sis normung und wirklichkeit sicherheitsnorm iec 61511 · tÜv nord systems thema: sis – normung...

TÜV NORD Systems Thema: SIS – Normung und Wirklichkeit

Verfasser: JNEU

Folie: 1

Systems

SIS – Normung und Wirklichkeit

Sicherheitsnorm IEC 61511

Josef Neumann

_______________________________

TÜV NORD Systems GmbH & Co. KG

Funktionale Sicherheit

Halderstr. 27

D-86150 Augsburg

+49.821.450954-4276

F +49.821.450954-4269

http://www.tuevnord.de

[email protected]


Verfasser: JNEU

Folie: 2

Systems

Foundation of the associations:

TÜV Nord e.V.: 1869

RWTÜV e.V.: 1872

TÜV Hannover/Sachsen-Anhalt e.V.:

1873

Foundation of TÜV NORD: 2004

Permanent staff: more than 10300

Turnover in 2012: €1,085 billion

Competence with broad expertise, impartial and

independent

International present at locations throughout the world

Your partner Comprehensive service and reliable expert

consultancy

Strategic M&A Investor partnership approach focusing on long-term

relationships

TÜV NORD Ihr Partner


Verfasser: JNEU

Folie: 3

Systems

Automotive Industry

Avionic Industry

Machinery Industry

Safety Devices

Process Industry Safety Instrumented Systems

Railway

Industry

Protection-

Communication

Systems

Medical Industry

Protection-, Communication

X-By-Wire Fly-By-Wire

TÜV NORD Ihr Partner

Systems


Verfasser: JNEU

Folie: 4

Übersicht

1. Beispiel - Überwachung Lagertemperatur Mischer

2. Risikoidentifizierung und Analyse

3. Lebenszyklusplanung nach IEC 61511

4. Zertifizierung von Schutzfunktionen


Verfasser: JNEU

Folie: 5

Systems

Temperatur- sensor PT100

Temperatur- transmitter

Verstärker, Schaltgerät Hilfsrelais

Leistungsschütz

Beispiel - Überwachung Lagertemperatur Mischer


Verfasser: JNEU

Folie: 6

Systems

53 52


Anforderung - SIL2


Verfasser: JNEU

Folie: 7

Systems

PFDavgSYS PFDavgTS

PFDavgTT

PFDavgRMA

PFDavgRelais

PFDavgSchütz

PFDavgSYS = PFDavgS + PFDavgL + PFDavgA

PFDavgSYS = PFDavgTS + PFDavgTT + PFDavg2WireRTD + PFDavgRMA + PFDavgRelais + PFDavgSchütz

SIL2: PFDavg < 1e-2



Verfasser: JNEU

Folie: 8

Systems

Notfallplan

Passive mech. Schutzmaßnamen

Aktive mech. Schutzmaßnamen

Sicherheitsbezogene elektronisches System (SIS)

Alarmeben

Steuer- und Regelungseben

Anwendungsbereich der IEC 61508/61511

Risikoidentifizierung und Analyse

Systems


Verfasser: JNEU

Folie: 9

Schutzsysteme können auf unterschiedlichen Technologien (chemische, mechanische, hydraulische, pneumatische,

elektrische, elektronische, programmierbar elektronische Einrichtungen etc.) beruhen. Um diesen Ansatz zu

erleichtern, führt diese Norm den Gebrauch bestimmter Tätigkeiten, wie z. B. Sicherheits-Management, im einzelnen

auf, die sich auf alle Methoden zur Erlangung der funktionalen Sicherheit anwenden lassen.

Sie gilt sie für einen weiten Bereich von Industrien innerhalb der Prozessindustrie einschließlich Chemieindustrie,

Raffinerien, Öl- und Gasförderung, Papierherstellung, konventionelle Stromerzeugung

Quelle: DIN EN 61511-1



Verfasser: JNEU

Folie: 10

Systems

Was ist Risiko ?

psych

olo

gis

ch

• Wahrnehmung von Gefahren

• Unterschiedlich von Person zu Person

Ingenie

urs

wis

senschaften

• Risiko ist die Kombination aus der Wahrschein-lichkeit, mit der ein Schaden auftritt, und dem Ausmaß des Schadens.

• (IEC 61508-4, 3.1.6)

Math

em

atik

• Beschreibung der Auswirkungen des Zufalls

Das Risiko ist abhängig von

•Region/Land

•Gesellschaft/Kultur •Gesetze

•Kosten



Verfasser: JNEU

Folie: 11

Systems

Gefahrenpotential

Auswirkung

Akzeptiertes

Risiko

Risiko ohne Schutzfunktion

Quelle EN 61511-3

Risiko

Reduktion



Verfasser: JNEU

Folie: 12

Systems

a - -

SIL 1 a -

SIL 2 SIL 1 a

SIL 3 SIL 2 SIL 1

SIL 4 SIL 3 SIL 2

b SIL 4 SIL 3

W3 W2 W1

CA

CB

CC

CD

FA

FB

FA

FB

FA

FB

PA

PB

PA

PB

PA

PB

PA

PB

X1

X2

X3

X4

X5

X6

Start

- = No safety requirements

a = No special safety requirements

b = A single SIF is not sufficient

SIL 1,2,3,4 = Safety integrity level

Schadenausmaß C

CA: leichte Verletzung einer Person;

kleinere schädliche Umwelteinflüsse

CB: Schwere irreversible Verletzung einer oder

mehrerer Personen oder Tod einer Person;

vorübergehende größere schädliche

Umwelteinflüsse

CC: Tod mehrerer Personen; lang

andauernde größere schädliche

Umwelteinflüsse

CD: Katastrophale Auswirkungen,

sehr viele Tote

Aufenthaltsdauer (in der Gefährdeten Zone) F

FA: selten bis öfter

FB: häufig bis dauernd

Gefahrenabwendung P

PA: möglich unter bestimmten

Bedingungen

PB: kaum möglich

Eintrittswahrscheinlichkeit W

W1: sehr gering, weniger als 0,1 D p.a.

W2: gering, zwischen 0,1 und D p.a.

W3: relativ hoch, zwischen D und 10 D p.a.

SIL 2

C = Consequence parameter

F = Exposure time parameter

P = Probability of aciuding the hazardous event

W = In the absence of the SIF under consideration



Verfasser: JNEU

Folie: 13

Systems


Eine gefährliche Situation kann durch eine

potentielle Gefahrenquelle verursacht werden

Video/Lucky2.wmv

Video/Lucky3.wmv

Systems


Verfasser: JNEU

Folie: 14

Was ist funktionale Sicherheit überhaupt?

die Verletzung oder Tod von Menschen

verhindert wird.

Wenn zufällige Fehler, systematische Fehler und Common Cause Fehler nicht zu

einer Fehlfunktion des sicherheitsrelevanten Systems führen und als Ergebnis

dadurch:

eine katastrophale Auswirkung auf die Umwelt

die Zerstörung von Produktionseinrichtungen und Produktionsgüter

Funktionale Sicherheit, (en: functional safety) [IEC 61508 Teil 4; 3.1.12]

Teil der Gesamtsicherheit, bezogen auf die EUC und das EUC-Leit- oder Steuerungssystem,

der von der korrekten Funktion des sicherheitsbezogenen E/E/PE-Systems und anderer

risikomindernder Maßnahmen abhängt.


Systems


Verfasser: JNEU

Folie: 15

1

2

3

4

5 1

Spezifikation

44,1%

Realisierung

14,1%

Installation und

Inbetriebnahme

14,1%

Betrieb und Wartung

14,7%

Modifikation und

Nachrüstung

14,1%

2

3

4

5

Quelle: Health and Safety Executive (GB): Out of Control. Why control systems go wrong and how to prevent failure. HSE Books 1995


Systems


Verfasser: JNEU

Folie: 16

Fehler in der Spezifikation

Design Fehler (z.B. falsche oder unvollständige Umsetzung der Spezifikation, Fehler in der Dimensionierung oder im Layout)

Produktionsfehler

Installationsfehler

Handhabungsfehler

Wartungsfehler

Fehler während einer Modifikation

Definition systematischen Fehler:


Systems


Verfasser: JNEU

Folie: 17

In Anbetracht der vorgenannten Definition ist eine Anlage demzufolge so sicher zu

erstellen, zu betreiben und zu überwachen, dass sie allen vorhersehbaren

Belastungen d. h. sowohl den inneren aus der Anlage herrührenden, als auch den

äußeren von der Umwelt ausgehenden Belastung sicher Stand hält und dicht bleibt.

Drei wichtige Einflussfaktoren

Beschaffen-

heit einer

Rohrleitung Betriebs-

bedingung

Umgebungs-

bedingte

Einflussfaktoren

Leitungslänge, Transportmedium, Durchsatzmenge, Druck, Temperatur

Wassereinzugsgebiet (höherer Sicherheitsbeiwert 2), Personal, Betriebsweise

Bergbau, Steilhänge mit

Rutschgefahr, Hochwasser, Beben,

Explosionsgefährdeter Bereich,

Temperatur, Auftrieb, Vandalismus

Korrosion, Ermüdung,

Betriebs- Zusatzbelastungen

Wanddicken inkl.Toleranzen

Erkennen von Verlusten und das Orten von Leckstellen sowie Maßnahmen zur Begrenzung von Schadensauswirkungen

Lebenszyklusplanung nach IEC 61511 [1]

Systems


Verfasser: JNEU

Folie: 18

2. Deckt den den gesamten Lebenszyklus einer Anlage ab

Außer-Inbetriebnahme Betrieb / Wartung Entwicklung Planung/Validierung

1. Streng anforderungsorientiertes Phasenmodell

Planer 2 Planer 1

Hersteller2 Hersteller 1

Übers

icht


Systems


Verfasser: JNEU

Folie: 19

Unfallursachen

Kompetenz von

Personen

Funktionales

Sicherheits-

Management

Technische

Anforderungen

Konzept,

Planung Entwicklung-

Prozeduren

Sicherheits-

relevantes

System Risikoanalyse

Sicherheits-

anforderungs-

spezifikation Validierung

Reparatur

Außerbetrieb-

nahme

Ve

rifika

tion

Safety life cycle

Sicherheits-

planung

Installation

und In-

betriebnahme

Betrieb und

Wartung


Quelle: Eigene Darstellung auf Basis des ganzheitlichen Ansatzes der IEC 61511

Systems


Verfasser: JNEU

Folie: 20

Management

und

Beurteilung

der

funktionalen

Sicherheit

und Audits

Aufbau und

Planung

des

Sicherheits-

lebenszyklus

10 11

Gefährdungs- und Risikobeurteilung

Abschnitt 8 1

Zuordnung der

Sicherheitsfunktionen zu

Schutzebenen 2

Spezifikation der

Sicherheitsanforderungen an das SIS

3

Verifikation

9

Entwurf und Planung des SIS

4

Entwurf und Planung anderer

Maßnahmen zur Risikoreduzierung

Montage Inbetriebnahme und

Validierung

5

Betrieb und Instandhaltung

6

Stufe 1

Stufe 3

Stufe 4

Stufe 2

Änderung

7

Außerbetriebssetzung

8

Stufe 5


Management und Beurteilung der funktionalen Sicherheit und Audits [1]

Systems


Verfasser: JNEU

Folie: 21

Ziele:

Spezifikation aller Managementaktivitäten und technischen

Aktivitäten während der Lebenszyklus-Phasen, die für das Erreichen

der erforderlichen funktionalen Sicherheit notwendig sind.

alle Schritte, Aktivitäten und Verfahren mit denen sichergestellt wird,

dass alle sicherheitsrelevanten Anforderungen identifiziert und erfüllt

werden.

Spezifikation von Verantwortlichkeit von Personen, Abteilungen und

Organisationen für die verschiedenen Phasen und Aktivitäten.



Systems


Verfasser: JNEU

Folie: 22

Was versteht man unter Sicherheitsmanagement

und Sicherheitsprozess?

Das Sicherheitsmanagement ist die Managementstruktur,

welche sicherstellt, dass der Sicherheitsprozess

ordnungsgemäß umgesetzt wird.

Unter dem Sicherheitsprozess versteht man alle Schritte,

Aktivitäten und Verfahren mit denen sichergestellt wird, dass

alle sicherheitsrelevanten Anforderungen identifiziert und

erfüllt werden.



Systems


Verfasser: JNEU

Folie: 23

FSM

Sicherheitspolitik

und

Sicherheitsstrategie

Definition des

Anwendungsbereiches

Verantwortliche

Personen im

sicherheitsbezogenen

Lebenszyklus

Anzuwendende

Phasen des

sicherheitsbezogenen

Lebenszyklus

Verfahren der funktionalen

Sicherheitsbeurteilung

Regelkreis für

Empfehlungen und

Modifikationen

Kompetenz der

beteiligten Personen

Versions- und

Konfigurations-

management

.

Periodische Audits

zur funk.Sicherheit

mit Sicherheits-

zustimmungsprozeß

Lebenszyklusplanung nach IEC 61511 [7] Management und Beurteilung der funktionalen Sicherheit und Audits [4]

Systems


Verfasser: JNEU

Folie: 24

Aspekte des Sicherheitsmanagements

Einführung eines Sicherheitsmanagements

Festlegung, wer ist verantwortlich für was

Kompetenz und Fortbildung von Mitarbeitern

Verfahren zur Risikobewertung und Risikomanagement

Einführung einer Sicherheitsplanung

Aktivitäten bzgl. Beurteilung der funktionalen Sicherheit

Prozeduren für die Durchführung von Audits

Verfahren für die Einleitung, Zustimmung und Ermächtigung von Modifikationen

QM-Verfahren für das Konfigurations- und Versionsmanagement

Die Art und Weise wie Informationen strukturiert werden und der Umfang

Im Grunde alles, was das sichere Funktionieren einer Anlage direkt oder indirekt beeinflusst.

Lebenszyklusplanung nach IEC 61511 [8] Management und Beurteilung der funktionalen Sicherheit und Audits [5]

Systems


Verfasser: JNEU

Folie: 25

Das funktionale Sicherheitsmanagement

stellt sicher, dass alle Aktivitäten und

Verfahren zur Identifizierung und

Erfüllung der sicherheitsrelevanten Anfor-

derungen ordnungsgemäß durchgeführt

und umgesetzt werden.

Dazu müssen die beteiligten

Personen eine entsprechende

Kompetenz aufweisen

FAZIT

Systems


Verfasser: JNEU

Folie: 26

Management

und

Beurteilung

der

funktionalen

Sicherheit

und Audits

Aufbau und

Planung

des

Sicherheits-

lebenszyklus

10 11

Gefährdungs- und Risikobeurteilung

Abschnitt 8 1

Zuordnung der

Sicherheitsfunktionen zu

Schutzebenen 2

Spezifikation der

Sicherheitsanforderungen an das SIS

3

Verifikation

9

Entwurf und Planung des SIS

4

Entwurf und Planung anderer

Maßnahmen zur Risikoreduzierung

Montage Inbetriebnahme und

Validierung

5

Betrieb und Instandhaltung

6

Stufe 1

Stufe 3

Stufe 4

Stufe 2

Änderung

7

Außerbetriebssetzung

8

Stufe 5


Aufbau und Planung des Sicherheitslebenszyklus [1]

Systems


Verfasser: JNEU

Folie: 27

Ziele

Phasen des SLZ festzulegen

Technische Tätigkeiten zu definieren

Geeignete Planung die sicherstellt , dass die SAS erfüllt wird

Empfehlungen

In der Sicherheitsplanung muss ein SLZ festgelegt werden

SLZ muss sich auch mit Anwenderprogrammierung beschäftigen



Systems


Verfasser: JNEU

Folie: 28

Übersicht zum SLZ Für jede Phase müssen Angaben zu den notwendigen Eingaben, Ereignisse und Verifikationstätigkeiten beschrieben werden



Systems


Verfasser: JNEU

Folie: 29

Die Sicherheitsplanung ist phasenbezogen und soll sicherstellen, dass:

Die Sicherheitsanforderungen an das SIS in jeder relevanten Betriebsart des Prozesses erreicht werden.

Einwandfreie Montage und Inbetriebnahme

Aufrechterhaltung der Sicherheitsintegrität während des Betriebes

Beherrschung möglicher Gefährdungen



Systems


Verfasser: JNEU

Folie: 30



Systems


Verfasser: JNEU

Folie: 31



Systems


Verfasser: JNEU

Folie: 32

Security SECURITY Security Safety SAFETY Safety

Digitale

Leittechnik

Digitale

Leittechnik

Schutz von Menschen, Umwelt,

Produktionseinrichtungen und

-gütern vor Gefährdungen

Schutz von Daten in IT-Systemen

gegen Bedrohungen, verursacht

durch den Menschen


Systems


Verfasser: JNEU

Folie: 33

FAZIT

Die Phasen des SLZ und die damit

verbundenen Anforderungen müssen

festgelegt werden. Außerdem müssen

die technischen Tätigkeiten organisiert

werden und eine Planung dieser erstellt

werden.

Systems


Verfasser: JNEU

Folie: 34

Zertifizierung von Schutzfunktionen [1]

Bewertung des Funktionalen Sicherheitsmanagement

Systems


Verfasser: JNEU

Folie: 35

Beispiel: Druck-Messumformer

Sobald einer der

beiden Sensoren

Überdruck meldet,

wird die Sicherheits-

funktion ausgelöst.

Wenn 2 von 3

Sensoren Überdruck

melden, wird die

Sicherheitsfunktion

ausgelöst.

Einkanalige

Verwendung: 1oo1

Nur wenn beide

Sensoren Überdruck

melden, wird die

Sicherheitsfunktion

ausgelöst.

Redundante

Auslegung: 1oo2

Verknüpfung:

2oo2

Erhöhung der

Verfügbarkeit: 2oo3

Sobald der Sensor

Überdruck meldet,

wird die Sicherheits-

funktion ausgelöst.

HFT = 1 HFT = 0 HFT = 1 HFT = 0


Architektur und Redundanzbewertung (HFT)

Systems


Verfasser: JNEU

Folie: 36

Temperatur- Sensor

Temperatur- transmitter Sicherheitsrelevantes

Prozessleitsystem

Hilfsrelais

Leistungsschütz Temperaturmessung zum

Differenzdruck-

Temperaturverfahren (DTZ) zur

Erkennung von schleichenden

Undichtigkeiten

Prozessleit- system


Zusammenstellung und Berechnung unter Berücksichtigung der HFT [1]

Systems


Verfasser: JNEU

Folie: 37

Ein Sicherheitssystem wird integriert um eine gefährlichen/s

Prozess/Produkt abzusichern, damit das Risikos eines Unfalls reduziert

wird.

Der Sicherheitskreis oder das sicherheitsbezogenen

Systems besteht im einfachsten Fall neben der Logik-

Einheit aus einem Sensor und Aktor (Final Element).

Die Wahrscheinlichkeiten für einen

gefahrbringenden Ausfall der Sicherheitsfunktion

bei Anforderung teilen sich erfahrungsgemäß

folgendermaßen auf:

Sensorik Steuerung (z.B. failsave SPS)

Aktorik

Um die Funktionale Sicherheit zu bewerten muss die gesamte

Verarbeitungskette betrachtet werden !

35% 15% 50%

… der Ausfahlwahrscheinlichkeit bzw. Fehlerrate

Öltank

SIS

LZV

001

Ventil

LZA

001

Füllstand


Aufteilung der Ausfahlwahrscheinlichkeiten bzw. Fehlerraten

Systems


Verfasser: JNEU

Folie: 38

Beispiel: Zertifizierung vorgefertigter und durchdachten Sicherheitsketten.

… auf Basis IEC61511 und IEC61508 für die weltweit verteilten Applikationsabteilungen

eines Herstellers aus der Prozeßtechnik

betrachtete Phasen:

Design of

Safety Integrated Systems

Functional

Safety

Management

Projektanforderungen

Betrieb

und

Wartung


Zusammenstellung und Berechnung unter Berücksichtigung der HFT [5]


Verfasser: JNEU

Folie: 39

Systems

Kleine Checkliste zum Sicherheitsassessment

Liegt eine genaue Systembeschreibung vor? (Sicherheitsfunktionen, Interface)

Sind die Sicherheitsziele definiert?

Sind alle Risiken auf Systemebene erfasst?

Wurde die Gefährdungs- und Risikoanalyse durchgeführt?

Gibt es ein Sicherheits-Management (FSM)?

Wurde ein Sicherheitsplan erstellt?

Ist die Qualifikation der am Projekt Beteiligten Mitarbeiter bzw. Verantwortlichen ausreichend?

Wurden die Risiken auf System- und Komponentenebene erfasst und gegeneinander abgebildet?

Liegt ein technisches Sicherheitskonzept zur Risikoreduktion vor?

Ist die Sicherheitsspezifikation (SRS) vorhanden?

Liegt die Planung V&V Aktivitäten vor?

Sind alle Aktivitäten zu Produktion und Betrieb definiert?

Ist die erforderliche Dokumentation zum Sicherheit-Assessment vorhanden?


Verfasser: JNEU

Folie: 40

Systems

Wir ALLE partipizieren in Funktionaler Sicherheit

Erfreut, dass das Loch nicht auf seiner Seite ist

Verantwortung


Verfasser: JNEU

Folie: 41

Systems

Leading through knowledge

FSCMA

Functional Safety Certified

Manager Application

FSCCA


Coordinator / Consultant Application

FSCEA


Engineer Application

Systems


Verfasser: JNEU

Folie: 42

Vielen Dank für Ihre Aufmerksamkeit!

IEC 61511

sis normung und wirklichkeit sicherheitsnorm iec 61511 · tÜv nord systems thema: sis – normung...

Documents