SIL, Teil 3: Systematische Fähigkeit
Um die SIL-Anforderungen zu erfüllen, muss die Sicherheitsfunktion in ihrer Auslegung den drei in der Norm festgelegten, bestimmten Kriterien entsprechen. Dieser Artikel befasst sich mit dem dritten dieser Kriterien – der systematischen Fähigkeit.
Was bedeutet funktionale Sicherheit?
Bei der funktionalen Sicherheit geht es um die aktive Erkennung potenziell gefährlicher Bedingungen, die einen Schutzmechanismus oder eine Schutzfunktion benötigen, um die Auswirkungen möglicher gefährlicher Vorfälle herabzusetzen.
Als Bestandteil der Gesamtsicherheit von EUC-Systemen (Equipment under Control) liegt der Schwerpunkt bei der funktionalen Sicherheit vor allem auf der Elektronik und der damit in Zusammenhang stehenden Software.
IEC 61508 ist eine internationale Norm für „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“. Als Schirm-Norm für funktionale Sicherheit bildet sie die Grundlage für zahlreiche branchenspezifische Ableitungen, wie beispielsweise IEC 61511 für die Prozessindustrie.
Die Normen folgen dem Modell eines Sicherheitslebenszyklus, regeln das funktionale Sicherheitsmanagement und enthalten Maßnahmen und Verfahren zur Konzipierung von sicherheitsgerichteten Systemen (Safety Instrumented Systems – SIS) und den dazugehörigen Sicherheitsfunktionen (Safety Instrumented Functions – SIF).
IEC 61511 Sicherheitslebenszyklus
Die Erstellung einer Sicherheitsanforderungsspezifikation (SRS) ist ein Schlüsselfaktor des Sicherheitslebenszyklus. Basierend auf den Ergebnissen der Gefahren- und Risikobewertungsphasen des Lebenszyklus ist dieses Dokument der Entwurf für die Funktionalität, die Integrität und die Überprüfung der Auslegung des Sicherheitssystems.
Was ist SIL?
Die Sicherheitsanforderungsspezifikation dokumentiert das Ausmaß der für die Auslegung des Sicherheitssystems erforderlichen Reduzierung der Restrisiken und weist eine entsprechende Ziel-SIL-Stufe zu.
Bei SIL oder der Sicherheitsintegritätsstufe handelt es sich um ein relatives Ausmaß der Risikominimierung, das durch eine Sicherheitsfunktion erreicht wird. Es gibt vier separate SIL-Stufen von 1 bis 4, wobei SIL 4 das höchste Maß an Sicherheitsintegrität und dementsprechend auch den höchsten Risikominimierungsfaktor umfasst.
SIL | Risikominimierungsfaktor (Risk Reduction Factor) – RRF |
4 | > 10.000 bis ≤ 100.000 |
3 | > 1000 bis ≤ 10.000 |
2 | > 100 bis ≤ 1.000 |
1 | >10 bis ≤ 100 |
Wie wird eine bestimmte SIL-Stufe erreicht?
Um die SIL-Anforderungen zu erfüllen, muss die Sicherheitsfunktion in ihrer Auslegung den drei in der Norm festgelegten, bestimmten Kriterien entsprechen.
Diese strengen Kriterien sind die Folgenden: zufällige Hardware-Integrität, architekturbedingte Einschränkungen und systematische Fähigkeit.
Dieser Artikel befasst sich mit dem dritten dieser Kriterien – der systematischen Fähigkeit. Weitere Informationen über zufällige Hardware-Integrität und architekturbedingte Einschränkungen erhalten Sie durch Klicken auf die jeweiligen Links.
PR electronics bietet eine große Bandbreite anSIL-zertifizierten Geräten für eine Vielzahl an SIL-Anwendungen an.
Was bezeichnet die systematische Fähigkeit?
IEC 61508-2010 definiert die systematische Fähigkeit wie folgt:
„Eine Einheit (auf einer Skala von SC 1 bis SC 4) zur Bestimmung des Vertrauensgrades, dass die systematische Sicherheitsintegrität eines Elementes die Anforderungen der angegebenen Sicherheitsintegritätsstufe (SIL) im Hinblick auf die festgelegte Sicherheitsfunktion des angegebenen Elementes erfüllt, wenn das Element gemäß den Anweisungen des jeweils geltenden Sicherheitshandbuchs für dieses Element zur Anwendung kommt.“
Systematische Fehler sind hauptsächlich auf menschliches Versagen zurückzuführen. Systematische Fehler können beim Design, der Konstruktion, der Bedienung oder der Wartung einer Sicherheitsfunktion eingebaut werden, die dann unter bestimmten Umständen auftreten.
Systematische Fehler sind oft das Ergebnis von ungeeigneten Geräte- oder Komponentenspezifikationen, Fehlern bei den Bedienungs- oder Wartungsvorgängen oder von Bugs in der Software. Systematische Fehler werden bis zur Behebung der zugrundeliegenden Ursache immer wieder auftreten.
Die systematische Integrität kann daher als die Widerstandsfähigkeit gegen systematische Fehler definiert werden.
IEC 61511 definiert 2 zulässige Verfahren zum Nachweis der systematischen Fähigkeit:
IEC 61511 allows for 2 methods of demonstrating systematic capability:
- Verwendung von Geräten, die gemäß IEC 61508 zertifiziert sind
- Bewährt durch frühere Verwendung (Prior-use justification)
Verwendung von Geräten, die gemäß IEC 61508 zertifiziert sind
IEC 61508 stellt je nach erforderlicher SIL-Stufe strenge Anforderungen an Auslegung, Fehlervermeidung und Prüfung der Geräte. Auf diese Weise wird sichergestellt, dass die Hersteller sich an ein strenges und wiederholbares Verfahren halten, für das volle Rechenschaftspflicht gilt, und bei dem die jeweiligen Begleitunterlagen bereitgestellt werden.
Verschiedene Tabellen geben den Herstellern eine Übersicht der zu befolgenden Verfahren und Maßnahmen zum Nachweis der Einhaltung der jeweiligen SIL-Stufe.
Verfahren/Maßnahme |
See |
SIL 1 | SIL 2 | SIL 3 | SIL 4 |
Überwachung der Programmsequenz | A.9 | HR low |
HR low |
HR medium |
HR high |
Fehlererkennung durch Online-Überwachung | A.1.1 | R low |
R low |
R medium |
R high |
Überprüfungen durch redundante Hardware | A.2.1 | R low |
R low |
R medium |
R high |
TAP-Standardzugang (Standard Test Access) und Boundary-Scan-System | A.2.3 | R low |
R low |
R medium |
R high |
Codesicherung | A.6.2 | R low |
R low |
R medium |
R high |
Unterschiedliche Hardware | B.1.4 | - low |
- low |
R medium |
R high |
IEC 61508-2010, Tabelle A.15 – Verfahren und Maßnahmen zur Überwachung der durch das Hardware-Design verursachten, systematischen Fehler
Diese Tabelle ist ein Beispiel von vielen, die sich jeweils auf einen bestimmten Designaspekt konzentrieren.
In Abhängigkeit von der erforderlichen SIL-Stufe wird für jedes Verfahren/jede Maßnahme angezeigt, ob diese „Verpflichtend“ (M), „Dringend Empfohlen“ (HR), „Empfohlen“ (R) oder „Nicht Empfohlen“ (NR) wird. Darüber hinaus gibt die Tabelle auch die erforderliche Wirksamkeit der Maßnahme gegen systematische Fehler an.
Die gemäß IEC 61508 zertifizierten Geräte wurden einer Überprüfung aller Compliance-Anforderungen durch ein akkreditiertes Drittunternehmen unterzogen, wodurch sichergestellt wird, dass alle relevanten Konstruktions-, Prüfungs- und Dokumentationsverfahren und -maßnahmen der jeweiligen SIL-Stufe entsprechend angewandt wurden.
Auf den SIL-Zertifikaten sollte die jeweilige SC-Stufe angegeben sein.
Bewährt durch frühere Verwendung (Prior-use justification)
In diesem Fall könnte man sich darauf einigen, dass von einer verlässlichen Verwendung des Gerätes ausgegangen werden kann, wenn ein bestimmter Anwender umfangreiche Erfahrungen mit diesem Gerät gesammelt hat und dieses ein ausreichend kleines Fehleraufkommen vorweisen kann.
Um dies allerdings ausreichend begründen zu können, muss angenommen werden, dass der Anwender über ein stabiles System zur vollständigen Dokumentation ALLER Fehler und Fehlermöglichkeiten verfügt und eine strenge Versionskontrolle der Hardware- und Software durchführen kann, die einen Einfluss auf die vorherige Erfahrung haben könnte. Jede neu vorgeschlagene Anwendung muss zur Gewährleistung der Datenkonsistenz ähnliche Betriebsbedingungen wie die historischen Daten aufweisen.
IEC 61511, Abschnitt 11.5.3 enthält die Anforderungen zur Auswahl der durch frühere Verwendung bewährten Geräte.
„Es muss ein ausreichender Nachweis erbracht werden, dass die Geräte für die Verwendung im sicherheitsgerichteten System geeignet sind. Das beinhaltet auch Folgendes:
- Berücksichtigung der Qualitätssicherungs- und Konfigurationsmanagementsysteme des Herstellers
- Angemessene Identifizierung und Spezifizierung der Geräte
- Nachweis über die Geräteleistung in ähnlichen Betriebsumgebungen
- Umfang der Betriebserfahrung.“
Bei höheren SIL-Stufen bestehen zusätzliche Anforderungen für die durch frühere Verwendung bewährten Geräte, vor allem, wenn diese auch Software beinhalten.
Der Nachweis, dass sich das Gerät bereits durch frühere Verwendung bewährt hat, kann für einen Endanwender schwer zu erbringen sein. Daher nutzen viele Endanwender den Vorteil der wachsenden Anzahl der gemäß IEC 61508 zertifizierten Geräte zum Nachweis der systematischen Fähigkeit.
Der Nachweis der systematischen Fähigkeit an sich ist kein Nachweis für die Erfüllung der Ziel-SIL-Anforderungen. Darüber hinaus müssen auch die zufällige Hardware-Integrität und architekturbedingte Einschränkungen berücksichtigt werden.