1 / 77

Schiebel Hausmesse 2010 Funktionale Sicherheit

Schiebel Hausmesse 2010 Funktionale Sicherheit. Ivo Balaz, 24/06/2010. Einführung zur funktionalen Sicherheit Überlegungen zu Unfallursachen und Produkthaftung Normen, Übersicht zur EN 61508 / 61511 Management der funktionalen Sicherheit

gilon
Download Presentation

Schiebel Hausmesse 2010 Funktionale Sicherheit

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Schiebel Hausmesse 2010 Funktionale Sicherheit Ivo Balaz, 24/06/2010

  2. Einführung zur funktionalen Sicherheit • Überlegungen zu Unfallursachen und Produkthaftung • Normen, Übersicht zur EN 61508 / 61511 • Management der funktionalen Sicherheit • Sicherheitslebenszyklus • Zusammenfassung

  3. Definitionen

  4. tolerierbares Was heißt vertretbares Risiko?

  5. Was tun, wenn die Akzeptanzgrenze überschritten wird?

  6. tolerierbares Risikoreduzierung

  7. Maß für die erforderliche Risikoreduzierung (IEC 61508/11) Sicherheitsintegrität ist „Wahrscheinlichkeit eines sicherheitsbezogenen Systems, die geforderte Sicherheitsfunktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes zufrieden stellend auszuführen.

  8. Der „Risiko basierte Ansatz“ Die Vermeidung systematischer Fehler, sowie die Beherrschung systematischer und zufälliger Fehler in „sicherheits-technischen Funktionen“ (SIF)senkt das zu erwartende Risiko auf ein akzeptiertes Maß.

  9. SIF Strukturierungselemente (Beispiel)

  10. Fehlerzuordnung: Zuordnung zum Anlagenlebenszyklus

  11. Fehler während des Lebenszyklus Mehr als 60% der Fehler werden in ein Sicherheits-gerichtes System eingebaut bevor es in Betrieb genommen wird. • Ursachen für das Versagen von Schutzeinrichtungen • HSE „Out of Control“ publication

  12. Gesetzliche Anforderungen in der Prozessindustrie

  13. EN61508 • Titel: Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer / programmierbar elektronischer Systeme (E/E/PE) • EN61508-1 Allgemeine Anforderungen • EN61508-2 Systemanforderungen • EN61580-3 Softwareanforderungen • EN61508-4 Definition • EN61508-5 Beispiele zur Risikobetrachtung • EN61508-6 Richtlinien zu Teil 2+ 3 • EN61508-7 Techniken, Beispiele

  14. Anwendungsbereich IEC 61508

  15. EN61511 • Titel: Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie • EN61511-1 Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware • EN61511-2 Anleitung zur Anwendung des Teils 1 • EN61511-3 Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevels

  16. Anwendungsbereich der IEC61511 in der Prozessindustrie

  17. Normenaufbau

  18. Betrachtungsumfang

  19. 61511) Normungspyramide

  20. BlmSchV - Definition … allgemeine Betriebspflichten: Die Beschaffenheit und Betrieb der Anlagen des Betriebsbereichs müssen dem Stand der Sicherheitstechnik etsprechen. Stand der Sicherheitstechnik: Der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der die praktische Eignung einer Maßnahme zur Verhinderung von Störfällen oder zur Begrenzung ihrer Auswirkungen gesichert erscheinen lässt. Bei der Bestimmung des Standes der Sicherheitstechnik sind insbesondere vergleichbare Verfahren, Einrichtungen oder Betriebsweisen heranzuziehen, die mit Erfolg im Betrieb erprobt worden sind.

  21. Ziel des Managements der Funktionalen Sicherheit • Das FSM stellt den organisatorischen Rahmen zur • Einführung, • Aufrechterhaltung und • Sicherstellung aller prozesstechnischen und technischen Methoden und Maßnahmen dar, welche zur Erreichung der geforderten Funktionalen Sicherheit von sicherheitstechnischen Funktionen benötigt werden.

  22. FSM und Sicherheitslebenszyklus

  23. Projektabwicklung und Sicherheitslebenszyklus

  24. Delegation der Verantwortung • Es müssen grundsätzlich ein Planungs- und ein Beurteilungsteam zusammengestellt werden. Die Zusammensetzung der beiden Teams erfolgt wie folgt: • Planungsteam:Das Planungsteam führt die Projektabwicklung bis zur Übergabe an den Betrieb durch. Die Befähigungen aller Teammitglieder muss den Vorgaben der IEC61511-1 Abschnitt 5.2.2 genügen. • Beurteilungsteam:Das Beurteilungsteam führt die Beurteilung der funktionalen Sicherheit durch (gemäß IEC 61511-1 Teil 5.2.6.1). Die Befähigungen aller Teammitglieder muss den Vorgaben der IEC61511-1 Abschnitt 5.2.2 genügen.

  25. Was wird vom Planungsteam gefordert? • Technisches Wissen bezogen auf: • Verfahrenstechnik • Verwendete Technologien • Verwendete Technik • Sicherheitstechnisches Wissen bezogen auf: • Kenntnis der Gesetze, Normen und Richtlinien • Stand der Sicherheitstechnik

  26. Was wird vom Beurteilungsteam gefordert? • Festlegung, welche anderen Sicherheitsfachgruppen bei der Beurteilung mit wirken sollen; • Festlegung, welche Mittel erforderlich sind, um die Beurteilung vollständig durchführen zu können; • Unabhängigkeit vom Planungsteam.

  27. Verifikation – Validierung • Verifikation Tätigkeit, mittels Analyse und/oder Tests für jede Phase des Sicherheitslebenszyklus zu demonstrieren, dass die Ergebnisse der entsprechenden Phasen den Zielen und Anforderungen für diese Phase entsprechen. • Validierung / BeurteilungTätigkeit, mittels Tests zu demonstrieren, dass das sicherheitsrelevante System den Anforderungen der Sicherheitsspezifikation (SRS) entspricht. Mindestens eine vom Projekt unabhängige Person muss im Beurteilungsteam enthalten sein.

  28. 4-Augen-Prinzip Projektteam Beurteilungsteam Projektieren + Beurteilen VDI2180 Blatt 2

  29. Fehler während des Lebenszyklus Mehr als 60% der Fehler werden in ein Sicherheits-gerichtes System eingebaut bevor es in Betrieb genommen wird. • Ursachen für das Versagen von Schutzeinrichtungen • HSE „Out of Control“ publication

  30. Qualifikation • Einsatz von Fachleuten • Kontinuierliche Weiterbildung der Mitarbeiter • Regelmäßiger Erfahrungsaustausch • Einsatz gleicher Teams für gleiche Anforderungen

  31. Qualifikation • Wie fördern Sie die Qualität von Mitarbeitern? • Werden regelmäßig Weiterbildungsmaßnahmen initiiert? • Wie hoch ist die Mitarbeiterzufriedenheit? • Wie ist es um das Betriebsklima bestellt? • Gibt es Probleme bei der Personalbeschaffung?

  32. Risikoanalyse • Ziele der Risikoanalyse sind: • Ermittlung der Gefahren und der gefahrbringenden Ereignisse des Prozesses und der zugehörigen Betriebsmittel. • Ermittlung der Ereigniskette, die zu einem gefahrbringenden Ereignis führen kann. • Bestimmung des Prozessrisikos. • Aufstellung aller Anforderungen zur Risikoreduzierung. • Bestimmung der erforderlichen sicherheitstechnischen Funktionen zur Erreichung der geforderten Risikoreduzierung.

  33. Grundlage der Risikoanalyse

  34. Vorgehen bei der Risikoanalyse • Identifikation der möglichen Gefahren. • Bestimmung des möglichen Schadensausmaßes (Konsequenz). • Frage: Ist das zu erwartende Schadensausmaß akzeptabel? (Wahrscheinlichkeit?) • Spezifikation der Maßnahme zur Risikoreduzierung. HINWEIS: HAZOP (HazardandOperability Analysis) ist die meist verbreitete Methode für die Risikoanalyse von Prozessanlagen.

  35. Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Vorgehensweise: • Bestimmung des erforderlichen SIL der sicherheitstechnischen Funktion

  36. Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Matrixmethode für die Schutzebenen (EN61511-3 Anhang C)

  37. Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Schutzebenen in einer Anlage

  38. Kalibrierung der Risikographen: Schadensausmaß Personen: CA Leichte Verletzung einer Person CB Schwere, irreversible Verletzung einer oder mehrerer Personen oder Tod einer sich im Betriebsbereich befindlichen Person (Anlagenpersonal, Instandhalter, etc.) CC Tod von bis zu 2 Personen, die im Betriebsbereich befindlich sind (Anlagenpersonal, Instandhalter, etc.) oder irreversibel Verletzung oder temporäre Beeinträchtigung von Personen, die nicht unmittelbar im Betriebsbereich befindlich sind. CD Tod von mehr als 2 Personen die im Betriebsbereich befindlich sind (Anlagenpersonal, Instandhalter, etc.) oder Tod oder permanente Gesundheitsschäden von Personen, die nicht unmittelbar im Betriebsbereich befindlich sind.

  39. Kalibrierung der Risikographen: Aufenthaltsdauer Personen: FA Weniger oder höchstens 10% der Betriebszeit, innerhalb der die Gefahr möglich ist. FB Mehr als 10% der Betriebszeit, während der die Gefahr möglich ist.

  40. Kalibrierung der Risikographen: Wahrscheinlichkeit für die Vermeidung des unerwünschten Ereignisses: PA Möglich unter bestimmten Bedingungen (Personal kann die Gefahr erkennen und hat sowohl Möglichkeit und Fähigkeit zu handeln). PB Fast unmöglich (zumindest eine der vorher genannten Bedingungen ist nicht erfüllt).

  41. Kalibrierung der Risikographen: Anforderungsrate ohne Schutzeinrichtung: W1 Sehr gering (W > 10 Jahre). W2 Gering (1 Jahr < W <= 10 Jahre). W3 Relativ hoch (W <= 1 Jahr).

  42. Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Grundbegriffe • SIF = Sicherheitstechnische Funktion • Muss mit Sicherheitsintegritätslevel SIL ausgestattet sein • SIL 1  Risikoreduktion um Faktor 10 bis 100 • SIL 2  Risikoreduktion um Faktor 1.000 bis 100 • SIL 3  Risikoreduktion um Faktor 10.000 bis 1.000 • SIL 4  Risikoreduktion um Faktor 100.000 bis 10.000

  43. Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Grundbegriffe: • Anwendungsgruppen: • High Demand System  SIF ist permanent aktiv, Regelung • Low Demand System  SIF spricht selten (< 1/a) an. • Maß für Risikoreduktion: • Ausfallwahrscheinlichkeit pro Ereignis bzw. pro Stunde

  44. Zuordnung der Sicherheitsfkt. Zu Schutzebenen • Grundbegriffe: • Anwendungsgruppen: • PDF = Probability of Failure on Demand (Versagenswahrscheinlichkeit bei niedriger Anforderung) Ausfall pro Ereignis, selten, SIF wird < 1 / Jahr benötigt • PFH = Probability of Failure per Hour (Versagenswahrscheinlichkeit bei hoher oder kontinuierlicher Anforderung) Ausfall pro Stunde, SIF ist permanent aktiv, „Regelung“ • Umrechnungsfaktor: 1 Jahr -> ca. 10.000 h

  45. Spezifikation der Sicherheitsanforderungen

  46. Spezifikation der Sicherheitsanforderungen • Anforderungen an die Sicherheitsfunktion: • Beschreibung der sicherheitstechnischen Funktion(en) Beschreibung, Fließbild, C&E • Definition des „Sicheren Zustandes“ • Erforderliche Reaktionszeit zur Erreichung des sicheren Zustandes • Beschreibung der Messsignale und Grenzwerte • Erforderliche Kriterien zur Erfüllung der sicherheitstechnischen Funktionz. B. Dichtes Schließen

  47. Spezifikation der Sicherheitsanforderungen • Anforderungen an die Sicherheitsfunktion: • Betriebliche Anforderungen z. B. An- und Abfahren im Handbetrieb, Zurücksetzen nach Abschaltung, Maßnahmen im Falle eines entdeckten Fehlers, etc. • Schnittstellen zu anderen betrieblichen Einrichtungen z. B. Protokollierung • Mögliche gefahrbringende Kombination von Ausgangszuständen • Extremwerte aller Umweltbedingungen z. B. Temperaturauslegung, Ex-Bereich, Schutzart

  48. Spezifikation der Sicherheitsanforderungen • Anforderungen an die Sicherheitsintegrität: • Sicherheitsintegritätslevel (SIL) je sicherheitstechnischer Funktion • Geschätzte Rate der Anforderungen an die sicherheitstechnischen Funktionen und deren Auslöser • Anforderungen an das Intervall der Wiederholungsprüfungen (Proof Testintervall T1) • Mittlere Reparaturzeit (MTTR = Mean Time To Reparation)

  49. Entwurf und Planung der sicherheitstechnischen Funktion • Realisierung von Schutzfunktionen: • Welche Struktur ist zu wählen? • Wie häufig muss die Sicherheitsfunktion getestet werden? (Wiederholungsprüfung) • Wie groß ist „im Ernstfall“ die Versagenswahrscheinlichkeit? (PFD) • Was ist zu tun, damit alle (technischen Forderungen der Norm erfüllt werden? • Wie lange darf die Schutzfunktion unverändert betrieben werden?

More Related