Die Entwicklung der Safety Integrity Levels (SIL)
Derek Jones, Safety Business Manager bei Rockwell Automation, erläutert PLs und SILs und klärt Unterschiede sowie – was noch viel wichtiger ist – Gemeinsamkeiten.
Die Normen, in denen PLs (Performance Levels) und SILs (Safety Integrity Levels) definiert sind, befassen sich mit sicherheitsbezogenen elektrischen Steuerungssystemen und erzielen dabei dieselben oder ähnliche Ergebnisse – wenn auch mithilfe unterschiedlicher Methoden. Auf diese Weise haben Anwender die Möglichkeit, die für Ihre Anwendung am geeignetsten erscheinende Methode auszuwählen. Die Ergebnisse beider Normen bieten vergleichbare Sicherheitsleistungs- oder Integritätsstufen, wobei die Standards Unterschiede aufweisen, die die Anforderungen der jeweiligen Zielanwendergruppe erfüllen.
PLs beziehen sich auf die Kategorisierung von Sicherheitssteuerungen, die zunächst in den 90-er Jahren als Teil der europäischen Norm EN 954-1, die die europäische Maschinenrichtlinie unterstützte, in Erscheinung trat. Es wurde entschieden, dass es eine Norm für den Aufbau sicherheitsrelevanter Teile von Steuerungssystemen geben sollte. Mit der daraus resultierenden Norm wurden verschiedene Kategorien eingeführt, mit denen die Struktur eines Sicherheitsschaltkreises beschrieben werden konnte.
Das System der SILs (Safety Integrity Levels) als Alternative zu PLs (Performance Level) wurde eingeführt, als deutlich wurde, dass eine neue Norm erforderlich war, die auf alle Aspekte des modernen Steuerungssystems angewandt werden konnte |
Da erkannt wurde, dass innerhalb einer Maschine oder innerhalb deren Sicherheitssteuerungssystems verschiedenste Fehlerzustände vorliegen können, wurden zahlreiche Kategorien erstellt, wie etwa B, 1, 2, 3 und 4, um die sicherheitsbezogenen Teile innerhalb des Steuerungssystems, ihre Fehlerresistenz und ihr Verhalten bei verschiedenen Fehlerbedingungen zu klassifizieren.
Kategorie B definiert, dass Komponenten von hoher Qualität verwendet wurden und alle Komponenten gemäß anerkannter Normen gefertigt wurden und funktionieren – eigentlich eine Selbstzertifizierung im Sinne angemessener Sorgfalt. Die nachfolgenden Zahlen definieren den Kern der Sicherheitskategorien und die „Strenge“ des Sicherheitssystems. Kategorie 1 ist die erste und einfachste Kategorie. Sie bestimmt, dass gute, unkomplizierte Komponenten verwendet wurden und dass das System gemäß guten Prinzipien funktioniert, jedoch keine Diagnose vorgesehen ist.
Kategorie 2 ist im Grunde genommen identisch mit Kategorie 1, doch müssen die Verfahren oder Routinen in die Prüfelemente des Systems eingeführt werden. Dies kann bei einer einfachen Inbetriebnahmeprüfung geschehen, bei der sichergestellt wird, dass alles einwandfrei funktioniert und ordnungsgemäß konfiguriert ist. Eine Inbetriebnahmeprüfung ist die absolute Mindestanforderung, da in manchen Fällen Risikobewertungen eventuell regelmäßige Prüfungen der Komponenten innerhalb des Sicherheitsschaltkreises vorschreiben.
Kategorie 3 hebt die Messlatte weiter an. Sie schreibt vor, dass die Sicherheitsfunktionalität nicht fehlschlagen darf, wenn ein einzelner Fehler im Sicherheitssystem vorliegt. Dies wird vor allem durch Redundanz oder durch die Zwei-Kanal-Technologie erzielt, bei der ein einzelner Fehler die Integrität des Netzwerks nicht beeinträchtigt. Darüber hinaus schreibt diese Kategorie vor, dass „sofern möglich, der Fehler erkannt werden sollte“.
Kategorie 4 erweitert Kategorie 3, da der Benutzer auch akkumulierte Fehler berücksichtigen muss.
 | ||
SILs behalten viele der Prinzipien des Kategoriesystems bei, fügen jedoch eine neue Detail- und Definitionsebene hinzu, die besser auf moderne Steuerungs- und Sicherheits-architekturen angewandt werden kann | ||
SILs behalten viele Prinzipien des Kategoriesystems bei – vielmehr fügen sie eine Detail- und Definitionsebene hinzu, die besser auf moderne Steuerungs- und Sicherheitsarchitekturen angewandt werden kann. Sie dienen dazu, die funktionale Sicherheit zu definieren, indem die Fehlerwahrscheinlichkeit für ein Gerät quantifiziert wird, während es seine Sicherheitsfunktion ausführt. Maschinen werden nach drei Stufen klassifiziert – dabei ist SIL3 die „zuverlässigste“ Stufe, während SIL1 die Stufe mit der geringsten Zuverlässigkeit darstellt. In Verbindung mit den „Hintergrundbewertungen“ verwenden SILs auch eine Kombination aus technischen Faktoren zur Bestimmung der Stufe oder Klassifizierung. Hierzu zählen auch die mittlere Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (PFHD) und die Sicherheitsfunktionen, die für einen Prozess erforderlich sind.
„Es müssen entsprechende Verwaltungssysteme implementiert sein, damit sichergestellt ist, dass nur die richtigen Personen mit dem richtigen Maß an Erfahrung am aktuellen Auftrag arbeiten.“ |
Die SILs unterscheiden sich vor allem durch die Arbeit, die im Hintergrund abläuft. Hinsichtlich der funktionalen Sicherheit müssen die entsprechenden Verwaltungssysteme implementiert sein, damit sichergestellt ist, dass nur die richtigen Personen mit dem richtigen Maß an Erfahrung am aktuellen Auftrag arbeiten.
Es müssen auch die Spezifikationen der Sicherheitsanforderung erfüllt sein. Anhand dieser wird exakt bestimmt, welche Sicherheitsanforderungen erfüllt sein müssen. Hiermit werden die Komponenten und Systeme auf ihren Aufbau, die Validierung und die Spezifikation während des Projektlebenszyklus überprüft. Gleichzeitig findet auch eine Überprüfung aller Umgebungseinflüsse sowie sonstiger Faktoren statt, die sich auf den optimalen Betrieb des Systems auswirken können.
Bei der letzten Ergänzung geht es um die Art und Weise, wie Systeme und Subsysteme angegangen werden. Dabei werden Normen wie IEC61508 berücksichtigt, die sich mit komplexen Subsystemen wie speicherprogrammierbaren Sicherheitssteuerungen befassen. Der erste Teilabschnitt umfasst Maßnahmen, mit denen sich systematische Fehler vermeiden lassen, und Folgemaßnahmen zur Steuerung des komplexen Subsystems im Falle eines Systemausfalls. Im zweiten Teilabschnitt geht es um die Sicherheit des Systems, gemessen an der Wahrscheinlichkeit gefährlicher Ausfälle pro Stunde (PFHD).
Der letzte Teilabschnitt befasst sich mit den von der Architektur abhängigen Einschränkungen. Ein Beispiel hierfür wäre die Kombination aus Fehlertoleranzfunktionen innerhalb eines Subsystems und die Abstimmung dieser Fähigkeiten mit den implementierten Diagnosefunktionen – dabei führen eine hohe Toleranz und signifikante Diagnosefunktionen zur höchsten Zahl.
Zur Bestimmung der SIL-Stufen spielen zahlreiche Faktoren eine Rolle, wie z. B. formale Methoden für die Softwareerstellung, Validierungstechniken und Modifikationen, jedoch gehen diese weiter und beleuchten die großen Unterschiede zwischen Kategorien und SILs. Im Allgemeinen sollte, unabhängig davon, ob PLs, SILs oder eine Kombination von PLs und SILs verwendet werden, die Auswahl abhängig von der Systemkomplexität getroffen werden. Damit stünde auch ein Leitfaden zur Auswahl der richtigen Methode zur Verfügung.
Bei Interesse an weiteren Informationen senden Sie eine E-Mail an folgende Adresse: info_at@ra.rockwell.com Betreff: SIL
Print This Page
Worldwide Kontaktaufnahme Sitemap Legal Notices
Impressum