Sicherheitsintegritätslevel – Wikipedia
Sicherheitsintegritätslevel (SIL) ist definiert als relativer Grad der Risikominderung, der von einer Sicherheitsfunktion bereitgestellt wird, oder um ein Zielniveau der Risikominderung anzugeben. Einfach ausgedrückt ist SIL ein Leistungsmaß, das für eine sicherheitstechnische Funktion (SIF) erforderlich ist.
Die Anforderungen an einen bestimmten SIL sind nicht in allen funktionalen Sicherheitsstandards konsistent. In den Normen zur funktionalen Sicherheit basierend auf der Norm IEC 61508 sind vier SILs definiert, wobei SIL 4 am zuverlässigsten und SIL 1 am wenigsten ist. Der anwendbare SIL wird basierend auf einer Reihe quantitativer Faktoren in Kombination mit qualitativen Faktoren wie Entwicklungsprozess und Sicherheitslebenszyklusmanagement bestimmt.
Abtretung[edit]
Die Zuweisung von SIL ist eine Übung in der Risikoanalyse, bei der das mit einer bestimmten Gefahr verbundene Risiko, gegen das ein SIF geschützt werden soll, ohne die vorteilhafte risikomindernde Wirkung des SIF berechnet wird. Dieses uneingeschränkte Risiko wird dann mit einem tolerierbaren Risikoziel verglichen. Der Unterschied zwischen dem ungeminderten Risiko und dem tolerierbaren Risiko, wenn das nicht geminderte Risiko höher als tolerierbar ist, muss durch eine Risikominderung des SIF ausgeglichen werden. Dieser Betrag der erforderlichen Risikominderung korreliert mit dem SIL-Ziel. Im Wesentlichen korreliert jede erforderliche Größenordnung der Risikominderung mit einer Erhöhung einer der erforderlichen SIL-Zahlen.
Es gibt mehrere Methoden, um einen SIL zuzuweisen. Diese werden normalerweise in Kombination verwendet und können umfassen:
- Risikomatrizen
- Risikodiagramme
- Ebenen der Schutzanalyse (LOPA)
Von den oben vorgestellten Methoden wird LOPA mit Abstand am häufigsten von großen Industrieanlagen verwendet.
Die Zuweisung kann sowohl mit pragmatischen als auch mit kontrollierbaren Ansätzen getestet werden, wobei die von der britischen HSE veröffentlichten Leitlinien zur SIL-Zuweisung angewendet werden.[1] SIL-Zuweisungsprozesse, die den HSE-Leitfaden verwenden, um aus Risikomatrizen entwickelte Zuweisungen zu ratifizieren, wurden gemäß IEC EN 61508 zertifiziert.
Probleme[edit]
Bei der Verwendung von Sicherheitsintegritätsstufen gibt es mehrere Probleme. Diese lassen sich wie folgt zusammenfassen:[citation needed]
- Schlechte Harmonisierung der Definition zwischen den verschiedenen Normungsgremien, die SIL . verwenden
- Prozessorientierte Metriken zur Ableitung von SIL
- Schätzung des SIL basierend auf Zuverlässigkeitsschätzungen
- Systemkomplexität, insbesondere in Softwaresystemen, die eine SIL-Schätzung schwierig bis unmöglich macht
Diese führen zu falschen Aussagen wie „Dieses System ist ein SIL N-System, weil der bei seiner Entwicklung angewandte Prozess der Standardprozess für die Entwicklung eines SIL-N-Systems war“ oder die Verwendung des SIL-Konzepts aus dem Kontext heraus wie „ Dies ist ein SIL 3-Wärmetauscher“ oder „Diese Software ist SIL 2“. Nach IEC 61508 muss sich das SIL-Konzept auf die gefahrbringende Ausfallrate eines Systems beziehen, nicht nur auf dessen Ausfallrate oder die Ausfallrate eines Komponententeils, wie der Software. Die Definition der gefährlichen Ausfallarten durch Sicherheitsanalyse ist für die richtige Bestimmung der Ausfallrate unabdingbar.[2]
SIL gilt nur für elektrische Steuerungen und SIL-Nummern beziehen sich nicht auf die Nummerierung, die mit den Kategorien in EN 954-1 verbunden ist.
Zertifizierung[edit]
Die Norm IEC 61508 der International Electrotechnical Commission (IEC) definiert SIL anhand von Anforderungen, die in zwei große Kategorien unterteilt sind: Hardware-Sicherheitsintegrität und systematische Sicherheitsintegrität. Ein Gerät oder System muss die Anforderungen für beide Kategorien, um einen bestimmten SIL zu erreichen.
Die SIL-Anforderungen für die Hardwaresicherheitsintegrität basieren auf einer probabilistischen Analyse des Geräts. Um einen bestimmten SIL zu erreichen, muss das Gerät die Ziele für die maximale Wahrscheinlichkeit eines gefährlichen Ausfalls und einen minimalen Anteil an sicherem Ausfall erfüllen. Das Konzept des „gefährlichen Ausfalls“ muss für das jeweilige System streng definiert werden, normalerweise in Form von Anforderungsbeschränkungen, deren Integrität während der gesamten Systementwicklung überprüft wird. Die tatsächlich erforderlichen Ziele variieren in Abhängigkeit von der Wahrscheinlichkeit eines Bedarfs, der Komplexität der Vorrichtung(en) und der verwendeten Redundanzarten.
PFD (Wahrscheinlichkeit gefährlicher Ausfälle bei Bedarf) und RRF (Risikominderungsfaktor) des Betriebs mit geringer Anforderung für verschiedene SILs, wie in IEC EN 61508 definiert, lauten wie folgt:
| SIL | PFD | PFD (Leistung) | RRF |
|---|---|---|---|
| 1 | 0,1–0,01 | 10-1 – 10-2 | 10–100 |
| 2 | 0,01–0,001 | 10-2 – 10-3 | 100–1000 |
| 3 | 0,001–0,0001 | 10-3 – 10-4 | 1000–10.000 |
| 4 | 0,0001–0,00001 | 10-4 – 10-5 | 10.000–100.000 |
Für den Dauerbetrieb ändern sich diese wie folgt. (Wahrscheinlichkeit gefährlicher Ausfälle pro Stunde)
| SIL | PFH | PFH (Leistung) | RRF |
|---|---|---|---|
| 1 | 0,00001-0,000001 | 10-5 – 10-6 | 100.000–1.000.000 |
| 2 | 0,00001-0,0000001 | 10-6 – 10-7 | 1.000.000 – 10.000.000 |
| 3 | 0,0000001-0,00000001 | 10-7 – 10-8 | 10.000.000 – 100.000.000 |
| 4 | 0,00000001-0,000000001 | 10-8 – 10-9 | 100.000.000–1.000.000.000 |
Gefahren eines Kontrollsystems müssen identifiziert und anschließend durch Risikoanalysen analysiert werden. Die Minderung dieser Risiken wird fortgesetzt, bis ihr Gesamtbeitrag zur Gefahr als akzeptabel angesehen wird. Das tolerierbare Ausmaß dieser Risiken wird als Sicherheitsanforderung in Form einer angestrebten „Wahrscheinlichkeit eines gefährlichen Ausfalls“ in einem bestimmten Zeitraum, angegeben als diskreter SIL, angegeben.
Zertifizierungsschemata werden verwendet, um festzustellen, ob ein Gerät einen bestimmten SIL erfüllt.[3] Die Anforderungen dieser Schemata können entweder durch die Einführung eines strengen Entwicklungsprozesses oder durch die Feststellung, dass das Gerät über eine ausreichende Betriebshistorie verfügt, um zu argumentieren, dass es sich im Einsatz bewährt hat, erfüllt werden.
Elektrische und elektronische Geräte können für den Einsatz in funktionalen Sicherheitsanwendungen nach IEC 61508 zertifiziert werden, sofern Anwendungsentwickler den erforderlichen Nachweis erbringen, dass auch die Anwendung einschließlich des Geräts konform ist. IEC 61511 ist eine anwendungsspezifische Anpassung der IEC 61508 für den Bereich Process Industry. Diese Norm wird unter anderem in der petrochemischen und gefährlichen chemischen Industrie verwendet.
Sicherheitsstandards[edit]
Die folgenden Standards verwenden SIL als Maß für Zuverlässigkeit und/oder Risikominderung.
- ANSI/ISA S84 (Funktionale Sicherheit sicherheitstechnischer Systeme für die Prozessindustrie)
- IEC 61508 (Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer sicherheitsbezogener Systeme)
- IEC 61511 (Sicherheitstechnische Systeme für die Prozessindustrie)
- IEC 61513 (Kernindustrie)
- IEC 62061 (Sicherheit von Maschinen)
- EN 50128 (Bahnanwendungen – Software für Bahnsteuerung und -sicherung)
- EN 50129 (Bahnanwendungen – Sicherheitsbezogene elektronische Systeme für die Signalgebung)
- EN 50657 (Bahnanwendungen – Software an Bord von Schienenfahrzeugen)
- EN 50402 (feste Gaswarnsysteme)
- ISO 26262 (Automobilindustrie)
- MISRA, diverse (Richtlinien zur Sicherheitsanalyse, Modellierung und Programmierung in Automobilanwendungen)
- Defense Standard 00-56 Issue 2 – Unfallfolgen
Die Verwendung eines SIL in bestimmten Sicherheitsnormen kann zu anderen Zahlenfolgen oder Definitionen führen als in IEC EN 61508.[2]
Siehe auch[edit]
Es gibt eine ganze Familie von B2-Level-Normen, die mehr oder weniger auf der IEC 61508 basieren und auch SIL verwenden, zB IEC 62061 und ISO 26262.
Verweise[edit]
[4][5]
- ^ M. Charlwood, S. Turner und N. Worsell, UK Health and Safety Executive Research Report 216, „Eine Methodik für die Zuordnung von Sicherheitsintegritätslevels (SILs) zu sicherheitsbezogenen Steuerungsfunktionen, die durch sicherheitsbezogene elektrische, elektronische und programmierbare Elektronik implementiert werden“ Steuerungssysteme von Maschinen”, 2004. ISBN 0-7176-2832-9
- ^ ein B Redmill, Felix (2000). “Verstehen der Verwendung, des Missbrauchs und des Missbrauchs von Sicherheitsintegritätsstufen” (PDF). Abgerufen 16. Februar 2017.
- ^ CASS-Schema, Konformitätsbewertung von Sicherheitssystemen, http://www.cass.uk.net/
- ^ Marszal, Edward, „Auswahl der Sicherheitsintegrität – Systematische Methoden einschließlich Layer of Protection Analysis“, The Instrumentation, Systems, and Automation Society, Research Triangle Park, NC, USA, 2002.
- ^ Mitchell, KJ, Longendelpher, TM, Kuhn, MC, “Safety Instrumented Systems Engineering Handbook”, Kenexis, Columbus, OH, USA, 2010.
Lehrbücher[edit]
D. Smith, K. Simpson, “Safety Critical Systems Handbook – A Straightforward Guide to Functional Safety, IEC 61508 (Ausgabe 2010) und zugehörige Standards” (3. Ausgabe, ISBN 978-0-08-096781-3, 270 Seiten).
M. Punch, „Funktionale Sicherheit für die Bergbauindustrie – ein integrierter Ansatz mit AS(IEC)61508, AS(IEC)62061 und AS4024.1.“ (1. Auflage, ISBN 978-0-9807660-0-4, im A4-Taschenbuch, 150 Seiten). www.marcuspunch.com
MJM Houtermans, „SIL and Functional Safety in a Nutshell (Risknowlogy Best Practices Series, 1. Auflage, eBook im PDF-, ePub- und iBook-Format, 40 Seiten).* SIL und funktionale Sicherheit auf den Punkt gebracht
H. Hartmann, H. Thomas, E. Scharpf, “Praktische SIL-Zielauswahl – Risikoanalyse nach IEC 61511 Safety Lifecycle” ISBN 978-1-934977-03-3 [1]
M. Medoff, R. Faller, “Funktionale Sicherheit – Ein IEC 61508 SIL 3-konformer Entwicklungsprozess, (dritte Ausgabe)” ISBN 978-1-934977-08-8 [2]
Recent Comments