Maschinen, Prozessanlagen und andere Geräte können bei Fehlfunktionen Risiken durch gefährliche Ereignisse wie Brände, Explosionen, Überdosierungen von Strahlung und bewegliche Teile darstellen. Eine der Ursachen für Fehlfunktionen solcher Anlagen, Geräte und Maschinen sind Ausfälle elektromechanischer, elektronischer und programmierbarer elektronischer (E/E/PE) Geräte, die beim Entwurf ihrer Steuerungs- oder Sicherheitssysteme verwendet werden. Diese Ausfälle können entweder durch physische Fehler im Gerät entstehen (z. B. durch zeitlich zufällig auftretenden Verschleiß (zufällige Hardwareausfälle)); oder von systematischen Fehlern (z. B. Fehlern in der Spezifikation und dem Design eines Systems, die dazu führen, dass es aufgrund (1) einer bestimmten Kombination von Eingaben, (2) einer Umgebungsbedingung, (3) falscher oder unvollständiger Eingaben von Sensoren, ( 4) unvollständige oder fehlerhafte Dateneingabe durch Bediener und (5) potenzielle systematische Fehler aufgrund eines schlechten Schnittstellendesigns).

Sicherheitsrelevante Systemausfälle

Dieser Artikel behandelt die funktionale Sicherheit sicherheitsbezogener Steuerungssysteme und betrachtet die technischen Hardware- und Softwareanforderungen, die zum Erreichen der erforderlichen Sicherheitsintegrität erforderlich sind. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission Standard IEC 1508, Teile 2 und 3 (IEC 1993). Das übergeordnete Ziel des Entwurfs der internationalen Norm IEC 1508, Funktionale Sicherheit: Sicherheitsbezogene Systeme, soll sicherstellen, dass Anlagen und Ausrüstungen sicher automatisiert werden können. Ein Hauptziel bei der Entwicklung des vorgeschlagenen internationalen Standards ist die Vermeidung oder Minimierung der Häufigkeit von:

• Ausfälle von Steuerungssystemen, die andere Ereignisse auslösen, die wiederum zu Gefahren führen könnten (z. B. Ausfall des Steuerungssystems, Verlust der Steuerung, Prozess außer Kontrolle, was zu einem Brand, Freisetzung giftiger Materialien usw.)
• Ausfälle in Alarm- und Überwachungssystemen, so dass die Bediener Informationen nicht in einer Form erhalten, die schnell identifiziert und verstanden werden können, um die erforderlichen Notfallmaßnahmen durchzuführen
• unerkannte Fehler in Schutzsystemen, wodurch sie nicht verfügbar sind, wenn sie für eine Sicherheitsaktion benötigt werden (z. B. eine ausgefallene Eingangskarte in einem Notabschaltsystem).

Der Artikel „Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme“ beschreibt den allgemeinen Sicherheitsmanagementansatz, der in Teil 1 der IEC 1508 verkörpert ist, um die Sicherheit von Steuerungs- und Schutzsystemen zu gewährleisten, die für die Sicherheit wichtig sind. Dieser Artikel beschreibt das allgemeine konzeptionelle Engineering-Design, das erforderlich ist, um das Unfallrisiko auf ein akzeptables Niveau zu reduzieren, einschließlich der Rolle von Kontroll- oder Schutzsystemen auf der Grundlage von E/E/PE-Technologie.

In Abbildung 1 wird das Risiko von der Ausrüstung, der Prozessanlage oder der Maschine (allgemein bezeichnet als Geräte im Griff (EUC) ohne Schutzvorrichtungen) ist an einem Ende der EUC-Risikoskala markiert, und das angestrebte Risikoniveau, das erforderlich ist, um das erforderliche Sicherheitsniveau zu erreichen, befindet sich am anderen Ende. Dazwischen wird die Kombination aus sicherheitsbezogenen Systemen und externen Risikominderungseinrichtungen gezeigt, die erforderlich ist, um die erforderliche Risikominderung zu erreichen. Diese können unterschiedlicher Art sein – mechanische (z. B. Druckentlastungsventile), hydraulische, pneumatische, physikalische sowie E/E/PE-Systeme. Abbildung 2 betont die Rolle jeder Sicherheitsschicht beim Schutz des EUC im Verlauf des Unfalls.

Abbildung 1. Risikominderung: Allgemeine Konzepte

Abbildung 2. Gesamtmodell: Schutzschichten

Vorausgesetzt, dass eine Gefahren- und Risikoanalyse am EUC durchgeführt wurde, wie in Teil 1 von IEC 1508 gefordert, wurde das Gesamtkonzept für die Sicherheit erstellt und somit die erforderlichen Funktionen und das Ziel des Sicherheitsintegritätslevels (SIL) für jedes E/E/ PE-Steuerungs- oder Schutzsystem wurden definiert. Das Ziel des Sicherheitsintegritätslevels wird in Bezug auf eine Zielausfallmaßnahme definiert (siehe Tabelle 1).

Tabelle 1. Sicherheitsintegritätslevel für Schutzsysteme: Zielausfallmaßnahmen

Sicherheitsintegritätslevel                        Demand-Betriebsart (Wahrscheinlichkeit des Versagens, seine Designfunktion bei Bedarf auszuführen)

4 10^-5 ≤ × 10^-4

3 10^-4 ≤ × 10^-3

2 10^-3 ≤ × 10^-2

1 10^-2 ≤ × 10^-1 

Schutzsysteme

Dieses Dokument umreißt die technischen Anforderungen, die der Entwickler eines sicherheitsbezogenen E/E/PE-Systems berücksichtigen sollte, um das erforderliche Sicherheitsintegritätslevel-Ziel zu erreichen. Der Schwerpunkt liegt auf einem typischen Schutzsystem, das programmierbare Elektronik verwendet, um eine eingehendere Diskussion der Schlüsselthemen mit wenig Verlust an Allgemeingültigkeit zu ermöglichen. Ein typisches Schutzsystem ist in Abbildung 3 dargestellt, die ein einkanaliges Sicherheitssystem mit einer sekundären Abschaltung darstellt, die über ein Diagnosegerät aktiviert wird. Im Normalbetrieb wird der unsichere Zustand des EUC (z. B. Überdrehzahl in einer Maschine, hohe Temperatur in einer Chemieanlage) vom Sensor erkannt und an die programmierbare Elektronik übermittelt, die den Stellgliedern (über die Ausgangsrelais) den Befehl zum Setzen gibt das System in einen sicheren Zustand (z. B. Ausschalten des Elektromotors der Maschine, Öffnen eines Ventils zum Druckentlasten).

Abbildung 3. Typisches Schutzsystem

Was aber, wenn die Komponenten des Schutzsystems ausfallen? Dies ist die Funktion der Sekundärabschaltung, die durch die Diagnose (Selbstüberprüfung) dieser Konstruktion aktiviert wird. Das System ist jedoch nicht vollständig ausfallsicher, da das Design nur mit einer bestimmten Wahrscheinlichkeit verfügbar ist, wenn es zur Ausführung seiner Sicherheitsfunktion aufgefordert wird (es hat eine bestimmte Ausfallwahrscheinlichkeit oder einen bestimmten Sicherheitsintegritätslevel). Beispielsweise könnte das obige Design in der Lage sein, bestimmte Arten von Ausgangskartenfehlern zu erkennen und zu tolerieren, aber es wäre nicht in der Lage, einem Fehler der Eingangskarte zu widerstehen. Daher ist seine Sicherheitsintegrität viel geringer als die eines Designs mit einer Eingangskarte mit höherer Zuverlässigkeit oder verbesserter Diagnose oder einer Kombination davon.

Andere mögliche Ursachen für Kartenausfälle sind „klassische“ physikalische Fehler in der Hardware, systematische Fehler einschließlich Fehler in der Anforderungsspezifikation, Implementierungsfehler in der Software und unzureichender Schutz vor Umwelteinflüssen (z. B. Feuchtigkeit). Die Diagnose in diesem einkanaligen Design kann möglicherweise nicht alle diese Fehlerarten abdecken, wodurch der in der Praxis erreichte Sicherheitsintegritätslevel eingeschränkt wird. (Die Abdeckung ist ein Maß für den Prozentsatz der Fehler, die ein Design erkennen und sicher handhaben kann.)

Technische Anforderungen

Die Teile 2 und 3 des IEC 1508-Entwurfs bieten einen Rahmen für die Identifizierung der verschiedenen potenziellen Fehlerursachen in Hardware und Software und für die Auswahl von Konstruktionsmerkmalen, die diese potenziellen Fehlerursachen entsprechend dem erforderlichen Sicherheitsintegritätslevel des sicherheitsbezogenen Systems überwinden. Der allgemeine technische Ansatz für das Schutzsystem in Abbildung 3 ist beispielsweise in Abbildung 4 dargestellt. Die Abbildung zeigt die zwei grundlegenden Strategien zur Überwindung von Fehlern und Ausfällen: (1) Fehlervermeidung, wo darauf geachtet wird, dass keine Fehler entstehen; und 2) Fehlertoleranz, wo das Design speziell erstellt wird, um bestimmte Fehler zu tolerieren. Das oben erwähnte einkanalige System ist ein Beispiel für ein (begrenztes) fehlertolerantes Design, bei dem die Diagnose verwendet wird, um bestimmte Fehler zu erkennen und das System in einen sicheren Zustand zu versetzen, bevor ein gefährlicher Fehler auftreten kann.

Abbildung 4. Designspezifikation: Designlösung

Fehlervermeidung

Fehlervermeidung versucht zu verhindern, dass Fehler in ein System eingeführt werden. Der Hauptansatz besteht darin, eine systematische Methode zum Management des Projekts zu verwenden, sodass Sicherheit als definierbare und kontrollierbare Qualität eines Systems behandelt wird, während des Entwurfs und anschließend während des Betriebs und der Wartung. Der qualitätssicherungsähnliche Ansatz basiert auf dem Feedback-Konzept und umfasst: (1) Planung (Definition von Sicherheitszielen, Ermittlung der Mittel und Wege zur Erreichung der Ziele); (2) Messen Leistung gegenüber dem Plan während der Umsetzung und (3) Anwendung Feedback eventuelle Abweichungen zu korrigieren. Design Reviews sind ein gutes Beispiel für eine Technik zur Fehlervermeidung. In IEC 1508 wird dieser „Qualitäts“-Ansatz zur Fehlervermeidung durch die Anforderungen erleichtert, einen Sicherheitslebenszyklus zu verwenden und Sicherheitsmanagementverfahren sowohl für Hardware als auch für Software einzusetzen. Für letztere manifestieren sich diese oft als Software-Qualitätssicherungsverfahren, wie sie in ISO 9000-3 (1990) beschrieben sind.

Darüber hinaus stufen die Teile 2 und 3 der IEC 1508 (in Bezug auf Hardware bzw. Software) bestimmte Techniken oder Maßnahmen ein, die für die Fehlervermeidung während der verschiedenen Phasen des Sicherheitslebenszyklus als nützlich erachtet werden. Tabelle 2 zeigt ein Beispiel aus Teil 3 für die Entwurfs- und Entwicklungsphase von Software. Der Konstrukteur würde die Tabelle verwenden, um bei der Auswahl von Techniken zur Fehlervermeidung zu helfen, abhängig von der erforderlichen Sicherheitsintegritätsstufe. Für jede Technik oder Maßnahme in den Tabellen gibt es eine Empfehlung für jeden Sicherheitsintegritätslevel, 1 bis 4. Das Spektrum der Empfehlungen umfasst „Sehr empfehlenswert“ (HR), „Empfohlen“ (R), „Neutral“ – weder dafür noch dagegen (–) und „Nicht empfohlen“. (NR.).

Tabelle 2. Softwaredesign und -entwicklung

HR = sehr empfehlenswert; R = empfohlen; NR = nicht empfohlen;— = neutral: Die Technik/Maßnahme ist weder für noch gegen den SIL.
Hinweis: Eine nummerierte Technik/Maßnahme muss entsprechend dem Sicherheitsintegritätslevel ausgewählt werden.

Fehlertoleranz

IEC 1508 fordert mit steigendem Sicherheitsintegritätsziel immer höhere Fehlertoleranzniveaus. Die Norm erkennt jedoch an, dass Fehlertoleranz wichtiger ist, wenn Systeme (und die Komponenten, aus denen diese Systeme bestehen) komplex sind (in IEC 1508 als Typ B bezeichnet). Für weniger komplexe, „gut bewährte“ Systeme kann der Grad der Fehlertoleranz gelockert werden.

Toleranz gegenüber zufälligen Hardwarefehlern

Tabelle 3 zeigt die Anforderungen an die Fehlertoleranz gegen zufällige Hardwareausfälle in komplexen Hardwarekomponenten (z. B. Mikroprozessoren), wenn sie in einem Schutzsystem wie in Abbildung 3 verwendet werden. Der Konstrukteur muss möglicherweise eine geeignete Kombination aus Diagnose, Fehlertoleranz und manuelle Proof-Checks zur Überwindung dieser Fehlerklasse, abhängig vom geforderten Safety Integrity Level.

Tabelle 3. Sicherheitsintegritätslevel – Fehleranforderungen für Typ-B-Komponenten¹

1 Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung entdeckt werden.

2 Bei Komponenten ohne mittlere Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.

3 Bei Komponenten mit hoher Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Bei Komponenten ohne hohe Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorhandensein von zwei Fehlern auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.

4 Die Komponenten müssen in der Lage sein, die Sicherheitsfunktion bei Vorliegen von zwei Fehlern auszuführen. Fehler müssen mit hoher Online-Diagnoseabdeckung erkannt werden. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden. Quantitative Hardwareanalysen müssen auf Worst-Case-Annahmen beruhen.

¹Komponenten, deren Fehlermodi nicht gut definiert oder testbar sind oder für die es schlechte Fehlerdaten aus der Praxis gibt (z. B. programmierbare elektronische Komponenten).

IEC 1508 unterstützt den Designer durch Bereitstellung von Designspezifikationstabellen (siehe Tabelle 4) mit Designparametern, die mit dem Sicherheitsintegritätslevel für eine Reihe häufig verwendeter Schutzsystemarchitekturen indiziert sind.

Tabelle 4. Anforderungen für Sicherheitsintegritätslevel 2 – Programmierbare elektronische Systemarchitekturen für Schutzsysteme

Die erste Spalte der Tabelle stellt Architekturen mit unterschiedlichem Grad an Fehlertoleranz dar. Im Allgemeinen haben Architekturen, die am unteren Ende der Tabelle platziert sind, einen höheren Grad an Fehlertoleranz als die am oberen Rand. Ein 1oo2-System (eins von zwei) kann jedem Fehler standhalten, ebenso wie 2oo3.

Die zweite Spalte beschreibt die prozentuale Abdeckung aller internen Diagnosen. Je höher die Diagnosestufe, desto mehr Fehler werden erfasst. In einem Schutzsystem ist dies wichtig, da, sofern die fehlerhafte Komponente (z. B. eine Eingangskarte) innerhalb einer angemessenen Zeit (oft 8 Stunden) repariert wird, die funktionale Sicherheit kaum beeinträchtigt wird. (Hinweis: Dies wäre bei einem kontinuierlichen Kontrollsystem nicht der Fall, da jeder Fehler wahrscheinlich einen unmittelbaren unsicheren Zustand und die Möglichkeit eines Zwischenfalls verursacht.)

Die dritte Spalte zeigt das Intervall zwischen den Wiederholungsprüfungen. Dies sind spezielle Tests, die durchgeführt werden müssen, um das Schutzsystem gründlich zu testen, um sicherzustellen, dass keine latenten Fehler vorhanden sind. Typischerweise werden diese vom Anlagenlieferanten während Anlagenstillstandszeiten durchgeführt.

Die vierte Spalte zeigt die Nebenauslöserate. Eine Fehlauslösung bewirkt, dass die Anlage oder Ausrüstung abgeschaltet wird, wenn keine Prozessabweichung vorliegt. Der Preis für die Sicherheit ist oft eine höhere Fehlauslösungsrate. Ein einfaches redundantes Schutzsystem – 1oo2 – hat bei allen anderen Designfaktoren einen höheren Safety Integrity Level, aber auch eine höhere Nebenauslöserate als ein einkanaliges (1oo1) System.

Wenn eine der Architekturen in der Tabelle nicht verwendet wird oder wenn der Designer eine grundlegendere Analyse durchführen möchte, lässt die IEC 1508 diese Alternative zu. Reliability-Engineering-Techniken wie die Markov-Modellierung können dann verwendet werden, um das Hardwareelement des Sicherheitsintegritätslevels zu berechnen (Johnson 1989; Goble 1992).

Toleranz gegenüber systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache

Diese Fehlerklasse ist in Sicherheitssystemen sehr wichtig und ist der begrenzende Faktor für das Erreichen der Sicherheitsintegrität. In einem redundanten System wird eine Komponente oder ein Teilsystem oder sogar das gesamte System dupliziert, um eine hohe Zuverlässigkeit von weniger zuverlässigen Teilen zu erreichen. Die Zuverlässigkeitsverbesserung tritt auf, weil statistisch gesehen die Wahrscheinlichkeit, dass zwei Systeme gleichzeitig durch zufällige Fehler ausfallen, das Produkt der Zuverlässigkeiten der einzelnen Systeme ist und daher viel geringer ist. Andererseits führen systematische Fehler gemeinsamer Ursache zum zufälligen Ausfall redundanter Systeme, wenn beispielsweise ein Spezifikationsfehler in der Software dazu führt, dass die duplizierten Teile gleichzeitig ausfallen. Ein weiteres Beispiel wäre der Ausfall einer gemeinsamen Stromversorgung eines redundanten Systems.

IEC 1508 enthält Tabellen mit Engineering-Techniken, die nach dem Safety Integrity Level geordnet sind, das als wirksam zum Schutz vor systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache angesehen wird.

Beispiele für Techniken zum Schutz vor systematischen Fehlern sind Vielfalt und analytische Redundanz. Die Grundlage der Diversität besteht darin, dass, wenn ein Designer einen zweiten Kanal in einem redundanten System unter Verwendung einer anderen Technologie oder Softwaresprache implementiert, dann Fehler in den redundanten Kanälen als unabhängig betrachtet werden können (dh eine geringe Wahrscheinlichkeit eines zufälligen Ausfalls). Insbesondere im Bereich softwarebasierter Systeme gibt es jedoch einige Hinweise darauf, dass diese Technik möglicherweise nicht effektiv ist, da die meisten Fehler in der Spezifikation liegen. Analytische Redundanz versucht, redundante Informationen in der Anlage oder Maschine auszunutzen, um Fehler zu identifizieren. Für die anderen Ursachen systematischer Ausfälle – zum Beispiel äußere Belastungen – stellt die Norm Tabellen mit Ratschlägen zu bewährten technischen Verfahren (z. B. Trennung von Signal- und Stromkabeln) zur Verfügung, die mit dem Sicherheitsintegritätslevel indiziert sind.

Schlussfolgerungen

Computerbasierte Systeme bieten viele Vorteile – nicht nur wirtschaftliche, sondern auch das Potenzial zur Verbesserung der Sicherheit. Allerdings ist die Detailgenauigkeit zur Realisierung dieses Potenzials deutlich höher als bei konventionellen Systemkomponenten. Dieser Artikel hat die wichtigsten technischen Anforderungen skizziert, die ein Designer berücksichtigen muss, um diese Technologie erfolgreich zu nutzen.

Zurück