Funktionale Sicherheit

Autor: Mikael Peltonen, CMSE® Certified Machinery Safety Expert, HSE Engineer, Process Industries Finland

Bevor mit der Konzeption sicherheitsrelevanter Systeme begonnen wird, müssen das tolerierbare Risikoniveau und die anwendbaren Risikobewertungsmethoden und -standards in Übereinstimmung mit der Sicherheitspolitik des Unternehmens festgelegt werden.

Die Rollen und Zuständigkeiten der verschiedenen Beteiligten müssen dabei definiert werden, wobei der gesamte Lebenszyklus des Systems abgedeckt werden sollte, insbesondere bei Projekten mit mehreren Beteiligten.

Alles beginnt mit der Risikobewertung

Die Risiken können durch verschiedene Schutzmaßnahmen gemindert werden, z. B. durch sichere Konstruktionsmaßnahmen, passive und aktive technische Schutzmaßnahmen sowie sichere Arbeitsverfahren. Um ein tolerierbares Risikoniveau zu erreichen, ist oft eine Kombination dieser Methoden erforderlich.

Sicherheitsbezogene Systeme vermindern erkannte Risiken durch die Implementierung von Sicherheitsfunktionen, welche die Maschine oder den Prozess in einen sicheren Zustand versetzen, wenn das System ein gefährliches Ereignis erkennt. Bei der Risikobewertung muss auch beurteilt werden, ob die Implementierung der Sicherheitsfunktion andere Gefahren mit sich bringt.

Eine Sicherheitsfunktion kann z. B. eine Stoppfunktion sein, die durch eine verriegelte bewegliche Schutzeinrichtung ausgelöst wird. Wenn die Schutzeinrichtung während des gefährlichen Betriebs geöffnet wird, sendet die Sicherheitsfunktion einen Stoppbefehl an den Motor, so dass die gefährlichen Funktionen gestoppt werden können, bevor eine Person den Gefahrenbereich erreichen kann.

In der Risikobeurteilung sollten die relevanten Merkmale der geforderten Funktionalität angegeben werden, einschließlich, aber nicht unbedingt beschränkt auf:

• Das auslösende Ereignis
• Sicherheitsrelevante Reaktionen
• Gefährliche Teile der Maschine
• Anwendbare Betriebsart, falls zutreffend

Sobald der Bedarf an einer Sicherheitsfunktion mit ihren Merkmalen in der Risikobewertung ermittelt wurde, muss der Grad der für die Funktion erforderlichen Risikominderung bestimmt werden. Die funktionale Sicherheit wird oft mit den Begriffen Performance Level (PL) und Safety Integrity Level (SIL) in Verbindung gebracht.

Beide sind in der Welt der funktionalen Sicherheit tatsächlich relevant: Sicherheitsfunktionen bieten Risikominderung auf einem PL oder SIL. Dabei handelt es sich um diskrete Stufen, welche die Fähigkeit von sicherheitsrelevanten Teilen beschreiben, eine Sicherheitsfunktion auszuführen. Bei der Risikobewertung muss entweder eine PL- oder SIL-Anforderung für die Sicherheitsfunktion festgelegt werden. Je höher die PL- oder SIL-Anforderung ist, desto größer ist die vom System geforderte Risikominderung.

Von der Risikobewertung bis zur Realisierung von Sicherheitsfunktionen

Nachdem die Risikobewertung abgeschlossen ist, beginnt der Entwurfsprozess der Sicherheitsfunktion mit der Erstellung eines Spezifikationsdokuments. Dieses Dokument dient als Rahmen, in dem die Merkmale der Sicherheitsfunktion im Detail beschrieben werden.

Die identifizierten Teile des Systems, die die Sicherheitsfunktion ausführen, werden ebenfalls dokumentiert. In dem bereits erwähnten Beispiel einer Sicherheitsfunktion könnte die Architektur der Sicherheitsfunktion wie in der folgenden Abbildung aussehen:

Damit eine Sicherheitsfunktion ihre Risikominderungsziele erreichen kann, müssen sowohl quantitative als auch qualitative Aspekte berücksichtigt werden. Daher muss der Entwurfsprozess der Sicherheitsfunktion sowohl gelegentliche Hardware-Ausfälle, als auch systematische und sicherheitsrelevante Software-Ausfälle berücksichtigen. Dies ist selbst dann unerlässlich, wenn die Komponenten, die die Sicherheitsfunktion ausführen, von den Herstellern bereits PL- oder SIL-zertifiziert sind.

Der hohe Zuverlässigkeitswert des Endschalters allein reicht nicht aus, wenn die Komponente den Bedingungen der Installationsumgebung nicht standhält. Eine zweikanalige Lösung kann unterschiedliche Hardware erfordern, wobei ein Kanal eine andere Technologie verwendet als der andere. Der Lebenszyklus der sicherheitsrelevanten Softwareentwicklung muss planvoll sein, was die Bedeutung der Dokumentation unterstreicht. Die Bedeutung der qualitativen Aspekte sollte nicht unterschätzt werden.

Neben dem Entwurf muss der Verifizierung und Validierung der Sicherheitsfunktionen eine hohe Bedeutung beigemessen werden.

Verifikationsverfahren müssen in jeder Phase des Lebenszyklus der funktionalen Sicherheit durchgeführt werden. Mit der Verifikation wird überprüft, ob die Sicherheitsfunktionen die PL- oder SIL-Anforderungen sowie andere für die jeweilige Lebenszyklusphase festgelegte Ziele erfüllen. Die Validierung wird durchgeführt, um nachzuweisen, dass die Sicherheitsfunktionen in Übereinstimmung mit der Spezifikation der Sicherheitsanforderungen implementiert wurden und für den vorgesehenen Einsatz geeignet sind. Geeignete Methoden zur Durchführung von Verifizierungs- und Validierungsaktivitäten sind u.a. die Überprüfung der Dokumentation und Tests.

Leitfaden für Sicherheitsfunktionen

Sowohl im Bereich der Maschinensicherheit als auch im Bereich der Prozesssicherheit gibt es Normen zur funktionalen Sicherheit, die zur Erfüllung der sicherheitsbezogenen Systemanforderungen herangezogen werden können. Im Bereich der Maschinensicherheit kann entweder EN ISO 13849 Teil 1 und 2 oder IEC 62061 verwendet werden, während IEC 61511 die primäre Norm für funktionale Sicherheit im Bereich der Prozesssicherheit ist.

Wie in der Abbildung unten dargestellt, sind sowohl die IEC 61511 als auch die IEC 62061 sektorspezifische Implementierungen der IEC 61508, einer generischen Norm für die funktionale Sicherheit.

Funktionale Sicherheit ist Teil der Gesamtsicherheit

Es ist wichtig zu bedenken, dass die funktionale Sicherheit ein Teil der Gesamtsicherheit einer Maschine oder eines Prozesses ist. Daher ist es wichtig, sich den Zusammenhang zwischen funktionaler Sicherheit und Risikobewertung vor Augen zu führen.

Die sicherheitsbezogenen Managementsysteme müssen unter anderem einen Änderungsmanagementprozess, das Streben nach kontinuierlicher Verbesserung und Verfahren zur Auswahl einer kompetenten Organisation und von Personen umfassen. Wie das Sicherheitsmanagement im Allgemeinen erfordert auch die funktionale Sicherheit einen Top-down-Ansatz, bei dem die oberste Leitung die Verantwortung für den Prozess übernimmt und das Engagement auf allen Ebenen der Organisation fördert.

AFRYs Dienstleistungen für funktionale Sicherheit

Unser Team aus zertifizierten Sicherheitsexpertinnen und -experten mit technischem Hintergrund versteht die Merkmale und Funktionalitäten der industriellen Prozesse, Maschinen und Anlagen umfassend.

Mit Hilfe von AFRY können Sie die Eignung und Wirksamkeit von Sicherheitsfunktionen gewährleisten und damit sicherstellen, dass funktionale Sicherheitsprozesse den einschlägigen Normen entsprechen – immer unter Berücksichtigung des gesamten Lebenszyklus der funktionalen Sicherheit.

• Strategien und Managementpläne zur funktionalen Sicherheit
• Einhaltung der Vorschriften zur funktionalen Sicherheit und Dokumentation
• Risikobewertungen zur Prozess- und Maschinensicherheit
• Entwurf und Entwicklung anderer Mittel zur Risikominderung
• Implementierungsverfahren für sicherheitsbezogene Systeme (SRS)
• Bewertung des Sicherheitsintegritätslevels (SIL) (IEC 61508 / IEC 61511 / IEC 62061) und Bestimmung des Performance Levels (PL) (EN ISO 13849)
• Zuweisung von Sicherheitsfunktionen
• Spezifikation der Sicherheitsanforderungen für das sicherheitstechnische System (SIS)
• Entwurf und Konstruktion des sicherheitstechnischen Systems (SIS)
• Verifizierung
• Funktionales Sicherheitsmanagement in Betrieb und Instandhaltung

Wenden Sie sich an unser Experten-Team, um mehr darüber zu erfahren, wie wir Sie dabei unterstützen können, die Übereinstimmung von Prozessen der funktionalen Sicherheit mit den einschlägigen Normen zu gewährleisten und die Eignung und Wirksamkeit von Sicherheitsfunktionen sicherzustellen.