SIL, Teil 1: Zufällige Hardware-Integrität
Um die SIL-Anforderungen zu erfüllen, muss die Sicherheitsfunktion in ihrer Auslegung den drei in der Norm festgelegten, bestimmten Kriterien entsprechen. Dieser Artikel befasst sich mit dem ersten dieser Kriterien – der zufälligen Hardware-Integrität.
Was bedeutet funktionale Sicherheit?
Bei der funktionalen Sicherheit geht es um die aktive Erkennung potenziell gefährlicher Bedingungen, die einen Schutzmechanismus oder eine Schutzfunktion benötigen, um die Auswirkungen möglicher gefährlicher Vorfälle herabzusetzen.
Als Bestandteil der Gesamtsicherheit von EUC-Systemen (Equipment under Control) liegt der Schwerpunkt bei der funktionalen Sicherheit vor allem auf der Elektronik und der damit in Zusammenhang stehenden Software.
IEC 61508 ist eine internationale Norm für „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“. Als Schirm-Norm für funktionale Sicherheit bildet sie die Grundlage für zahlreiche branchenspezifische Ableitungen, wie beispielsweise IEC 61511 für die Prozessindustrie.
Die Normen folgen dem Modell eines Sicherheitslebenszyklus, regeln das funktionale Sicherheitsmanagement und enthalten Maßnahmen und Verfahren zur Konzipierung von sicherheitsgerichteten Systemen (Safety Instrumented Systems – SIS) und den dazugehörigen Sicherheitsfunktionen (Safety Instrumented Functions – SIF).
IEC 61511 Sicherheitslebenszyklus
Die Erstellung einer Sicherheitsanforderungsspezifikation (SRS) ist ein Schlüsselfaktor des Sicherheitslebenszyklus. Basierend auf den Ergebnissen der Gefahren- und Risikobewertungsphasen des Lebenszyklus ist dieses Dokument der Entwurf für die Funktionalität, die Integrität und die Überprüfung der Auslegung des Sicherheitssystems.
Was ist SIL?
Die Sicherheitsanforderungsspezifikation dokumentiert das Ausmaß der für die Auslegung des Sicherheitssystems erforderlichen Reduzierung der Restrisiken und weist eine entsprechende Ziel-SIL-Stufe zu.
Bei SIL oder der Sicherheitsintegritätsstufe handelt es sich um ein relatives Ausmaß der Risikominimierung, das durch eine Sicherheitsfunktion erreicht wird. Es gibt vier separate SIL-Stufen von 1 bis 4, wobei SIL 4 das höchste Maß an Sicherheitsintegrität und dementsprechend auch den höchsten Risikominimierungsfaktor umfasst.
SIL | Risikominimierungsfaktor (Risk Reduction Factor) – RRF |
4 | > 10.000 bis ≤ 100.000 |
3 | > 1000 bis ≤ 10.000 |
2 | > 100 bis ≤ 1.000 |
1 | >10 bis ≤ 100 |
Wie wird eine bestimmte SIL-Stufe erreicht?
Um die SIL-Anforderungen zu erfüllen, muss die Sicherheitsfunktion in ihrer Auslegung den drei in der Norm festgelegten, bestimmten Kriterien entsprechen.
Diese strengen Kriterien sind die Folgenden: zufällige Hardware-Integrität, architekturbedingte Einschränkungen und systematische Fähigkeit.
Dieser Artikel befasst sich mit dem ersten dieser Kriterien – der zufälligen Hardware-Integrität. Um Informationen über architekturbedingte Einschränkungen und die systematische Fähigkeit zu erhalten, klicken Sie bitte auf die jeweiligen Links.
PR electronics bietet eine große Bandbreite an SIL-zertifizierten Geräten für eine Vielzahl an SIL-Anwendungen an.
Was ist zufällige Hardware-Integrität?
Die zufällige Hardware-Integrität bezieht sich auf zufällige Hardware-Fehler. Wenn Sicherheitssysteme 100% verlässlich wären, würde sich das Restrisiko auf Null reduzieren und die Sicherheit läge bei 100%.
Da das so nicht erreichbar ist, müssen wir die Ausfallwahrscheinlichkeit einer Sicherheitsfunktion bei einer Anforderung ermitteln. Diese Erkenntnis hilft uns dabei, das in diesem Fall wahrscheinliche Ausmaß der Risikominimierung zu ermitteln.
Die im „geringen Anforderungsmodus“ betriebenen Sicherheitsfunktionen (SIF) verwenden zur Bestimmung der Verlässlichkeit die durchschnittliche Ausfallwahrscheinlichkeit (PFDavg), während sich Sicherheitsfunktionen im „hohen oder kontinuierlichen Anforderungsmodus“ auf die Ausfallwahrscheinlichkeit pro Stunde (PFH) stützen.
Die IEC 61511 entnommene Tabelle 4 zeigt, wie diese Werte dem Risikominimierungsfaktor (RRF) für Sicherheitsfunktionen im geringen Anforderungsmodus entsprechen:
SIL | Risikominimierungsfaktor (Risk Reduction Factor) – RRF | PFDavg -Bereich |
4 | > 10.000 bis ≤ 100.000 | ≥ 10-5 < 10-4 |
3 | > 1000 bis ≤ 10.000 | ≥ 10-4 < 10-3 |
2 | > 100 bis ≤ 1.000 | ≥ 10-3 < 10-2 |
1 | >10 bis ≤ 100 | ≥ 10-2 < 10-1 |
IEC 61511 - Tabelle 4
Tabelle 5 stellt die entsprechenden Werte für Sicherheitsfunktionen im hohen/kontinuierlichen Anforderungsmodus dar:
SIL | Ausfallwahrscheinlichkeit pro Stunde – PFH |
4 | > 10-9 ≤ 10-8 |
3 | > 10-8 ≤ 10-7 |
2 | > 10-7 ≤ 10-6 |
1 | > 10-6 ≤ 10-5 |
IEC 61511 - Tabelle 5
Zur Berechnung des PFDavg-Wertes einer Sicherheitsfunktion ist die Analyse ihrer jeweiligen Bestandteile erforderlich. Eine Sicherheitsfunktion besteht üblicherweise aus einem Sensor-Teilsystem, einem Logic Solver und einem Endelemente-Teilsystem.
Im Folgenden finden Sie Beispiele für Komponenten der Sicherheitsfunktion:
Fehleranalyseverfahren wie die Fehlermöglichkeits-, Einfluss- und Diagnoseanalyse (Failure Modes, Effects and Diagnostic Analysis – FMEDA) sind zur Bestimmung der Fehlermöglichkeiten und der Diagnosefähigkeiten der einzelnen Geräte weit verbreitet.
Die jeweiligen Ausfallraten können mit zusätzlichen Variablen kombiniert werden, um die Ausfallwahrscheinlichkeit über eine bestimmte Einsatzzeit hinweg zu berechnen.
Obwohl es zur PFD-Berechnung einfache Gleichungen gibt, ist das Ergebnis umso genauer und sicherer, je mehr Variablen in der Rechnung berücksichtigt werden.
Variablen, die bei PFD-Berechnungen berücksichtigt werden müssen:
Variable | Quelle |
Ausfallraten der Geräte (z. B. λDU, λDD) | Die Informationen legt normalerweise der Hersteller in Form eines FMEDA-Berichtes vor. |
Einsatzzeit (MT) | Vom Endanwender festgelegt |
Prüftest-Intervall (TI) | Vom Endanwender festgelegt |
Prüftest-Abdeckung (CPT) | Vom Endanwender festgelegt oder vom Hersteller empfohlen |
Prüftest-Dauer | Vom Endanwender festgelegt |
Durchschnittliche Wiederherstellungszeit (MTTR) | Vom Endanwender festgelegt |
Gemeinsam verursachte Ausfälle (GVA) | Im Fall von von Redundanz zu verwendender Betafaktor |
Beispiel einer Gleichung für den geringen Anforderungsmodus PFDavg
Beim PFDavg-Wert einer Sicherheitsfunktion handelt es sich um die Gesamtheit aller PFDavg-Werte des Teilsystems.
Sensor-Teilsystem | Logic Solver | Endelement |
1,5 x 10-3 | 8,6 x 10-5 | 1,8 x 10-2 |
Gesamt-PFDavg-Wert der SIF = 1,9 x 10-2 = SIL
Bei Sicherheitsfunktionen mit hohem oder kontinuierlichem Anforderungsmodus kommt die PFH (Ausfallwahrscheinlichkeit pro Stunde) bei der Berechnung zum Einsatz.
Das Erreichen des PFDavg/PFH-Zielwertes für eine Sicherheitsfunktion an sich ist kein Nachweis für die Erfüllung der Ziel-SIL-Anforderungen. Darüber hinaus müssen auch architekturbedingte Einschränkungen und die systematische Fähigkeit berücksichtigt werden.