linie an Anlagenplaner und Anlagen-betreiber.

GELTUNGSBEREICH DER NORMEN

Die Normen IEC 61508 und 61511 sind in der Europäischen Union bisher nicht verpfl ichtend, da sie nicht unter einer EU-Richtlinie harmonisiert sind. Dennoch ist ihre Einhaltung für Anlagenbetreiber und Gerätehersteller vorteilhaft:

> Bei Anlagen und Systemen, von denen Gefahren für Mensch und Umwelt ausgehen, wird die Methodik der funktionalen Sicherheit heutzutage als „Stand der Technik“ angesehen und daher gefordert.

> Die Normen können zur Erfüllung grundlegender Anforderungen aus EU-Richtlinien verwendet werden, wenn aus einer harmonisierten Europäischen Norm auf sie verwiesen wird oder wenn keine harmonisierte Norm für den Anwendungsbereich besteht.

> Die Einhaltung der Normen IEC 61508 und 61511 wird unter anderem von Behörden und Versicherungen zunehmend als Nachweis für eine Risikoanalyse mit ausreichender Reduzierung des Risikos gefordert.

> Anlagenbetreiber und Gerätehersteller haben bei Produkten mit SIL-Zulassung die Gewissheit, dass die Produkte nach internationalen Standards beurteilt wurden und den ermittelten Sicherheits-Integritätslevel erreichen.

DIE NORMEN IEC 61508 UND IEC 61511

- SIL 4

SIL 4

SIL 3

SIL 3SIL 3

SIL 3SIL 3

SIL 3

SIL 2

SIL 2

SIL 2

SIL 1

SIL 1SIL 1

SIL 1SIL 1

SIL 1

-

--

---

P2

P1

P2

P1

F2

F1

F2

F1

P2

P1

P2

P1

F2

F1

F2

F1

C4

C3

C2

C1

W3 W2 W1PFC

A

7

Um funktionale Sicherheit zu erreichen, müssen zunächst einmal die Risiken analysiert werden, die von einer Anlage oder einem Prozess ausgehen. Hier bieten die Normen IEC 61508 und 61511 eine anerkannte Methode zur Risikobeurteilung.

Durch eine differenzierte sicherheitstechnische Beurteilung werden diejenigen Prozesse identifi ziert, von denen tatsächlich eine Gefahr ausgeht. So können Maßnahmen zur Risikoreduzierung gezielt dort eingesetzt werden, wo sie wirklich nötig sind.

Welche Prozesse sind gefährlich?Zunächst wird untersucht, von welchen Prozessen einer Anlage Gefahren für Mensch und Umwelt ausgehen, wenn sie außer Kontrolle geraten.

Festlegung der SIL AnforderungenFür jeden der gefahrbringenden Prozesse wird dann untersucht, wie groß Gefahr und Schadensausmaß infolge einer Fehlfunktion sein können.

Zur Beurteilung kann ein Risikograph wie unten dargestellt zu Hilfe genommen werden. Je nach Größe der Gefahr und Eintrittswahr-scheinlichkeit wird festgelegt, ob ein Prozess durch eine Sicherheits-funktion abgesichert werden muss und welchen Sicherheits-Integri-tätslevel (SIL) diese Sicherheitsfunktion erreichen muss.

Auswahl geeigneter KomponentenEntsprechend des erforderlichen SIL werden die Komponenten zur Realisierung der Sicherheitsfunktion ausgewählt.

Um dies zu vereinfachen, lassen Gerätehersteller wie AUMA ihre Produkte auf ihre Eignung für die verschiedenen Sicherheits-Integri-tätslevel prüfen.

Überprüfung der SIL AnforderungenAnhand von Sicherheitskennzahlen der eingesetzten Geräte wird für jede Sicherheitsfunktion überprüft, ob sie den geforderten SIL erreicht. Ist dies nicht der Fall, müssen zusätzliche Maßnahmen ergriffen werden.

WIE WIRD FUNKTIONALE SICHERHEIT ERREICHT?

SICHERHEITSTECHNISCHE BEURTEILUNG

Gefahrenpotential Eintrittswahrscheinlichkeit

Risikograph für eine sicherheitstechnische Beurteilung nach IEC 61508/61511

A Ausgangspunkt für die Abschätzung der Risikominderung

C SchadensausmaßC1 Leichte Verletzung einer Person oder kleinere schädliche Umwelteinfl üsseC2 Schwere irreversible Verletzungen oder Tod einer PersonC3 Tod mehrerer PersonenC4 Tod sehr vieler Personen

F GefahrenabwendungF1 Möglich unter bestimmten BedingungenF2 Kaum möglich

P Aufenthaltsdauer einer Person im gefährdeten BereichP1 Selten bis häufi gP2 Häufi g bis dauernd

W EintrittswahrscheinlichkeitW3 Relativ HochW2 GeringW1 Sehr gering

SIL Geforderter SicherheitsintegritätslevelSIL 1 niedrigste Sicherheitsanforderungbis SIL 4 höchste Sicherheitsanforderung

8

Sicherheitsfunktionen sind Schutzmaßnahmen, die nur im Störfall aktiviert werden und dann verhindern, dass Personen, Umwelt und Sachwerte zu Schaden kommen. Funktionale Sicherheit wird erreicht, wenn Sicherheitsfunktionen in einer solchen Situation zuverlässig arbeiten.

Typische Sicherheitsfunktionen sind zum Beispiel eine automatische Notabschaltung eines Prozesses oder die Drucküberwachung und -begrenzung eines Kessels.

Im Armaturenbereich sind in erster Linie die folgenden Sicherheits-funktionen von Bedeutung:

> Sicheres ÖFFNEN/Sicheres SCHLIESSEN(engl. Emergency Shutdown, ESD)

> Sicherer Stillstand/STOPP > Sichere Endlagenrückmeldung

SICHERES ÖFFNEN AM BEISPIEL EINES ÜBERDRUCKVENTILS

Bei einem überdruckgefährdeten Kessel ist als Sicherheitsfunktion das Öffnen eines Überdruckventils vorgesehen.

Ein Sensor überprüft kontinuierlich den Druck im Kessel. Wenn der Druck im System unzulässig groß wird, geht die Sicherheits-SPS von einem Fehler im System aus und gibt dem Antrieb das Signal zu öffnen, um den Kessel sicher zu entlasten.

SICHERER STOPP AM BEISPIEL EINER SCHLEUSE

Befi ndet sich ein Schiff zwischen den geöffneten Schleusentoren, kann mit der Sicherheitsfunktion Sicherer STOPP das Schließen der Schleuse zuverlässig angehalten werden.

Die Sicherheitsfunktion Sicherer STOPP kann auch als Verriegelungs-funktion verwendet werden. In dem Fall kann die Schleuse nur geschlossen werden, wenn das Signal „Sicherer STOPP“ nicht anliegt.

WAS IST EINE SICHERHEITSFUNKTION?

1

9

Eine Sicherheitsfunktion wird durch die Komponenten eines sogenannten sicherheitstechnischen Systems (engl. Safety Instru-mented System, SIS) realisiert. Ein solches System besteht ganz allgemein aus den Bestandteilen Sensor, übergeordnete Sicherheits-Steuerung und Aktor. Im Armaturenbereich besteht der Aktor aus den Komponenten Stellantrieb und Armatur.

Bei der Beurteilung, ob eine Sicherheitsfunktion den geforderten SIL erreicht, müssen die Sicherheitskennzahlen aller Einzelkomponenten des sicherheitstechnischen Systems berücksichtigt werden (siehe auch Seite 12).

WAS IST EIN SICHERHEITSTECHNISCHES SYSTEM?

11

22

33

Komponenten eines typischen sicherheitstechnischen Systems

11

2

1

2

3

2

3

SensorSicherheits-SteuerungAktor, bestehend aus Stellantrieb und Armatur

10

Der PFDavg Wert (Average Probability of Dangerous Failure on Demand) beschreibt die mittlere Wahrscheinlichkeit, dass die Sicherheitsfunktion bei Anforderung nicht ausgeführt werden kann.

In der IEC 61508 ist für jeden der vier Sicherheits-Integritätslevel ein zulässiger Bereich für die Ausfallwahrscheinlichkeit festgelegt.

SIL 1 stellt die niedrigste Sicherheitsstufe dar, SIL 4 die höchste. Je höher die Sicherheitsstufe, desto geringer darf die Wahrscheinlich-keit sein, dass die Sicherheitsfunktion bei Anforderung ausfällt.

Nicht nur die Größe des Risikos im Störfall spielt eine Rolle für die Sicherheit eines Systems. Entscheidend ist auch die Häufi gkeit, mit der ein Störfall erwartet und somit die entsprechende Sicherheits-funktion angefordert wird.

Die IEC 61508 unterscheidet dazu die Betriebsarten Low Demand und High Demand (oder Continuous) Mode.

Low Demand Mode Betriebsart mit niedriger Anforderungshäufi gkeit, bei der die Sicherheitsfunktion nicht häufi ger als einmal pro Jahr angefordert wird. Dies trifft typischerweise auf Sicherheitsfunktionen für die Prozessindustrie zu, die Stellantriebe einsetzen.

Betrachtet wird hierbei nur die Sicherheitsfunktion. Ein Antrieb, der sowohl für eine Sicherheitsfunktion als auch zum „normalen“ Öffnen und Schließen eingesetzt wird, darf im Normalbetrieb durch-aus häufi ger eine Armatur öffnen und schließen. Ein Störfall in der Anlage, der das sichere Schließen der Armatur erfordert, darf jedoch nicht öfter als einmal pro Jahr erwartet werden.

High Demand Mode (oder Continuous Mode) Betriebsart mit hoher bzw. kontinuierlicher Anforderungsrate, bei der die Sicherheitsfunktion entweder kontinuierlich arbeitet oder häufi ger als einmal pro Jahr angefordert wird.

Bei dieser Betriebsart wird als Maß für die Sicherheit die Ausfall-wahrscheinlichkeit pro Stunde berechnet und als PFH-Wert angege-ben (Probability of Failure per Hour).

Erlaubte PFD-Werte für Low Demand Mode

Sicherheits-Integritäts-level

Erlaubter PFDavg Wert (Low Demand)

Theoretisch zulässige Ausfälle bei Anforderung der Sicherheitsfunktion

SIL 1 ≥ 10-2 bis < 10-1 Ein gefährlicher Ausfall in 10 Jahren zulässig

SIL 2 ≥ 10-3 bis < 10-2 Ein gefährlicher Ausfall in 100 Jahren zulässig

SIL 3 ≥ 10-4 bis < 10-3 Ein gefährlicher Ausfall in 1 000 Jahren zulässig

SIL 4 ≥ 10-5 bis < 10-4 Ein gefährlicher Ausfall in 10 000 Jahren zulässig

Die PFD-Werte werden zunächst für jede Komponente eines sicherheitstechnischen Systems einzeln berechnet.

Ein Sicherheits-Integritätslevel beschreibt jedoch eine Eigenschaft einer gesamten Sicherheitsfunktion und nicht die einer Einzelkom-ponente. Daher muss aus den PFD-Werten der Einzelkomponenten der Gesamt-PFD-Wert für die Sicherheitsfunktion berechnet werden.

DIE WICHTIGSTEN SICHERHEITSKENNZAHLEN

Bei der Gefahrenbeurteilung eines Prozesses wird für jede Sicherheitsfunktion bestimmt, welchen SIL sie erfüllen muss. Danach werden dann geeignete Geräte zur Realisierung der Sicherheitsfunktion ausgewählt. Um die SIL-Fähigkeit eines Gerätes ermitteln zu können, verwenden die Normen IEC 61508 und 61511 die Methoden der Wahrscheinlichkeitsrechnung.

Die wichtigsten Sicherheitskennzahlen werden im Folgenden erläutert.

MITTLERE AUSFALLWAHRSCHEINLICHKEIT (PFD-WERT)

11

AUSFALLRATEN

Für die Sicherheit eines Systems ist die Analyse möglicher Fehler-quellen von entscheidender Bedeutung.

Bei der Betrachtung der Ausfallraten wird unterschieden, welche Fehler gefährlich und welche ungefährlich sind, also keinen Einfl uss auf das korrekte Ausführen der Sicherheitsfunktion haben. Zudem wird untersucht, ob Fehler diagnostiziert werden können.

ANTEIL SICHERER FEHLER (SFF)

Der SFF-Wert (Safe Failure Fraction) beschreibt den prozentualen Anteil ungefährlicher und erkannter gefahrbringender Ausfälle an der Gesamtfehlerzahl. Fehler sind ungefährlich, wenn sie das System nicht in einen gefährlichen Zustand versetzen können.

Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit eines gefährlichen Systemausfalls. Ein Wert von beispielsweise 62 % bedeutet, dass 62 von 100 Fehlern keine Auswirkung auf die sichere Funktion des Systems haben.

HARDWAREFEHLERTOLERANZ (HFT)

Die HFT (Hardware Fault Tolerance) ist die Fähigkeit einer Funktions-einheit, eine geforderte Sicherheitsfunktion bei Bestehen von Fehlern oder Abweichungen weiter auszuführen.

Eine Hardwarefehlertoleranz von N bedeutet, dass N + 1 Fehler zu einem Ausfall der Sicherheitsfunktion führen können. Ist die Hardwarefehlertoleranz zum Beispiel Null, kann bereits ein Fehler zu einem Ausfall der Sicherheitsfunktion führen.

Die HFT lässt sich in der Regel durch einen redundanten Systemauf-bau erhöhen (siehe auch Seite 13).

GERÄTETYP

Die IEC 61508 unterscheidet zwischen einfachen und komplexen Geräten.

Einfache Geräte – Typ ATyp A Geräte sind „einfache“ Geräte, bei denen das Ausfallverhalten der Bauteile vollständig bekannt ist. Sie enthalten z.B. Relais, Widerstände und Transistoren, jedoch keine komplexen elektroni-schen Bauelemente wie z.B. Mikrocontroller.

Komplexe Geräte – Typ BTyp B Geräte sind „komplexe“ Geräte, die elektronische Bauele-mente wie Mikrocontroller, Mikroprozessoren und ASICs enthalten. Bei diesen Bauelementen und insbesondere bei softwaregesteuerten Funktionen ist es schwierig, alle Fehler vollständig zu bestimmen.

Je komplexer die Geräte desto höher die AnforderungenWie aus den folgenden beiden Tabellen ersichtlich wird, gelten für Typ B Geräte deutlich höhere Anforderungen als für Typ A Geräte.

SFF und HFT für Typ A Geräte

SFF (Anteil Sicherer Fehler)

HFT (Hardwarefehlertoleranz)

0 1 2< 60 % SIL 1 SIL 2 SIL 360 % bis < 90 % SIL 2 SIL 3 SIL 490 % bis < 99 % SIL 3 SIL 4 SIL 4≥ 99 % SIL 3 SIL 4 SIL 4

SFF und HFT für Typ B Geräte

SFF (Anteil Sicherer Fehler)

HFT (Hardwarefehlertoleranz)

0 1 2< 60 % nicht erlaubt SIL 1 SIL 2

60 % bis < 90 % SIL 1 SIL 2 SIL 390 % bis < 99 % SIL 2 SIL 3 SIL 4≥ 99 % SIL 3 SIL 4 SIL 4

MITTLERE BETRIEBSDAUER ZWISCHEN AUSFÄLLEN (MTBF)

Die mittlere Betriebsdauer zwischen Ausfällen (Mean Time Between Failures) in Jahren beschreibt die theoretische Betriebszeit zwischen zwei aufeinander folgenden Ausfällen und ist ein Maß für die Zuverlässigkeit. Sie ist nicht mit der Lebensdauer oder der Gebrauchsdauer eines Systems zu verwechseln.

+ + + =

12

Entscheidend für die Sicherheit einer Sicherheitsfunktion ist immer die SIL-Fähigkkeit des gesamten sicherheitstechnischen Systems und nicht die einer einzelnen Komponente. Deshalb reicht es nicht aus, nur die PFD-Werte für die einzelnen Komponenten zu betrachten.

SIL-FÄHIGKEIT EINER SICHERHEITSFUNKTION

Zur Ermittlung der SIL-Fähigkeit einer Sicherheitsfunktion müssen im einfachsten Fall die PFD-Werte der einzelnen Komponenten addiert werden. Der so berechnete Gesamt-PFD-Wert der Sicherheitsfunk-tion wird dann mit der erlaubten Gesamtausfallwahrscheinlichkeit für den geforderten SIL verglichen.

So zeigt die unten stehende Abbildung, dass zum Beispiel die ausschließliche Verwendung von SIL 2-fähigen Komponenten noch keine Garantie dafür ist, dass die Sicherheitsfunktion als Ganzes ebenfalls SIL 2 erfüllt. SIL 2 ist nur dann gegeben, wenn der PFD-Wert für alle Komponenten zusammen innerhalb des für SIL 2 erlaubten Bereiches liegt.

ERMITTLUNG DER SIL-FÄHIGKEIT

Berechnung des Gesamt-PFD-Wertes einer Sicherheitsfunktion

PFD-Wert Sensor

PFD = 3,63 x 10-3

SIL 2

PFD-Wert Sicherheits-SPSPFD = 1,84 x 10-3

SIL 2

PFD-Wert Antrieb

PFD = 2,28 x 10-3

SIL 2

PFD-Wert Armatur

PFD = 2,92 x 10-3

SIL 2

Gesamt-PFD-Wert Sicherheitsfunktion

PFD = 1,07 x 10-2

SIL 1

13

Zeigen die Berechnungen, dass mit den ausgewählten Hard-warekomponenten der geforderte SIL nicht erreicht wird, lässt sich die SIL-Fähigkeit durch Maßnahmen wie zusätzliche Diagnose oder Redundanz verbessern.

PARTIAL VALVE STROKE TEST (PVST)

Mit Hilfe des Partial Valve Stroke Tests wird in regelmäßigen Abständen die Funktion des Gerätes geprüft. Der Antrieb bzw. die Armatur fährt einen defi nierten Weg vor und wieder zurück. Damit wird geprüft, ob sich der Antrieb tatsächlich bewegt.

Der PVST ist eine anerkannte Methode, die Verfügbarkeit von Einzel-komponenten einer Sicherheitsfunktion zu erhöhen. Durch die vorbeugende Diagnose lassen sich einige sicherheitsrelevante Fehler ausschließen; die Ausfallwahrscheinlichkeit nimmt ab.

WIEDERHOLUNGSPRÜFUNG (PROOF TEST)

Hier handelt es sich um eine umfangreiche Systemüberprüfung. Wird das Intervall zwischen zwei Wiederholungsprüfungen von zum Beispiel zwei Jahren auf ein Jahr verkürzt, kann sich die SIL-Fähigkeit verbessern, da unerkannte Fehler schneller aufgedeckt werden können.

REDUNDANZ

Auch mit einem redundanten Systemaufbau lässt sich die Wahr-scheinlichkeit erhöhen, dass eine Sicherheitsfunktion im Notfall ausgeführt werden kann. Dabei werden zwei oder mehr Geräte eines sicherheitstechnischen Systems redundant betrieben.

Je nach Sicherheitsanforderung sind verschiedene MooN („M out of N“) Konfi gurationen sinnvoll. Bei einer 1oo2 („one out of two“) Konfi guration genügt zum Beispiel eines von zwei Geräten, um die Sicherheitsfunktion auszuführen. Bei einer 2oo3 („two out of three“) Konfi guration müssen zwei von drei Geräten korrekt arbeiten. Wie die konkrete Anordnung der Geräte aussieht, hängt auch von der geforderten Sicherheitsfunktion ab.

Ein redundanter Systemaufbau kann die Hardwarefehlertoleranz und damit auch die SIL-Fähigkeit erhöhen.

Für SIL 3 Anwendungen nach der IEC 61511 wird in der Regel ein redundanter Systemaufbau verwendet, zum Beispiel 1oo2.

VERBESSERUNG DER SIL-FÄHIGKEIT

Redundantes System für Sicheres ÖFFNEN Redundantes System für Sicheres SCHLIESSEN

AUMA PRODUKTE MIT SIL-KLASSIFIZIERUNG

14

BEURTEILTE SICHERHEITSFUNKTIONEN Für Anlagenplaner und Anlagenbetreiber ist es von zentraler Bedeutung, ausschließlich Komponenten einzusetzen, die die jeweiligen Sicherheitsanforderungen erfüllen. Um unsere Kunden bei der Auswahl zu unterstützen, hat AUMA die Sicherheitskennzahlen und die SIL-Fähigkeit der AUMA Stellantriebe, Steuerungen und Getriebe ermittelt.

Eine Übersicht über alle bewerteten AUMA Produkte fi nden Sie auf Seite 26. Detaillierte Sicherheitskennzahlen für ausgewählte Antriebe fi nden Sie auf Seite 24.

Die Sicherheitskennzahlen und damit auch die SIL-Fähigkeit sind abhängig von der Sicherheitsfunktion, die das Gerät im Notfall ausführt, um die Anlage in einen sicheren Zustand zu bringen.

Da Stellantriebe vor allem dem automatisierten Öffnen und Schlie-ßen von Armaturen dienen, bewegen sich auch die Sicherheitsfunk-tionen der AUMA Antriebe innerhalb dieses Bereichs.

STELLANTRIEBE SA UND SQ OHNE INTEGRIERTE STEUERUNG

Die Stellantriebe SA und SQ für sich genommen, ohne integrierte Steuerung, sind in den betrachteten Sicherheitsfunktio-nen SIL 2-fähig. SIL 3 lässt sich durch redundanten Systemaufbau erreichen. Dies gilt ebenso für die Versionen SAR und SQR für Regelbetrieb sowie SAEx und SQEx für explosionsgefährdete Bereiche.

Bei diesen Ausführungen müssen die steuerungstechnischen Funktionen vom Kunden zur Verfügung gestellt werden.

STELLANTRIEBE SA UND SQ MIT INTEGRIERTER STEUERUNG AC .2 IN AUSFÜHRUNG SIL

Bei den integrierten Steuerungen AC .2 und ACExC .2 in Ausführung SIL werden die Sicherheitsfunktionen über eine separate Platine ausgeführt.

Stellantriebe mit dieser Steuerung sind SIL 2-fähig. SIL 3 lässt sich durch redundan-ten Systemaufbau erreichen.

Die umfangreiche Funktionalität der AC .2 steht im Standardbetrieb weiterhin zur Verfügung.

Ausführliche Informationen zur AC .2 in Ausführung SIL fi nden Sie auf den folgen-den Seiten.

15

Sicheres ÖFFNEN/Sicheres SCHLIESSENHier fährt der Antrieb bei Anforderung der Sicherheitsfunktion in Richtung Endlage AUF oder Endlage ZU.

Diese Sicherheitsfunktionen können auch mit einem Partial Valve Stroke Test (PVST) als zusätzliche Diagnosemaßnahme kombiniert werden.

Sicherer Stillstand/Sicherer STOPPDer Motor des Antriebs wird bei Anforderung der Sicherheitsfunk-tion gestoppt. Ein unerwünschtes Anfahren des Motors wird verhindert.

Sichere EndlagenrückmeldungHier wird über die elektromechanische Steuereinheit eine sichere Meldung ausgegeben, sobald eine der Endlagen AUF oder ZU oder das Abschaltdrehmoment erreicht sind. Dies ist zwar keine Sicher-heitsfunktion im Sinne der Norm, doch hat es sich in der Praxis als bedeutsam erwiesen, auch für diese Funktion Sicherheitskennzahlen zur Verfügung zu stellen.

STELLANTRIEBE SA UND SQ MIT INTEGRIERTER STEUERUNG AC .2 IN STANDARDAUSFÜHRUNG

Die Antriebe mit integrierter Steuerung AC .2 oder ACExC .2 in Standardausführung sind in den betrachteten Ausführungen durchgängig SIL 1-fähig.

Bei der AC .2 können die Sicherheitsfunktio-nen Sicheres ÖFFNEN/Sicheres SCHLIESSEN (ESD) oder Sicherer STOPP konfi guriert werden.

STELLANTRIEBE SA UND SQ MIT INTEGRIERTER STEUERUNG AM

Die Stellantriebe mit integrierter Steuerung AM oder AMEx sind in den betrachteten Ausführungen durchgängig SIL 2-fähig. SIL 3 lässt sich durch redundanten Systemaufbau erreichen.

Die Sicherheitsfunktionen Sicheres ÖFFNEN/Sicheres SCHLIESSEN können wahlweise über die Standard-Eingänge für Öffnen und Schließen realisiert werden oder über einen separaten NOT-Eingang.

GETRIEBE GK, GST, GS UND GF

Für die AUMA Getriebe GK, GST, GS und GF wurden ebenfalls die Sicherheitskennzahlen bestimmt. Die betrachteten Getriebe sind durchgängig SIL 2-fähig.

16

Mit der integrierten Steuerung AC .2 in Ausführung SIL bietet AUMA eine moderne Steuerung für sicherheitsbezo-gene Systeme bis SIL 3. Sicherheitsfunktionen werden ausschließlich über das sichere SIL-Modul ausgeführt. Im Normalbetrieb steht der volle Funktionsumfang der AC .2 zur Verfügung.

TÜV-ZULASSUNG FÜR SIL2/SIL3 ANWENDUNGEN

Wer die integrierte Steuerung AC .2 kennt, schätzt ihre Vielfalt an Funktionen und Einstellmöglichkeiten. Mit ihren frei konfi gurierba-ren parallelen und Feldbusschnittstellen lässt sie sich problemlos in moderne Leitsysteme einbinden. Die AC .2 ist die ideale Steuerung für komplexe Steuer- und Regelfunktionen. Zusätzliche Diagnose-funktionen wie Betriebsdatenerfassung und Überwachung von Lebensdauerfaktoren erhöhen zudem Sicherheit und Verfügbarkeit des Antriebs.

Dank des von AUMA entwickelten SIL-Moduls sind diese Funktionen auch für SIL 2- und SIL 3-Anwendungen nutzbar. Stellantriebe SA und SQ mit AC .2 in Ausführung SIL sind durch den TÜV Nord zertifi ziert und für sicherheitsbezogene Systeme bis SIL 3 zugelassen.

INTEGRIERTE STEUERUNG AC .2 IN AUSFÜHRUNG SIL

Steuerung AC .2 in Ausführung SIL mit SIL-Modul

17

DAS SIL-MODUL

Beim SIL-Modul handelt es sich um eine zusätzliche Platine, die für die Ausführung von Sicherheitsfunktionen zuständig ist. Diese Platine wird in den integrierten Steuerungen AC .2 und ACEx .2 eingesetzt.

Kommt es zu einem Notfall und wird eine Sicherheitsfunktion angefordert, so wird die Standardlogik der AC .2 überbrückt und die Sicherheitsfunktion über das SIL-Modul ausgeführt.

Auf dem SIL-Modul werden nur vergleichsweise einfache Bauele-mente wie Transistoren, Widerstände und Kondensatoren einge-setzt, deren Ausfallarten vollständig bekannt sind. Deshalb gilt die AC .2 in Ausführung SIL als einfaches Typ A Gerät. Die ermittelten Sicherheitskennzahlen erlauben den Einsatz in SIL 2- und, in redundanter Ausführung (1oo2), in SIL 3-Anwendungen.

VORRANG FÜR DIE SICHERHEITSFUNKTION

Ein Stellantrieb mit AC .2 in Ausführung SIL vereint zwei Funktionen in einem System. Zum einen können die Standardfunktionen der AC .2 für den „Normalbetrieb“ verwendet werden. Zum anderen werden über das integrierte SIL-Modul die Sicherheitsfunktionen ausgeführt.

Die Sicherheitsfunktionen haben dabei immer Vorrang vor dem Normalbetrieb. Dies wird dadurch gewährleistet, dass bei Anforde-rung einer Sicherheitsfunktion die Standardlogik der Steuerung durch eine Bypass-Schaltung umgangen wird.

Wird ein Antrieb mit AC .2 in Ausführung SIL als reines Sicherheits-system genutzt, kann die Ansteuerung über die Standard-SPS entfallen.

Signale einer Standard-SPS/ Signale der Ortssteuerstelle

Normalbetrieb:Fahre AUF, Fahre ZU, HALT

Standardlogik AC .2

Leistungsteil für Motorsteuersignal(Schütz oder Thyristor)

Antrieb

Signale einer Sicherheits-SPS

Sicherheitsfunktionen: Sicheres ÖFFNEN, Sicheres SCHLIESSEN, Sicherer STOPP

SIL-Modul

Signalverarbeitung bei einem typischen System mit AC .2 in Ausführung SIL

Die AC .2 wird über zwei übergeordnete Steuerungen (SPS) angesteuert, eine Standard-SPS und eine Sicherheits-SPS, also eine SIL-zugelassene SPS. Der Normalbetrieb wird über die Befehle der Standard-SPS gesteuert und durch die Standardlogik der AC .2 verarbeitet.

Bei einem Notfall wird der Normalbetrieb unterbrochen, und die Signale der Sicher-heits-SPS steuern den Antrieb über das integrierte SIL-Modul.

18

FUNKTIONEN DES SIL-MODULS

Die AC .2 in Ausführung SIL zeichnet sich durch eine Vielfalt an Konfi gurationsmöglichkeiten aus. Im Werk wird bereits entspre-chend der Kundenwünsche voreingestellt, welche Sicherheitsfunk-tion ausgeführt und wann eine Abschaltung der Fahrt erfolgen soll. Diese Einstellung erfolgt über DIP-Schalter auf dem SIL-Modul.

Sicherheitsfunktionen Die folgenden Sicherheitsfunktionen können mit Hilfe der AC .2 in Ausführung SIL realisiert werden:

> Sicheres ÖFFNEN/SCHLIESSEN (Safe ESD, Emergency Shut Down)Der Stellantrieb fährt in die konfi gurierte Richtung AUF bzw. ZU. Für zusätzliche Sicherheit ist der Signaleingang redundant ausgeführt.

> Sicherer STOPP (Safe STOP)Bei dieser Sicherheitsfunktion wird ein Fahrbefehl der Standard-SPS in Richtung AUF oder ZU nur dann ausgeführt, wenn ein zusätzliches Freigabesignal des SIL-Moduls anliegt.Falls das Freigabesignal fehlt, wird eine Fahrt in Richtung AUF bzw. ZU gestoppt oder erst gar nicht gestartet.

> Sicheres ÖFFNEN/SCHLIESSEN kombiniert mit Sicherem STOPPIn diesem Fall besitzt die Funktion Sicheres ÖFFNEN/Sicheres SCHLIESSEN die höhere Priorität.

Zusätzlich ist über den Stellantrieb die sichere Endlagenrückmel-dung möglich.

AbschaltkriterienWie für den Normalbetrieb kann auch für die Sicherheitsfunktionen festgelegt werden, in welchen Fällen der Antrieb abschaltet. Während im Normalbetrieb die Abschaltkriterien den Schutz von Armatur und Antrieb gewährleisten, kann es im Anforderungsfall einer Sicherheitsfunktion jedoch vorrangig sein, die Armatur unbedingt zu öffnen bzw. zu schließen. Ein Schaden am Antrieb oder an der Armatur wird dann gegebenenfalls in Kauf genommen.

Insgesamt stehen für Sicherheitsfunktionen die folgenden Abschalt-kriterien zur Verfügung:

> Wegabhängige Abschaltung mit ÜberlastschutzSobald der eingestellte Schaltpunkt in der Endlage AUF oder ZU erreicht wird, schaltet die Steuerung den Antrieb ab. Tritt während der Fahrt ein überhöhtes Drehmoment auf, zum Beispiel durch einen in der Armatur eingeklemmten Gegenstand, wird der Antrieb zum Schutz der Armatur abgeschaltet, bevor die Endlage erreicht wird.

> Abschaltung in der Weg-EndlageDer Stellantrieb stoppt erst, wenn die Endlage AUF oder ZU erreicht ist, unabhängig vom ausgeübten Drehmoment.

> Abschaltung in der Drehmoment-EndlageDer Stellantrieb stoppt erst bei Erreichen der Weg-Endlage und des eingestellten Endlagendrehmoments.

> Keine AbschaltungHier werden Drehmoment- und Wegschalter überbrückt, um die Armatur unbedingt zu öffnen bzw. zu schließen. Um ein Verbrennen des Motors zu verhindern, empfehlen wir in diesem Fall, die AC .2 in Ausführung SIL mit Thermoschutzfunktion zu verwenden.

KONFIGURATIONSMÖGLICHKEITEN

19

LAUFÜBERWACHUNG DES ANTRIEBS

Über eine elektromechanische Laufüberwachung des Antriebs kann mit Hilfe des SIL-Moduls die Zuverlässigkeit des Systems überprüft werden. Wird ein Fahrbefehl ausgegeben und der Antrieb fährt nach einer vordefi nierten Zeit nicht an, dann aktiviert das SIL-Modul die SIL-Sammelfehlermeldung.

Diese Laufüberwachung ist auch im Normalbetrieb aktiv.

SICHERE EIN- UND AUSGÄNGE

Das SIL-Modul stellt drei sichere Eingänge und zwei sichere Aus-gänge zur Verfügung:

> 1 redundant ausgeführter Eingang für Sicheres ÖFFNEN/Sicheres SCHLIESSEN (es kann entweder Öffnen oder Schließen konfi guriert werden)

> 1 Eingang für Sicheren STOPP bzw. Freigabe in Richtung AUF > 1 Eingang für Sicheren STOPP bzw. Freigabe in Richtung ZU > 1 Ausgang zur Meldung eines SIL-Sammelfehlers > 1 Ausgang zur Meldung „System bereit“

UNTERSTÜTZENDES DISPLAY

Informationen über den Status des SIL-Moduls, wie zum Beispiel das Ausführen einer Sicherheitsfunktion oder das Anstehen der SIL-Sammelfehlermeldung, werden mit entsprechenden Symbolen und Texten auf dem Display der AC .2 angezeigt.

20

ERMITTLUNG DER SICHERHEITSKENNZAHLEN FÜR AUMA PRODUKTE

Um eine fundierte und nachvollziehbare Aussage über die SIL-Fähigkeit der AUMA Geräte machen zu können, wurden Sicherheitskennzahlen ermittelt. Die Normen IEC 61508 und 61511 sehen dazu zwei verschiedene Verfahren vor: die Hardwarebeurteilung und die vollständige Bewertung.

HardwarebeurteilungBereits bestehende Produkte hat AUMA anhand einer Hard-warebeurteilung bewerten lassen. Dazu zählen die Stellantriebe SA und SQ, die integrierten Steuerungen AM und AC .2 in Standardausführung sowie die Getriebe GS und GF.

Vollständige BewertungDie Entwicklung der integrierten Steuerung AC .2 in Ausführung SIL dagegen ist durch den TÜV Nord vollständig bewertet worden. Dabei wurden nicht nur zufällige sondern auch systema-tische Fehler in allen relevanten Phasen des Produktlebenszyklus betrachtet, von der Spezifi kation bis hin zur Außerbetriebsetzung des Produkts.

Zur Bewertung bereits bestehender Komponenten sehen die Normen IEC 61508 und 61511 eine Eignungsaussage auf der Basis einer Hardwarebeurteilung eines Gerätes vor.

Für die einzelnen Komponenten werden Sicherheitskennzahlen ermittelt, anhand derer die SIL-Einstufung vorgenommen werden kann.

Als Grundlage für die Hardwarebeurteilung wurden für AUMA Steuerungen generische Daten und für AUMA Antriebe Feldrück-laufdaten verwendet.

HARDWAREBEURTEILUNG FÜR BESTEHENDE PRODUKTE

21

Generische Daten Generische Daten sind statistisch ermittelte Ausfallraten für einzelne Bauelemente, die in speziellen Datenbanken, sogenannten „Reliabi-lity data books“, gelistet sind. Beispiele sind die Siemens Norm SN 29500 oder das exida Handbuch.

Für die elektronischen Bauelemente, die in AUMA Produkten, insbesondere den AUMA Steuerungen, verwendet werden, wurden die Sicherheitskennzahlen auf Grundlage des exida Handbuchs ermittelt.

Feldrücklaufdaten Für mechanische Komponenten sind nur wenige generische Daten verfügbar. Hier werden über Feldrücklaufdaten, zum Beispiel Fehlerrückmeldungen während der Garantiezeit, und über Versuchs-ergebnisse Rückschlüsse auf die Zuverlässigkeit der entsprechenden Bauteile gezogen.

Bei der Ermittlung der Sicherheitskennzahlen der AUMA Antriebe wurden Daten aus den letzten zehn Jahren ausgewertet.

FMEDA Die FMEDA (Failure Mode Effects and Diagnostic Analysis, Ausfallar-ten-, Auswirkungs- und Diagnoseabdeckungsanalyse) ist eine nach der IEC 61508 anerkannte Methode, um Sicherheitskennzahlen zu berechnen.

Diese Analyse erfolgt in defi nierten Schritten, die dokumentiert und jederzeit nachvollziehbar sind.

Mit Hilfe der FMEDA werden mögliche Fehlerszenarien und die jeweiligen Eintrittswahrscheinlichkeiten untersucht. Zudem wird analysiert, ob die möglichen Fehler für die Sicherheitsfunktion gefährlich sind oder nicht und ob sie diagnostiziert und damit erkannt werden können.

Aus den so ermittelten Ausfallraten werden Ausfallwahrscheinlich-keiten (PFDavg-Werte) und weitere Sicherheitskennzahlen wie Safe Failure Fraction (SFF) und Diagnosedeckungsgrad (DCD) berechnet.

Feldrücklaufdaten (AUMA Stellantriebe)

FMEDA

Generische Daten (AUMA Steuerungen)

Ausfallraten λ der Systemkomponenten

Kategorisierte Ausfallraten des Systems

λsafe λdangerous detected λdangerous undetected

Berechnung der SicherheitskennzahlenPFDavg SFF HFT DCD

Ermittlung der Sicherheitskennzahlen

22

Bei der integrierten Steuerung AC .2 in Ausführung SIL handelt es sich um eine Entwicklung, für die eine vollständige Bewertung nach IEC 61508 durchgeführt wurde. Bewertet wurde dabei das Gesamt-system bestehend aus einem Stellantrieb SA .2 und einer Steuerung AC .2 in Ausführung SIL. Die Zertifi zierung wurde durch den TÜV Nord durchgeführt.

Was wurde geprüft?Gegenüber der reinen Hardwarebeurteilung bereits bestehender Produkte werden bei der vollständigen Bewertung zusätzlich zum Beispiel die Entwicklungs- und Produktionsabläufe geprüft und zertifi ziert, um systematische Fehler möglichst zu vermeiden.

Die unten gezeigte Abbildung verdeutlicht den Grundgedanken einer vollständigen Bewertung nach IEC 61508. Betrachtet werden dabei sowohl die systematischen Fehler eines Produkts als auch die zufälligen Fehler.

Systematische Fehler Systematische Fehler sind in der Regel Entwicklungs- oder Ferti-gungsfehler und sind prinzipiell vermeidbar. Mit Hilfe eines Functio-nal Safety Management Systems werden mögliche Fehlerquellen gesucht und Maßnahmen ergriffen, um die systematischen Fehler zu vermeiden.

Functional Safety Management SystemEin Functional Safety Management (FSM) System kann als Erweite-rung eines Qualitätsmanagementsystems betrachtet werden. Durch die darin beschriebenen Regelungen und Defi nitionen kann ein Großteil der systematischen Fehlerquellen ausgeräumt werden.

Grundprinzip einer vollständigen Bewertung

Fehler nicht vermieden

Prinzipiell nicht vermeidbarZiel: Fehlerbeherrschung

Prinzipiell vermeidbarZiel: Fehlervermeidung

Zufällige Fehler

Functional Safety Management (FSM) System

MaßnahmenDiagnose, Redundanz

Ermittlung der Sicherheitskennzahlen

Systematische Fehler

VOLLSTÄNDIGE BEWERTUNG FÜR NEUENTWICKLUNGEN

Fehler vermieden

ERMITTLUNG DER SICHERHEITSKENNZAHLEN FÜR AUMA PRODUKTE

23

Zufällige Fehler Zufällige Fehler sind zum Beispiel bedingt durch äußere Störungen und werden als prinzipiell nicht vermeidbar betrachtet. Daher müssen Möglichkeiten geschaffen werden, um diese Fehler so weit wie möglich zu beherrschen.

Geeignete Maßnahmen sind zum Beispiel zusätzliche Systemüber-wachung und Systemdiagnose sowie redundanter Aufbau.

Ermittlung der SicherheitskennzahlenDie trotz aller Maßnahmen verbleibenden Fehler müssen quantitativ erfasst werden, um das verbleibende Restrisiko beurteilen zu können. Dazu werden die Sicherheitskennzahlen wie die Ausfall-wahrscheinlichkeit der Produkte ermittelt und dem Endanwender zur Verfügung gestellt.

Dieser Vorgang läuft bei AUMA nach der gleichen Vorgehensweise ab wie bei der reinen Hardwarebeurteilung (siehe Seite 21).

ZERTIFIKATE UND BERICHTE

Die Zertifi kate, Prüfberichte und Sicherheitskennzahlen für die AUMA Produkte wurden in Zusammenarbeit mit dem TÜV Nord sowie mit exida ermittelt. Beide Organisationen sind führende internationale Zertifi zierungsagenturen im Bereich der funktionalen Sicherheit.

In der Tabelle auf Seite 26 werden alle zertifzierten und sicherheitstechnisch bewerteten AUMA Produkte aufgeführt.

24

SICHERHEITSKENNZAHLEN FÜR AUSGEWÄHLTE AUMA PRODUKTE

exida Bericht AUMA 10/03-053 R006 [F1] AUMA 10/03-053 R006 [F2]

SicherheitsfunktionSicheres ÖFFNEN/Sicheres SCHLIESSEN

Sicheres ÖFFNEN/Sicheres SCHLIESSEN mit PVST1)

safe367 FIT 367 FIT

DD0 FIT 162 FIT

DU203 FIT 41 FIT

DCD 0 % 80 %

MTBF 200 Jahre 200 Jahre

SFF 64 % 92 %

T[proof] = 1 Jahr PFDavg = 1,05 x 10-3 PFDavg = 4,96 x 10-4

T[proof] = 2 Jahre PFDavg = 1,92 x 10-3 PFDavg = 6,55 x 10-4

T[proof] = 5 Jahre PFDavg = 4,53 x 10-3 PFDavg = 1,13 x 10-3

SIL-Fähigkeit2) SIL 2 (1oo1)/SIL 3 (1oo2) 3) SIL 2 (1oo1)/SIL 3 (1oo2) 3)

Nachfolgend sind beispielhaft die Sicherheitskennzahlen für ausgewählte Antriebe und Steuerungen aufgeführt.

Die Sicherheitskennzahlen sind abhängig von der Sicherheitsfunktion, da die Defi nition des sicheren Zustands unterschiedlich sein kann und somit eine unterschiedliche Betrachtungsweise notwendig ist. Bei Antrieben mit integrierter Steuerung sind die Sicherheitskennzahlen zudem abhängig von der Ausführung des Schaltplans, da unterschiedliche Bauelemente mit entsprechend unterschiedlichen Ausfallraten eingesetzt werden. Insgesamt wurden Sicherheitskennzahlen für ca. 150 verschiedene Versionen ermittelt.

Weitere Daten erhalten Sie gern auf Anfrage.

DREHANTRIEBE SA/SAR 07.2 – SA/SAR 16.2 UND SAEX/SAREX 07.2 – SAEX/SAREX 16.2 OHNE INTEGRIERTE STEUERUNG

DREHANTRIEBE SA/SAR 07.2 – SA/SAR 16.2 MIT STEUERUNG AC 01.2 IN AUSFÜHRUNG SIL

TÜV Zertifi kat SEBS-A. 120728/13 V1.0 SEBS-A. 120728/13 V1.0

SicherheitsfunktionSafe ESD (Sicheres ÖFFNEN/Sicheres SCHLIESSEN)

Safe STOP (Sicherer STOPP)

safe185 FIT 591 FIT

DD766 FIT 89 FIT

DU167 FIT 200 FIT

DCD 82 % 30 %

MTBF 46 Jahre 48 Jahre

SFF 85 % 77 %

T[proof] = 1 Jahr PFDavg = 2,01 x 10-3 PFDavg = 1,69 x 10-3

SIL-Fähigkeit2) SIL 2 (1oo1)/SIL 3 (1oo2) 3) SIL 2 (1oo1)/SIL 3 (1oo2) 3)

Als Beispiel werden die Daten für einen Drehantrieb mit Schützen als Leistungsteil dargestellt.

1 Der Partial Valve Stroke Test muss mindestens 1 Mal pro Monat durchgeführt werden.2 SIL Fähigkeit bedeutet, dass die errechneten Daten innerhalb des Bereichs für den entsprechenden SIL liegen, aber bedeutet nicht, dass alle IEC 61508

relevanten Bedingungen erfüllt werden.3 SIL 3 kann bei redundantem Systemaufbau erreicht werden (1oo2, „one out of two“).

25

Kennzahl ErklärungSFF SFF Safe Failure Fraction – Anteil ungefährlicher Ausfälle

Beschreibt den prozentualen Anteil ungefährlicher Fehler., d.h., der Fehler, die entweder nicht zu einem gefährlichen Ausfall des Systems führen können oder die durch Diagnosetests erkannt werden. Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit eines gefährlichen Systemausfalls. Ein Wert von 62 % bedeutet, dass 62 von 100 Fehlern am System im Hinblick auf seine sichere Funktion unbedenklich sind.

Tproof Intervall für WiederholungsprüfungenDie Sicherheitskennzahlen gelten für eine festgelegte Betriebsdauer. Danach ist eine Wiederholungsprüfung (Proof Test) unbedingt erforderlich, um die Zuverlässigkeit der Geräte weiterhin sicherzustellen. Der PFD-Wert lässt sich verbessern, indem die Zeit zwischen zwei Wiederholungsprüfungen verkürzt wird. Werte unterhalb von einem Jahr sind jedoch nicht sinnvoll.

PFDavg Probability of Failure on DemandMittlere Wahrscheinlichkeit, dass eine Sicherheitsfunktion im Anforde-rungsfall nicht ausgeführt werden kann.

SIL-Fähigkeit Zuordnung zu dem entsprechenden Sicherheits-Integritätslevel anhand des PFDavg Wertes einer Komponente sowie ggf. anhand von Einschrän-kungen beim Systemaufbau. Grundlage ist hier das Tproof Intervall von einem Jahr.Dabei ist zu beachten, dass für den SIL eines gesamten sicherheitstechni-schen Systems die PFD-Werte aller Komponenten addiert werden müssen (siehe auch Seite 12).

Kennzahl Erklärung

safe Lambda Safe – Anzahl der sicheren Ausfälle pro ZeiteinheitEin Wert gibt eine Ausfallrate an, d.h. die Anzahl der Ausfälle einer Komponente pro Zeiteinheit. Die Ausfallraten werden benötigt, um Ausfallwahrscheinlichkeiten zu berechnen.Die Einheit Failure in Time (FIT) gibt dabei die Anzahl der Ausfälle an, die in 109 Stunden auftreten: 1 FIT heißt ein Ausfall pro 109 Stunden beziehungsweise ein Ausfall pro 114.000 Jahre. Ein Ausfall gilt als sicher oder nicht gefahrbringend, wenn das System durch ihn nicht in einen gefährlichen Zustand versetzt wird.

DDLambda Dangerous Detected – Anzahl der entdeckten gefährlichen Ausfälle pro ZeiteinheitAngeben wird die Anzahl der durch Diagnosetests erkannten gefährlichen Ausfälle pro 109 Stunden.Ein Ausfall einer Komponente wird als gefährlich eingestuft, wenn dadurch eine Sicherheitsfunktion nicht ausgeführt werden kann.

DULambda Dangerous Undetected – Anzahl der unentdeckten gefährlichen Ausfälle pro ZeiteinheitAngegeben wird die Anzahl der nicht erkannten gefährlichen Ausfälle pro 109 Stunden.

DCD Diagnostic Coverage of Dangerous Failures – Diagnosedeckungsgrad gefährlicher FehlerAnteil der durch Maßnahmen zur Fehlerdiagnose erkannten Rate gefahrbringender Ausfälle DD an der Gesamtrate der gefahrbringenden Ausfälle in Prozent.

MTBF Mean Time Between Failure – Mittlere Betriebsdauer zwischen AusfällenBeschreibt die Betriebsdauer zwischen zwei aufeinander folgenden Ausfällen einer Komponente. Die reine MTBF Angabe bezieht sich auf die Verfügbarkeit (Reliability) eines Gerätes.

LEGENDE

Diese Broschüre kann nur eine Einführung in das Thema funktionale Sicherheit bieten. Wer sich eingehender mit dem Thema beschäfti-gen möchte, fi ndet unter anderem an folgenden Stellen weiterfüh-rende Informationen:

> Norm IEC 61508 Teil 1 – 7 > Norm IEC 61511 Teil 1 – 3 > Fachbuch „Funktionale Sicherheit“ von Josef Börcsök > atp edition Ausgabe 1-2/2011

WEITERFÜHRENDE INFORMATIONEN

26

AUMA PRODUKTE MIT SIL-KLASSIFIZIERUNG – ÜBERSICHT

Für alle SIL-klassifi zierten AUMA Produkte können Sie die Herstellererklärungen bzw. Prüfberichte direkt bei AUMA anfordern. Beispieldaten finden Sie auf Seite 24.

Antrieb / Getriebe Steuerung SIL-Fähigkeit SicherheitsfunktionSA/SAR 07.2 – 16.2SAEx/SAREx 07.2 – 16.2

ohne Steuerung SIL 21)

SIL 32)Sicheres ÖFFNEN/SCHLIESSEN (ESD)Sicherer Stillstand/STOPPSichere Endlagenrückmeldung

AM 01.1/02.1AMExC 01.1AMExB 01.1

SIL 21) 3)

SIL 32) 3)Sicheres ÖFFNEN/SCHLIESSEN (ESD)Sicherer Stillstand/STOPPSichere Endlagenrückmeldung

AC 01.2 Ausführung SILACExC 01.2 Ausführung SIL

SIL 21)

SIL 32)Sicheres ÖFFNEN/SCHLIESSEN (ESD)Sicherer STOPPSichere Endlagenrückmeldung

AC 01.2 (Standard)ACExC 01.2 (Standard)

SIL 11) 3)


SA/SAR 07.1 – 16.1SAExC/SARExC 07.1 – 16.1



AM 01.1/02.1AMExC 01.1AMExB 01.1

SIL 21) 3)


AC 01.1ACExC 01.1

SIL 11) 3)


SQ/SQR 05.2 – 14.2SQEx/SQREx 05.2 – 14.2


SIL 32)Sicheres ÖFFNEN/SCHLIESSEN (ESD)

AM 01.1/02.1AMExC 01.1

SIL 11) 3)

SIL 22) 3)Sicheres ÖFFNEN/SCHLIESSEN (ESD)Sicherer Stillstand/STOPP

AC 01.2 Ausführung SILACExC 01.2 Ausführung SIL

SIL 21)

SIL 32)Sicheres ÖFFNEN/SCHLIESSEN (ESD)Sicherer STOPP

AC 01.2 (Standard)ACExC 01.2 (Standard)

SIL 11) 3)

SIL 22) 3)Sicheres ÖFFNEN/SCHLIESSEN (ESD)Sicherer Stillstand/STOPP

SG/SGR 05.1 – 12.1SGExC 05.1 – 12.1



AM 01.1/02.1AMExC 01.1AMExB 01.1

SIL 11) 3)


AC 01.1ACExC 01.1

SIL 11) 3)


GK 10.2 – 25.2 nicht relevant SIL 21) nicht relevantGST 10.1 – 40.1 nicht relevant SIL 21) nicht relevantGS 50.3 – 250.3, GS 315 – 500 nicht relevant SIL 21) nicht relevantGF 50.3 – 250.3 nicht relevant SIL 21) nicht relevant

1 Einkanaliges System, „1oo1“ („one out of one“)2 Redundantes System, „1oo2“ („one out of two“)3 Abhängig von Schaltplan und Sicherheitsfunktion

27

INDEX

AAnteil Sicherer Fehler 11

Anteil ungefährlicher Ausfälle 25

Ausfallraten 11, 25

Ausfallwahrscheinlichkeit 10, 25

Average Probability of Dangerous Failure on

Demand 10, 25

BBetriebsarten 10

CContinuous Mode 10

DDiagnosedeckungsgrad 25

Diagnostic Coverage 25

DIN EN 61508 4, 6

DIN EN 61511 4, 6

Drehantriebe 15, 26

Eexida 21, 23

FFehler

systematische 22

zufällige 23

Feldrücklaufdaten 21

FMEDA 21

Funktionale Sicherheit

Defi nition 4

Normen 6

GGenerische Daten 21

Gerätetyp 11

Gesamt-PFD-Wert 12

Getriebe 15, 26

HHardware Failure Tolerance 11

Hardwarefehlertoleranz 11

HFT 11

High Demand Mode 10

IIEC 61508 4, 6

IEC 61511 4

Integrierte Steuerung 15, 26

Intervall für Wiederholungsprüfung 25

LLambda-Werte 25

Low Demand Mode 10

MMean Time Between Failures 11, 25

Mittlere Ausfallwahrscheinlichkeit 10, 25

Mittlere Betriebsdauer zwischen Ausfällen 11, 25

MTBF 11, 25

PPartial Valve Stroke Test 13

PFD-Wert 10, 25

PFH-Wert 10

Probability of Failure on Demand 10, 25

Probability of Failure per Hour 10

Proof Test 13, 25

PVST 13

RRedundanz 13

Risikoanalyse 7

Risikograph 7

SSafe Failure Fraction 11, 25

Safety Integrity Level 5

Schwenkantriebe 15, 26

SFF 11, 25

Sicherheitsbezogenes System 6

Sicherheitsfunktion 4, 8, 18

Sicherheits-Integritätslevel 5

Sicherheitskennzahlen

AUMA Produkte 24, 26

Defi nitionen 10

Ermittlung 21, 22, 23

Sicherheitstechnische Beurteilung 7

SIL 5, 10

SIL-Fähigkeit

AUMA Produkte 14, 15, 25, 26

Verbesserung 13

SIL-Modul 17, 18

Systematische Fehler 22

TTyp A Gerät 11

Typ B Gerät 11

WWiederholungsprüfung 13, 25

ZZufällige Fehler 23

Zertifikat-Registrier-Nr.12 100/104 4269

AUMA Riester GmbH & Co. KGAumastraße 1D-79379 MüllheimTel +49 7631-809-0Fax +49 [email protected]

AUMA Tochtergesellschaften und Vertretungen sind in über 70 Ländern fürSie da. Detaillierte Kontakt informationen fi nden Sie auf unserer Website.www.auma.com

Änderungen vorbehalten. Angegebene Produkteigenschaften stellen keine Garantieerklärung dar. Y004.602/001/de/1.15

funktionale sicherheit – sil - auma.com · 2015.06.03 3 funktionale sicherheit auma bietet eine...

Documents