Belastbarer Umgang mit technischen Unsicherheiten

Statistik, RAMS & Qualitätsmanagement
Auf 950 Seiten suchen:
Sitemap
ISO 13849 Kategorie und Performance Level (PL) versus IEC 61508 Safety Integrity Level (SIL)
  Funktionale Sicherheit, Einleitung
  Sicherheit vs. Zuverlässigkeit
  IEC 61508
  ISO 13849
  IEC 61508 vs. ISO 13849
  Abschliessende Bewertung

Die Einstufung sicherheitsbezogener Systeme anhand von Kennzahlen ist zwar der bekannteste Aspekt der funktionalen Sicherheitsstandards, allerdings längst nicht der einzige. Im Grunde ist dieser Aspekt im Vergleich zum Gesamten, was einen funktionalen Sicherheitsstandard ausmacht, gar nicht mal so bedeutend.

Die Hauptsache der funktionalen Sicherheitsstandards besteht in den Anforderungen an verschiedene Phasen eines Produktlebenszyklus, insbesondere die Produktentwicklungsphase. Diesen Anforderungen wird auch der weitaus grösste Teil der Normforderungen gewidmet.
Indem man diese Anforderungen beachtet bzw. erfüllt, entwickelt man alle relevanten sicherheitstechnischen Aspekte in das Produkt hinein, sodass sich die angestrebte sicherheitstechnische Einstufung quasi von selbst ergibt, und der Nachweis dann praktisch nur noch Formsache ist.
Die sicherheitstechnische Einstufung ist demnach rückwirkend ein Beleg dafür, dass während des Entwicklungsprozesses den Anforderungen genüge getan worden ist.

Es ist also durchaus angemessen, den weiter oben als "gar nicht mal so bedeutend" bewerteten Aspekt der funktionalen Sicherheitsstandards näher zu beleuchten.

Da der IEC 61508 hier einfacher aufgebaut ist, soll mit ihm begonnen werden.

IEC 61508

Das IEC 61508 Kennzahlsystem besteht aus vier (eigentlich 5) so genannten Safety Integrity Levels, SIL. Je höher, desto sicherer:

(kein SIL, oder SIL 0), SIL 1, SIL 2, SIL 3 und SIL 4.


Für die Einstufung eines sicherheitsgerichteten Systems in einen der SIL Levels sind folgende Parameter ausschlaggebend:
Das Zusammenspiel dieser Parameter kann man mit Hilfe zweier Tabellen darstellen:

1. Zuordnung SFF und HFT zu SIL

1.a) Systeme ohne digitale ICs:


HFT=0
HFT=1 HFT=2
SFF = 0 ... <60%
SIL 1
SIL 2
SIL 3
SFF = 60% ... <90%
SIL 2
SIL 3
SIL 4
SFF = 90% ... <99% SIL 3
SIL 4
SIL 4
SFF > 99%
SIL 3
SIL 4
SIL 4

1.b) Systeme mit mindestens einem digitalen IC:


HFT=0
HFT=1 HFT=2
SFF = 0 ... <60% SIL 0
SIL 1
SIL 2
SFF = 60% ... <90% SIL 1
SIL 2
SIL 3
SFF = 90% ... <99% SIL 2
SIL 3
SIL 4
SFF > 99% SIL 3
SIL 4
SIL 4

2. Zuordnung PFh zu SIL

SIL Level
PFH
Bereichsabdeckung
SIL 1
1E-5  >  PFH  >  1E-6 Faktor 10
SIL 2
1E-6  >  PFH  >  1E-7 Faktor 10
SIL 3
1E-7  >  PFH  >  1E-8 Faktor 10
SIL 4
1E-8  >  PFH  >  1E-9 Faktor 10

Hinweis: Das > Zeichen ist auch vor 1E-9 richtig, mit der Begründung, dass IEC 61508 gefährliche Ausfallwahrscheinlichkeiten kleiner als 1E-9 pro Stunde nicht vorsieht.
Zum Vergleich: 1E-9/h wäre bei 100.000 installierten Systemen etwa ein gefährlicher Ausfall pro Kalenderjahr! In der Luftfahrt ist der Wert 1E-9 gar nicht mal besonders niedrig; Noch kleinere Werte kommen dort recht häufig vor.

ISO 13849

Das ISO 13849 Kennzahlsystem besteht aus fünf so genannten Kategorien (Kat) und 5 Performance Leveln (PL). Je höher, desto sicherer:

Kat B, Kat 1, Kat 2, Kat 3, Kat 4
PL a PL b PL c, PL d, PL e

Als Erstes seien diejenigen Kombinationen aus Kategorie und Performance Level gezeigt, die nach ISO 13849 überhaupt möglich sind:


Kat B
Kat 1
Kat 2
Kat 3
Kat 4
PL a
x

x
x

PL b
x
x
x
x

PL c

x
x
x

PL d


x
x

PL e



x
x


Für die Einstufung eines sicherheitsgerichteten Systems in eine Kategorie und einen Performance Level sind folgende Parameter ausschlaggebend:
Das Zusammenspiel dieser Parameter und die Auswirkungen auf Kategorie und Performance Level sind weit spezifischer als beim IEC 61508.
Die genauen Zusammenhänge sind in der Norm im Anhang K in einer über 2 Seiten gehenden Tabelle dargestellt. Über die rechnerischen Zusammenhänge verliert die Norm leider kein Wort. Die allgemeinen Zusammenhänge sind allerdings wie folgt:
  1. Die Kategorie ist eine Funktion aus
  2. Der Performance Level (PL) ist eine Funktion aus
ISO 13849 drückt die Sicherheit eines Kanals als MTTFd, die der gesamten Sicherheitseinrichtung dagegen als PFH aus.
Allgemein gilt folgender Zusammenhang:

Je höher die Kategorie, und je höher DCavg, desto höher der Performance Level bei gegebener MTTFd pro Kanal.
Der sicherheitstechnische Wert einer hohen MTTFd pro Kanal steigt also mit der Kategorie und dem DCavg.

Eine mittlere Zeit bis zum gefährlichen Ausfall (MTTFd) lässt sich grundsätzlich in eine Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde, PFH, umrechnen. In der Sicherheitstechnik hat man es mit kleinen Wahrscheinlichkeiten zu tun, weshalb eine lineare Näherung ohne Berücksichtigung der Exponentialfunktion ausreichend ist:
PFH = 1/MTTFd.

ISO 13849 begrenzt die MTTFd pro Kanal auf einen zulässigen Bereich zwischen 3 und 100 Jahren, was einer Fehlerrate zwischen 38 und 1,14 fpmh (failures per million hours) entspricht.

1) Kategorie


Folgende Tabelle zeigt die wichtigsten Architekturanforderungen und die geforderten Diagnoseabdeckungen.

ISO 13849
Kategorie
Architekturanforderung
Geforderte Diagnoseabdeckung
Ziel der Kategorie
B
Einfaches Sicherheitssystem. Keine besonderen Anforderungen
keine
Ausschöpfung der zuverlässigkeitstechnischen Mittel bei einfachem Systemdesign. Gesunder allgemeintechnischer Verstand.
1
Wie B, zusätzlich:
 Bewährte Prinzipien. Sicherheitstechnische Eignung ist nachgewiesen.
keine
Bewährte Prinzipien, bewährte Bauteile. Gesunder Fachverstand
2
Wie 1, zusätzlich:
Die Sicherheitseinrichtung muss in regelmässigen Abständen getestet werden.
mind. 60%
(mind. 90% *)
Erhöhung der Offenbarungswahrscheinlichkeit.
3
Wie 1, zusätzlich:
Es darf nur wenige Einzelfehler geben, die  zum Verlust der Sicherheitsfunktion führen.
In der Praxis bedeutet das meistens einfache Fehlertoleranz.
mind. 60%
(mind. 90% *)
Weitgehende Fehlertoleranz. Manche Fehler dürfen unentdeckt bleiben.
4
Wie 3, zusätzlich:
Jeder Einzelfehler muss erkannt werden, bevor die Sicherheitsfunktion angefordert wird. 
Dies bedeutet  mindestens  einfache, praktisch sogar überwiegend mehrfache Fehlertoleranz, denn ein zweiter Fehler darf nicht dazu führen, dass der erste Fehler unerkannt bleibt.
mind. 99% Fehlertoleranz. Kein Einzelfehler darf unentdeckt bleiben oder durch einen Folgefehler maskiert werden.
* führt manchmal zu einem besseren PL

2) Performance Level

Der Performance Level ist zahlenmässig lediglich eine stufenartige Einteilung der PFH in verschiedene Bereiche.
Folgende Tabelle gibt die etwas komplizierten Verhältnisse vereinfacht wieder; die genauen Bereichsgrenzen hängen etwas von der Kategorie und dem DCavg ab:

PFH Performance Level
Bereichsabdeckung
3E-5  >  PFH  >  1E-5 a
Faktor 3
1E-5  >  PFH  >  3E-6 b
Faktor 3
3E-6  >  PFH  >  1E-6 c
Faktor 3
1E-6  >  PFH  >  1E-7 d
Faktor 10
1E-7  >  PFH  >  2,5E-8 e
Faktor 4

Weiter

Weiterführende Links Analyseangebote Schulungsangebote



Datenschutzhinweise