Systematik des SIL-Nachweises Schritt für Schritt erklärt
SIL nach „Kochrezept“
Die einschlägigen Normen zur funktionalen Sicherheit wurden in den letzten Jahren fast alle überarbeitet und liegen nun in neuen Fassungen vor. Erfahrungsgemäß führt eine solche Überarbeitung einer Norm selten zu einer Vereinfachung oder zu einer Reduzierung des Umfangs, da man bemüht ist, im Rahmen der Überarbeitung auch (vermeintliche) Lücken zu schließen.
Um die Methodik zu verstehen, ist es zunächst wichtig, zu wissen, wie die Normen zur funktionalen Sicherheit „funktionieren“. Das gemeinsame Ziel all dieser Normen ist es, sicherzustellen, dass eine sicherheitstechnische Einrichtung mit der nötigen Zuverlässigkeit korrekt arbeitet. Gelingt es, diejenigen Faktoren entsprechend zu beherrschen, die ein korrektes Funktionieren der sicherheitstechnischen Einrichtung verhindern, ist das Ziel erreicht. Die Normen müssen sich also mit der Frage auseinandersetzen: „Was kann zum gefährlichen Versagen einer sicherheitstechnischen Funktion führen und wie geht man damit um?“ Die Antwort auf den ersten Teil der Frage lautet: Zwei unterschiedliche Arten von Defekten können ein Versagen verursachen, nämlich Defekte, die eine systematisch bedingte Ursache haben (systematische Fehler) und solche, die rein zufällig auftreten und somit keine systematische Ursache haben (zufällige Fehler). Die erstgenannten systematischen Fehler könnten theoretisch zu 100 % verhindert werden. Demnach lautet auch die erste Forderung der Normen „Vermeidung systematischer Fehler“. Das Werkzeug zur Fehlervermeidung ist ein Qualitätsmanagement-System, welches die Aspekte der funktionalen Sicherheit berücksichtigt. Es handelt sich dabei um das „Management der funktionalen Sicherheit“ (siehe Kapitel 6 der EN 61508 sowie Kapitel 5 der EN 61511).
Technische Anforderungen zur Fehlerbeherrschung
Neben den organisatorischen Maßnahmen zur Fehlervermeidung müssen bei der Realisierung einer Sicherheitsfunktion zusätzlich auch technische Maßnahmen zur Fehlerbeherrschung implementiert werden, da allein mit Hilfe des „Managements der funktionalen Sicherheit“ eine vollständige Vermeidung aller systematischer Fehler nicht garantiert ist. Daher fordern die Normen zur funktionalen Sicherheit in Abhängigkeit des zu erreichenden SILs mehr oder weniger fehlerbeherrschende Maßnahmen. Konkret handelt es sich dabei um Anforderungen zur Redundanz, der Diagnose und dem Fail-Safe-Verhalten der jeweiligen sicherheitstechnischen Einrichtung. Die Anforderungen bezüglich der drei vorgenannten Aspekte stellen Mindestanforderungen dar und müssen zur Erreichung eines bestimmten SILs immer erfüllt werden, unabhängig von der Berechnung der Versagenswahrscheinlichkeit.
Die Autoren der Normen nehmen für sich in Anspruch, kraft ihrer Erfahrung und ihres Fachwissens die Maßnahmen zur Fehlerbeherrschung für den jeweiligen SIL in geeigneter Weise formuliert zu haben. In der Einleitung zur EN 61508 heißt es hierzu: „Wenn auch die Wahrscheinlichkeit des Auftretens systematischer Ausfälle im Allgemeinen nicht quantifiziert werden kann, erlaubt die Norm jedoch für eine festgelegte Sicherheitsfunktion den Anspruch zu erheben, dass der mit der Sicherheitsfunktion verbundene Ausfallgrenzwert als erreicht betrachtet werden kann, wenn alle Anforderungen dieser Norm erfüllt worden sind.“ Eine Betrachtung der systematischen Fehler ist für die SIL-Erreichung allerdings nicht ausreichend, denn auch zufällige Fehler können zum gefährlichen Versagen einer Sicherheitsfunktion führen. Da diese zufälligen Fehler nicht vermeidbar sind, müssen sie in ausreichendem Maße beherrscht werden.
Ob der für den jeweiligen SIL geforderte Umfang an fehlerbeherrschenden Maßnahmen hierzu ausreicht, kann mit Hilfe einer Wahrscheinlichkeitsrechnung hinterfragt werden. Daher fordern die Normen neben der Fehlervermeidung und der o. g. a priori vorgegebenen Fehlerbeherrschung auch eine Berechnung der Versagenswahrscheinlichkeit aufgrund zufälliger Fehler. Stellt sich dabei heraus, dass diese Versagenswahrscheinlichkeit intolerabel groß ist, muss der Umfang der fehlerbeherrschenden Maßnahmen ggf. erweitert werden. Zuletzt ist zu beachten, dass alle vorgenannten Anforderungen sowohl auf der Geräteebene als auch auf der nächsthöheren Hierarchieebene (also für den gesamten Loop) erfüllt werden müssen. In der Praxis bedeutet dies, dass für alle eingesetzten Geräte ein entsprechender Eignungsnachweis zu erbringen ist.
Kochrezept für den SIL-Nachweis
Aus der geschilderten Systematik ergibt sich demnach für den SIL-Nachweis folgendes „Kochrezept“:
- Nachweis, dass Maßnahmen zur Fehlervermeidung entsprechend den Anforderungen der jeweiligen Norm ergriffen wurden. Mit anderen Worten: Gibt es ein „Management der funktionalen Sicherheit“ und wurde dieses bei der Realisierung der Sicherheitsfunktion beachtet?
- Nachweis, dass alle für den jeweiligen SIL vorgeschriebenen Maßnahmen zur Fehlerbeherrschung realisiert wurden. Mit anderen Worten: Hat die Sicherheitsfunktion die für den betreffenden SIL geforderte Hardware-Fehlertoleranz (HFT) und werden Defekte in ausreichendem Maß rechtzeitig von einer Diagnoseeinrichtung aufgedeckt bzw. führen diese in den sicheren Zustand?
- Nachweis, dass die eingesetzten Komponenten für den Einsatz in der Sicherheitstechnik ausreichend qualifiziert sind. Mit anderen Worten: Gibt es für die Komponenten einen SIL-Nachweis, der belegt, dass die jeweilige Komponente unter Beachtung der realisierten Hardware-Fehlertoleranz für den angestrebten SIL geeignet ist?
- Nachweis, dass ein Versagen der Sicherheitsfunktion aufgrund zufällig auftretender Defekte ausreichend unwahrscheinlich ist. Mit anderen Worten: Bewegt sich die PFD bzw. PFH in der Größenordnung, die von der Norm für den jeweiligen SIL vorgegeben ist?
- Verifikation aller durchgeführten Tätigkeiten nach dem Vier-Augen-Prinzip und deren „gerichtsfeste“ Dokumentation. Mit anderen Worten: Wurden alle Arbeitsergebnisse von unabhängiger Seite auf Korrektheit geprüft und vollständig sowie nachvollziehbar dokumentiert?
Anhand dieser fünf Punkte kann das Vorgehen bei der SIL-Bewertung einer Sicherheitsfunktion systematisch abgearbeitet werden, wobei der Punkt 3 (Qualifikation der Komponenten) im Folgenden noch näher beleuchtet werden soll.
Verschiedene Möglichkeiten zur Begründung der SIL-Eignung eines Geräts
Die SIL-Eignung eines Geräts wird üblicherweise durch den Hersteller sichergestellt, indem dieser das Gerät unter Beachtung der EN 61508 entwickelt und bewertet. Ist dies der Fall, dann muss nach EN 61508, Teil 2, Kapitel 7.4.9.6 auch ein Sicherheitshandbuch verfügbar sein, welches alle Informationen liefert, die der Anwender für einen Einsatz in einer Sicherheitsfunktion benötigt. Liegt seitens des Geräteherstellers jedoch keine Aussage zur SIL-Eignung vor, kann auch auf anderem Weg eine entsprechende SIL-Eignung begründet werden. Im Einzelnen sind hier zu nennen:
- Nachweis auf Basis der „früheren Verwendung“ (Betriebsbewährung)
- Ausschluss aller gefährlichen Defekte (Fehlerausschluss)
- Rechtzeitige Aufdeckung aller gefährlichen Fehler (100%ige Diagnose)
- Individuelle Prüfung nach einer „passenden“ Norm (Baumusterprüfung)
Fazit
Zusammen mit dem erstgenannten Punkt, der Herstellererklärung, existieren also fünf Möglichkeiten, die SIL-Eignung eines Geräts zu begründen (siehe Abb. 2). Das „Kochrezept“ in seiner Gesamtheit ist nochmals in Abb. 3 veranschaulicht. Ein praxisnahes Applikationsbeispiel (Überfüllsicherung) für die Anwendung dieses „Kochrezepts“ wird im Rahmen der eintägigen Veranstaltung „SIL in der Praxis“ und dem dazugehörigen „SIL-Kochbuch“ präsentiert.