SIL – „Safety Integrity Level“
SIL (allgemeine) Basis Informationen
1. Funktionale Sicherheit
Der Safety Integrity Level (SIL) ist ein Verfahren zur Er-
mittlung des potentiellen Risikos von Personen, Systemen, Geräten und Prozessen im Falle einer Fehlfunktion. Die Basis für die Spezifikationen, den Entwurf und Betrieb von sicherheitstechnischen Systemen (SIS) bildet der IEC-Standard 61508.
Ziel ist das Risiko zu bewerten und durch Schutzmaßnahmen das Risiko zu reduzieren
2. Standard
Der 61508-Standard definiert die Sicherheit in Abhängigkeit vom Grad der Be-
schädigung und der Wahrscheinlichkeit, die eine bestimmte Anwendung hinsichtlich einer risikorelevanten Situation hat. 61508 hat eine eigene Risiko-bewertung mit der die Sicherheits-Integritätslevel (SIL) für die Geräte und Systeme mit Sicherheitsaufgaben ermittelt werden. Der IEC-Standard kennt die vier SIL-Level SIL1 bis SIL4, die als Sicherheitsausführungen von elektrischen und elektronischen Geräten definiert sind. Im SIL-Wert drückt sich die spezifizierte Sicherheitsfunktion im Fehlerfall aus: Mit welcher Wahrscheinlich-
keit arbeitet das System im angeforderten Fehlerfall (PFD).
3. Kennwerte
PFD = Probability of failure on demand
Der Wert PFDav gibt den direkten Zusammenhang der Wahrscheinlichkeit einer Fehlfunktion wieder.
Der Begriff "High-Demand" wird immer dort gefordert, wo sicherheitsrelevante Aktionen ständig erfolgen, wie z.B. beim einer sicheren Regelung im Roboter-bereich oder einer kontinuierlichen Temperaturmessung. Die Unterschiede machen sich auch sehr stark bei der mathematischen Betrachtung der Sicher-
heit bemerkbar. Die quantitative Einordnung erfolgt über die Ausfallwahr-scheinlichkeit der Sicherheitsfunktion. Beim "Low-Demand" wird eine bestimmte Ausfallwahrscheinlichkeit pro Sicherheitsanforderung gefordert. Bei der "High-Demand"-Forderung hingegen, wird die
Ausfallwahrscheinlichkeit pro Stunde betrachtet.
SIL – PFDav – PFH – Betriebsarten
| Safety Integrity Level (SIL) | Betriebsart „Low demand mode“ | Betriebsart „High demand mode“ |
|---|---|---|
| SIL4 | ≥ 10-5 bis < 10-4 | ≥ 10-9 bis < 10-8 |
| SIL3 | ≥ 10-4 bis < 10-3 | ≥ 10-8 bis < 10-7 |
| SIL2 | ≥ 10-3 bis < 10-2 | ≥ 10-7 bis < 10-6 |
| SIL1 | ≥ 10-2 bis < 10-1 | ≥ 10-6 bis < 10-5 |
MTBF = Mean Time Between Failure
MTBF ist zu deutsch die mittlere Betriebsdauer zwischen Ausfällen. Sie gilt für Einheiten, die instandgesetzt werden; Betriebsdauer meint die Betriebszeit zwischen zwei aufeinanderfolgenden Ausfällen einer instandzusetzenden Einheit.
Die MTBF kann zur Abschätzung von Ausfällen in Zeitintervallen verwendet werden. Aus dieser Zahl kann die Wahrscheinlichkeit berechnet werden, dass es während der Nutzungsdauer (z.B. 10 Jahre bei Schischek Antrieben) zu einem Ausfall kommt. Schätzwerte für die MTBF können durch Lebensdauerversuche, fallweise auch mit erhöhten Beanspruchungen, ermittelt werden – in denen das Gerät z.B. Strahlung, Feuchtigkeit, Erschütterungen, Hitze und Ähnlichem ausgesetzt wird, wie z.B. einem „Highly Accelerated Life Test“.
Eine andere Möglichkeit der Ermittlung der MTBF, die oft in den frühen Ent-
wicklungsphasen angewendet wird, ist die Zuverlässigkeitsprognose. Damit lässt sich abschätzen, ob gesetzte Zuverlässigkeitsziele erreicht werden können. Dazu sind genaue Kenntnisse des Aufbaus des Gerätes und der verwendeten Bauelemente notwendig.
Für viele Bauelemente existieren in Handbüchern Ausfallraten. Werte werden
oft in FIT angegeben („Failure in Time“, 1 FIT = 109 pro 1 Stunde). Die MTBF ist der Kehrwert der berechneten Ausfallrate der Baugruppe/Einheit, die sich aus der Summe der in Abhängigkeit von der Beanspruchung gewichteten Bau-
elementeausfallraten ergibt.
Bei der Berechnung der MTBF aus FIT muß berücksichtigt werden, dass FIT in der Regel ohne die Einheit „Ausfälle pro 109 Stunden“ angegeben wird. Wird beispielsweise die MTBF eines reparierbaren Gerätes von einem Bauelement bestimmt, für das FIT bekannt ist, dann ergibt sich die folgende Umrechnungs-formel für die zu erwartende mittlere Zeit, die zwischen dem Ersatz dieses Bauelementes durch ein neues Bauelement verstreichen wird:
Formel:
MTBF = 114.000 Jahre : FIT
Beispiel:
für eine FIT von 1140 ergibt sich MTBF = 100 Jahre
MTTF = Mean Time To Failure
MTTF ist die Abkürzung für die mittlere Betriebsdauer bis zum Ausfall und wird auch als mittlere Lebensdauer bezeichnet oder MTTFd, heißt die mittlere Zeit bis zum gefahrbringenden Ausfall. Durch die europäische Norm EN ISO 13849-1 erlangt die MTTF neue Bedeutung, da sie innerhalb der Konformitätsuntersuch-
ungen zur Bewertung der Maschinensicherheit herangezogen wird.
Die MTTF ist eine statistische Kenngröße/Kennzahl die über Versuche oder Er-
fahrungswerte ermittelt wird. Sie gibt keine garantierte Lebensdauer oder garantierte ausfallfreie Zeit an. MTTF wird aus der Zuverlässigkeitsfunktion R(t) berechnet. Sie gilt für nichtreparierbare und reparierbare Einheiten unter der Annahme, dass die Betrachtungseinheit nach der Reparatur neuwertig ist.
MTTR = Mean Time To Repair
MTTR wird als die mittlere Reparaturzeit nach einem Ausfall eines Systems definiert. Diese gibt an, wie lange die Wiederherstellung des Systems im Mittel dauert. Sie ist somit ein wichtiger Parameter für die Systemverfügbarkeit.
In dieser Zeit ist auch das Planen der Aufgaben sowie der Betriebsmittel ent-
halten. Sie sollte so kurz wie möglich gehalten werden.
λ = Failure Rate
Die Fehlerate λ ist umgekehrt proportional zur MTBF. (λ = 1 / MTBF)
µ = Repair Rate
Die Reparaturrate µ ist umgekehrt proportional zur MTTR. (λ = 1 / MTTR)
SFF = Safe Failure Fraction
SFF ist der Anteil sicherer Fehler (λsafe) im Verhältnis zu gefährlichen Fehlern (λdangerous). Je höher der Wert desto geringer die Ausfallwahrscheinlichkeit.
λtotal = λS + λD
SFF = 1-λDU / λtotal
λS = safe
(sichere Fehler)
λSD = safe detectable
(sicher entdeckt)
λSU = safe undetectable
(sicher unentdeckt)
λD = dangerous
(gefährliche Fehler)
λDD = dangerous detectable
(gefährlich entdeckt)
λDU = dangerous undetectable
(gefählich unentdeckt)
HFT = Hardware Failure Tolerance
Die Hardware-Fehlertoleranz (HFT) bestimmt gemeinsam mit der Safe Failure Fraction (SFF) die Sicherheitsstufen (SIL) von Systemen. Die Hardware Fault Tolerance gibt die Zahl an, die ein System ohne auszufallen verkraften kann.
Je höher der HFT-Wert ist, desto höher ist die Verfügbarkeit. Ausfallsichere und fehlertolerante Systeme haben dementsprechend den höchsten der drei HFT-Werte, 0, 1 und 2.
- HFT = 0: einkanalige Ausführung – ein einzelner Fehler kann zum Sicherheitsverlust führen.
- HFT = 1: redundante Ausführung – es müssen zwei Fehler gleichzeitig auftreten, um einen Sicherheitsverlust herbeizuführen.
- HFT = 2: zweifach redundante Ausführung – es müssen mindestens drei Fehler gleichzeitig auftreten, um einen Sicherheitsverlust herbeizuführen.
Um den geforderten SIL-Level einer Schutzeinrichtung zu erreichen, muss die Kennzahl aller Einzelgeräte der Sicherheitsfunktion berücksichtigt werden. Dadurch kann es vorkommen, daß für das Erreichen der erforderlichen SIL-Stufe eine redundante Architektur gewählt werden muss.
SFF – HFT – SIL – Typ A, Typ B
| Safe Failure Fraction (SFF) | Hardware Fehlertoleranz (Typ A – einfaches Teilsystem) | Hardware Fehlertoleranz (Typ B – komlexes Teilsystem) | ||||
|---|---|---|---|---|---|---|
| SIL4 | 0 | 1 | 2 | 0 | 1 (0*) | 2 (1*) |
| < 60% | SIL1 | SIL2 | SIL3 | – | SIL1 | SIL2 |
| 60%… <90% | SIL2 | SIL3 | SIL4 | SIL1 | SIL2 | SIL3 |
| 90%… <99% | SIL3 | SIL4 | SIL4 | SIL2 | SIL3 | SIL4 |
| ≥ 99% | SIL3 | SIL4 | SIL4 | SIL3 | SIL4 | SIL4 |
| * Mit Nachweis der Betriebsbewährung nach IEC 61511 (nur für SIL < 4) | ||||||
„Safety Lifecycle“
Notwendige Zertifizierungsdokumente:
- Produktbeschreibung
- Funktionsbeschreibung
- Spezifikation der Sicherheitsanforderung (SRS)
- Entwicklungsplan
- Verifikation und Validierungsplan (Beurteilung)
- Hardware Entwicklungsdokumente
- Software Entwicklungsdokumente
- Konstruktionszeichnungen
- Hardware Verifikation und Testplan
- Hardwareprüfung
- Software Verifikation und Testplan
- Softwareprüfung
- Auswirkungsanalyse (FMEA)
- Quantitativer Nachweis der Sicherheit
- Technische Kundendokumentation
