890 likes | 1.31k Views
Schiebel Hausmesse 2010 Funktionale Sicherheit. Ivo Balaz, 24/06/2010. Einführung zur funktionalen Sicherheit Überlegungen zu Unfallursachen und Produkthaftung Normen, Übersicht zur EN 61508 / 61511 Management der funktionalen Sicherheit
E N D
Schiebel Hausmesse 2010 Funktionale Sicherheit Ivo Balaz, 24/06/2010
Einführung zur funktionalen Sicherheit • Überlegungen zu Unfallursachen und Produkthaftung • Normen, Übersicht zur EN 61508 / 61511 • Management der funktionalen Sicherheit • Sicherheitslebenszyklus • Zusammenfassung
tolerierbares Was heißt vertretbares Risiko?
tolerierbares Risikoreduzierung
Maß für die erforderliche Risikoreduzierung (IEC 61508/11) Sicherheitsintegrität ist „Wahrscheinlichkeit eines sicherheitsbezogenen Systems, die geforderte Sicherheitsfunktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes zufrieden stellend auszuführen.
Der „Risiko basierte Ansatz“ Die Vermeidung systematischer Fehler, sowie die Beherrschung systematischer und zufälliger Fehler in „sicherheits-technischen Funktionen“ (SIF)senkt das zu erwartende Risiko auf ein akzeptiertes Maß.
Fehler während des Lebenszyklus Mehr als 60% der Fehler werden in ein Sicherheits-gerichtes System eingebaut bevor es in Betrieb genommen wird. • Ursachen für das Versagen von Schutzeinrichtungen • HSE „Out of Control“ publication
EN61508 • Titel: Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer / programmierbar elektronischer Systeme (E/E/PE) • EN61508-1 Allgemeine Anforderungen • EN61508-2 Systemanforderungen • EN61580-3 Softwareanforderungen • EN61508-4 Definition • EN61508-5 Beispiele zur Risikobetrachtung • EN61508-6 Richtlinien zu Teil 2+ 3 • EN61508-7 Techniken, Beispiele
EN61511 • Titel: Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie • EN61511-1 Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware • EN61511-2 Anleitung zur Anwendung des Teils 1 • EN61511-3 Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevels
61511) Normungspyramide
BlmSchV - Definition … allgemeine Betriebspflichten: Die Beschaffenheit und Betrieb der Anlagen des Betriebsbereichs müssen dem Stand der Sicherheitstechnik etsprechen. Stand der Sicherheitstechnik: Der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der die praktische Eignung einer Maßnahme zur Verhinderung von Störfällen oder zur Begrenzung ihrer Auswirkungen gesichert erscheinen lässt. Bei der Bestimmung des Standes der Sicherheitstechnik sind insbesondere vergleichbare Verfahren, Einrichtungen oder Betriebsweisen heranzuziehen, die mit Erfolg im Betrieb erprobt worden sind.
Ziel des Managements der Funktionalen Sicherheit • Das FSM stellt den organisatorischen Rahmen zur • Einführung, • Aufrechterhaltung und • Sicherstellung aller prozesstechnischen und technischen Methoden und Maßnahmen dar, welche zur Erreichung der geforderten Funktionalen Sicherheit von sicherheitstechnischen Funktionen benötigt werden.
Delegation der Verantwortung • Es müssen grundsätzlich ein Planungs- und ein Beurteilungsteam zusammengestellt werden. Die Zusammensetzung der beiden Teams erfolgt wie folgt: • Planungsteam:Das Planungsteam führt die Projektabwicklung bis zur Übergabe an den Betrieb durch. Die Befähigungen aller Teammitglieder muss den Vorgaben der IEC61511-1 Abschnitt 5.2.2 genügen. • Beurteilungsteam:Das Beurteilungsteam führt die Beurteilung der funktionalen Sicherheit durch (gemäß IEC 61511-1 Teil 5.2.6.1). Die Befähigungen aller Teammitglieder muss den Vorgaben der IEC61511-1 Abschnitt 5.2.2 genügen.
Was wird vom Planungsteam gefordert? • Technisches Wissen bezogen auf: • Verfahrenstechnik • Verwendete Technologien • Verwendete Technik • Sicherheitstechnisches Wissen bezogen auf: • Kenntnis der Gesetze, Normen und Richtlinien • Stand der Sicherheitstechnik
Was wird vom Beurteilungsteam gefordert? • Festlegung, welche anderen Sicherheitsfachgruppen bei der Beurteilung mit wirken sollen; • Festlegung, welche Mittel erforderlich sind, um die Beurteilung vollständig durchführen zu können; • Unabhängigkeit vom Planungsteam.
Verifikation – Validierung • Verifikation Tätigkeit, mittels Analyse und/oder Tests für jede Phase des Sicherheitslebenszyklus zu demonstrieren, dass die Ergebnisse der entsprechenden Phasen den Zielen und Anforderungen für diese Phase entsprechen. • Validierung / BeurteilungTätigkeit, mittels Tests zu demonstrieren, dass das sicherheitsrelevante System den Anforderungen der Sicherheitsspezifikation (SRS) entspricht. Mindestens eine vom Projekt unabhängige Person muss im Beurteilungsteam enthalten sein.
4-Augen-Prinzip Projektteam Beurteilungsteam Projektieren + Beurteilen VDI2180 Blatt 2
Fehler während des Lebenszyklus Mehr als 60% der Fehler werden in ein Sicherheits-gerichtes System eingebaut bevor es in Betrieb genommen wird. • Ursachen für das Versagen von Schutzeinrichtungen • HSE „Out of Control“ publication
Qualifikation • Einsatz von Fachleuten • Kontinuierliche Weiterbildung der Mitarbeiter • Regelmäßiger Erfahrungsaustausch • Einsatz gleicher Teams für gleiche Anforderungen
Qualifikation • Wie fördern Sie die Qualität von Mitarbeitern? • Werden regelmäßig Weiterbildungsmaßnahmen initiiert? • Wie hoch ist die Mitarbeiterzufriedenheit? • Wie ist es um das Betriebsklima bestellt? • Gibt es Probleme bei der Personalbeschaffung?
Risikoanalyse • Ziele der Risikoanalyse sind: • Ermittlung der Gefahren und der gefahrbringenden Ereignisse des Prozesses und der zugehörigen Betriebsmittel. • Ermittlung der Ereigniskette, die zu einem gefahrbringenden Ereignis führen kann. • Bestimmung des Prozessrisikos. • Aufstellung aller Anforderungen zur Risikoreduzierung. • Bestimmung der erforderlichen sicherheitstechnischen Funktionen zur Erreichung der geforderten Risikoreduzierung.
Vorgehen bei der Risikoanalyse • Identifikation der möglichen Gefahren. • Bestimmung des möglichen Schadensausmaßes (Konsequenz). • Frage: Ist das zu erwartende Schadensausmaß akzeptabel? (Wahrscheinlichkeit?) • Spezifikation der Maßnahme zur Risikoreduzierung. HINWEIS: HAZOP (HazardandOperability Analysis) ist die meist verbreitete Methode für die Risikoanalyse von Prozessanlagen.
Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Vorgehensweise: • Bestimmung des erforderlichen SIL der sicherheitstechnischen Funktion
Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Matrixmethode für die Schutzebenen (EN61511-3 Anhang C)
Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Schutzebenen in einer Anlage
Kalibrierung der Risikographen: Schadensausmaß Personen: CA Leichte Verletzung einer Person CB Schwere, irreversible Verletzung einer oder mehrerer Personen oder Tod einer sich im Betriebsbereich befindlichen Person (Anlagenpersonal, Instandhalter, etc.) CC Tod von bis zu 2 Personen, die im Betriebsbereich befindlich sind (Anlagenpersonal, Instandhalter, etc.) oder irreversibel Verletzung oder temporäre Beeinträchtigung von Personen, die nicht unmittelbar im Betriebsbereich befindlich sind. CD Tod von mehr als 2 Personen die im Betriebsbereich befindlich sind (Anlagenpersonal, Instandhalter, etc.) oder Tod oder permanente Gesundheitsschäden von Personen, die nicht unmittelbar im Betriebsbereich befindlich sind.
Kalibrierung der Risikographen: Aufenthaltsdauer Personen: FA Weniger oder höchstens 10% der Betriebszeit, innerhalb der die Gefahr möglich ist. FB Mehr als 10% der Betriebszeit, während der die Gefahr möglich ist.
Kalibrierung der Risikographen: Wahrscheinlichkeit für die Vermeidung des unerwünschten Ereignisses: PA Möglich unter bestimmten Bedingungen (Personal kann die Gefahr erkennen und hat sowohl Möglichkeit und Fähigkeit zu handeln). PB Fast unmöglich (zumindest eine der vorher genannten Bedingungen ist nicht erfüllt).
Kalibrierung der Risikographen: Anforderungsrate ohne Schutzeinrichtung: W1 Sehr gering (W > 10 Jahre). W2 Gering (1 Jahr < W <= 10 Jahre). W3 Relativ hoch (W <= 1 Jahr).
Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Grundbegriffe • SIF = Sicherheitstechnische Funktion • Muss mit Sicherheitsintegritätslevel SIL ausgestattet sein • SIL 1 Risikoreduktion um Faktor 10 bis 100 • SIL 2 Risikoreduktion um Faktor 1.000 bis 100 • SIL 3 Risikoreduktion um Faktor 10.000 bis 1.000 • SIL 4 Risikoreduktion um Faktor 100.000 bis 10.000
Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Grundbegriffe: • Anwendungsgruppen: • High Demand System SIF ist permanent aktiv, Regelung • Low Demand System SIF spricht selten (< 1/a) an. • Maß für Risikoreduktion: • Ausfallwahrscheinlichkeit pro Ereignis bzw. pro Stunde
Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Grundbegriffe: • Anwendungsgruppen: • PDF = Probability of Failure on Demand (Versagenswahrscheinlichkeit bei niedriger Anforderung) Ausfall pro Ereignis, selten, SIF wird < 1 / Jahr benötigt • PFH = Probability of Failure per Hour (Versagenswahrscheinlichkeit bei hoher oder kontinuierlicher Anforderung) Ausfall pro Stunde, SIF ist permanent aktiv, „Regelung“ • Umrechnungsfaktor: 1 Jahr -> ca. 10.000 h
Spezifikation der Sicherheitsanforderungen • Anforderungen an die Sicherheitsfunktion: • Beschreibung der sicherheitstechnischen Funktion(en) Beschreibung, Fließbild, C&E • Definition des „Sicheren Zustandes“ • Erforderliche Reaktionszeit zur Erreichung des sicheren Zustandes • Beschreibung der Messsignale und Grenzwerte • Erforderliche Kriterien zur Erfüllung der sicherheitstechnischen Funktionz. B. Dichtes Schließen
Spezifikation der Sicherheitsanforderungen • Anforderungen an die Sicherheitsfunktion: • Betriebliche Anforderungen z. B. An- und Abfahren im Handbetrieb, Zurücksetzen nach Abschaltung, Maßnahmen im Falle eines entdeckten Fehlers, etc. • Schnittstellen zu anderen betrieblichen Einrichtungen z. B. Protokollierung • Mögliche gefahrbringende Kombination von Ausgangszuständen • Extremwerte aller Umweltbedingungen z. B. Temperaturauslegung, Ex-Bereich, Schutzart
Spezifikation der Sicherheitsanforderungen • Anforderungen an die Sicherheitsintegrität: • Sicherheitsintegritätslevel (SIL) je sicherheitstechnischer Funktion • Geschätzte Rate der Anforderungen an die sicherheitstechnischen Funktionen und deren Auslöser • Anforderungen an das Intervall der Wiederholungsprüfungen (Proof Testintervall T1) • Mittlere Reparaturzeit (MTTR = Mean Time To Reparation)
Entwurf und Planung der sicherheitstechnischen Funktion • Realisierung von Schutzfunktionen: • Welche Struktur ist zu wählen? • Wie häufig muss die Sicherheitsfunktion getestet werden? (Wiederholungsprüfung) • Wie groß ist „im Ernstfall“ die Versagenswahrscheinlichkeit? (PFD) • Was ist zu tun, damit alle (technischen Forderungen der Norm erfüllt werden? • Wie lange darf die Schutzfunktion unverändert betrieben werden?