English Version
ISO 13849 und IEC 61508 Begriffe (alphabetisch)

CCF
Common Cause Failures. Ausfälle mit gemeinsamer Ursache. Bei redundanten und fehlertoleranten Systemen darf man nicht per se davon ausgehen, als seien alle Einzelfehler unabhängig voneinander. Die Unabhängigkeit muss separat nachgewiesen werden. ISO 13849 hält hierfür eine Checkliste bereit, die den Entwicklungsprozess des Produktes beleuchtet (also nicht das Produkt selbst), und die bei Erreichen einer Mindestpunktezahl die gegenseitige Unabhängigkeit fast aller Einzelfehler attestiert (in dem Wörtchen "fast" liegt der Hund begraben, denn die Fehlertoleranzforderungen sind weich formuliert. Siehe hierzu diese Kategorietabelle). Üblich ist auch, einen (kleinen) Prozentsatz der Fehlerrate der redundanten Zweige als Einzelfehlerrate auszuweisen, allerdings verschlechtert sich das Gesamtergebnis dabei ganz erheblich.
Bei der ISO 13849 wurde wahrscheinlich ein solcher Faktor angenommen; dies würde den im Vergleich zum IEC 61508 relativ geringeren PFH-Umfang erklären:

Bei der ISO 13849 3E-5 bis 2,5E-8 in 5 Stufen, und beim IEC 61508 1E-5 bis 1E-9 in 4 Stufen.

Diagnose
Etwas Automatisches (kann nicht vergessen werden) und Eingebautes (gehört also zum System). Diagnose ist etwas relativ oft stattfindendes, gemessen an der zur erwartenden Anforderungsrate der Sicherheitsfunktion.
Diagnose kann eine separate Testroutine sein, oder auch das Systemverhalten an sich. Z.B. können potentiell gefährliche Ausfälle eine Sicherheitsfunktion derart ausser Kraft setzen, dass es sofort feststellbar ist. Dies gilt insbesondere bei Anlagen, bei denen Diagnose und die eigentliche Anlage nicht grundsätzlich trennbar sind.
Beispiel: Beim 4-20mA Prinzip das Verlassen dieses Bereichs.

Diagnoseabdeckung
Diagnoseabdeckung
In Worten: Die detektierbaren gefährlichen Fehlermoden geteilt durch alle gefährlichen Fehlermoden.
Die Symbole bedeuten:

Symbol Bedeutung 
Lambda
Fehlerrate
Index SD
Safe, Detectable
Index SU
Safe, Undetectable
Index DD
Dangerous, Detectable
Index DU
Dangerous, Undetectable

Aus den Definitionen für SFF und DCavg ist direkt ersichtlich, dass unter gleichen Bedingungen die DCavg höchstens gleichgross wie die SFF sein kann; für reale Systeme ist SFF immer grösser.
Beispiele:
SFF vs DCavg
Aus der Tabelle ist ersichtlich, dass DCavg im Gegensatz zur SFF das Vorhandensein sicherer Ausfälle bestraft, was einem sicheren Systemdesign glatt widerspricht.
Primäres Ziel sollte sein, möglichst wenig gefährliche Ausfälle zu haben, unabhängig davon ob detektierbar oder nicht.
Das obige Beispiel 4 ist im Grunde ein hochsicheres System, was die SFF mit 99% durchaus wiederspiegelt. Die DCavg mit nur 50% lässt dies dagegen überhaupt nicht erkennen.
Die Definition der DCavg ist daher kurzsichtig, und der Verfasser rät daher dazu, anstelle der DCavg die SFF zu verwenden.

Gefährlicher Ausfall
Ausfall, der die Sicherheitsfunktion gefährden oder gar ausser Kraft setzen kann. Besondere Aufmerksamkeit verdienen die nicht detektierbaren gefährlichen Ausfälle.

HFT

Hardware Fault Toleranz, Hardware Fehlertoleranz. Die Mindestanzahl Einzelfehler, die das System tolerieren kann, ohne die Sicherheitsfunktion zu gefährden.

Performance Level
Ein MTTFd-Bereich in der Begriffswelt der ISO 13849. Anstelle die MTTFd als Zahl anzugeben, ordnet ISO 13849 die Zahlenwerte in die Bereiche a (niedriger) bis e (höher) ein. Siehe diese Tabelle.

PFH
Probability of failure per hour. Bei kleinen Werten ist dies faktisch die Ausfallrate, bezogen auf eine Stunde.


SFF: Safe failure Fraction
Safe Failure Fraction
In Worten: Alle ausser die gefährlichen und undetektierbaren Fehlermoden geteilt durch alle Fehlermoden.

Sicherer Ausfall
Ausfall, der die Sicherheitsfunktion nicht gefährdet. Ein sicherer Ausfall kann z.B. selbstoffenbarend sein, oder die Anlage in einen sicheren Zustand überführen. In jedem Fall handelt es sich jedoch um einen Fehler.

Sicherheitsfunktion
Diejenigen Teile einer Anlage, die rein zu Sicherheitszwecken vorhanden sind. Im Idealbild der Funktionalen Sicherheit sind dies spezielle und abgrenzbare Anlagenteile (z.B. durch Nachrüstung). Oft jedoch handelt es sich um die Anlage selbst, in die die Sicherheitsfunktion untrennbar mit eingebettet ist.



Datenschutzhinweise