Heiko Schween HIMA Paul Hildebrandt GmbH + Co KG

SIL in der Praxis 2013

Sicherheitsanforderungsspezifikation (Lastenheft)

2

Was nutzt die beste Planung wenn schon die Spezifikation nicht stimmt?

3

Europäische Kommission über Sicherheits-Management-Systeme

… eines der Hauptziele dieses Ausschusses ist die Verhinderung oder Reduzierung von Unfällen, die durch Management Faktoren ausgelöst werden. Innerhalb der europäischen Union waren seit 1982 bei über 90% aller Unfälle organisatorische Fehler der wesentliche ursächliche Faktor.

Source: Chemical Accidents (Seveso II) - Legislation

Unfälle verursacht durch Management Faktoren

> 90%

(Die Seveso II Richtlinie wurde in Deutschland durch die Störfall-Verordnung - 12_ BImSchV umgesetzt)

4

Quelle: DIN EN 61511-1 - Bild 8

Gefährdungs- und Risiko-Beurteilung 1

Zuordnung der Sicherheitsfunktionen zu den Schutzebenen 2

Spezifikation der Sicherheits- anforderungen an das SIS 3

Entwurf u.Planung anderer Maß-nahmen zur Risikoreduzierung Entwurf und Planung des SIS

4

Außerbetriebsetzung 8

Änderung 7

Betrieb und Instandhaltung 6

Montage, Inbetriebnahme und Validierung 5

Stufe 5

Stufe 4

Stufe 3

Stufe 2

Stufe 1

Aufbau und Planung des Sicher-heits-lebens- zyklus

11

Manage-ment und Beurtei-lung der funktio-nalen Sicher-heit und Audits

10

Verifika-tion

9

Sicherheitslebenszyklus

5

Die Sicherheitsanforderungsspezifikation (SRS) ist der wichtigste Bestandteil des FSM (Management der funktionalen Sicherheit)

Warum ?

  Häufigste Fehlerursache im Lebenszyklus:

Basis der Erstellung der SRS ist die Gefahren- und Risikoanalyse

43%

Note : Based on 34 investigated incidents in the UK Health and Safety Executive (GB): Out of Control. Why control systems go wrong and how to prevent failure? 1995 (2nd edition 2003, source: © Health & Safety Executive HSE – UK)

Sicherheitsanforderungsspezifikation (SRS)

6

Probleme mit der Spezifikation

Wie es der Kunde

erklärt hat

Dokumentation?

Wie es verkauft wurde

Wie es projektiert

wurde

Wie es gebaut wurde

Wie es getestet wurde

Wartung? Was der Kunde

eigentlich wollte

7

Anforderungen an die Sicherheitsintegrität

Anforderungen an die Sicherheitsfunktion

Spezifikation der Sicherheitsanforderungen Alle Anforderungen für das Design Sicherheitstechnischer Funktionen (SRS) müssen spezifiziert werden

Sicherheitsanforderungsspezifikation (Safety Requirements Specification SRS)

8

Anforderungen an die Funktionen Hardware/System-Anforderungen

9

Anforderungen an das System

  Prozesseingänge (Sensoren) sowie deren Grenzwerte

  Prozessausgänge (Aktoren) und deren Aktion

  Prozessparameter für den normalen Betrieb

  Anforderungen an die Architektur (Verfügbarkeit / Sicherheit / Regelwerke)

  Umgebungsbedingungen für alle Systeme / Teilsysteme

  Einfluss durch Medienberührung (Sensor und Aktor)

  Anforderungen durch gefährliche Umgebungsbedingungen (z.B. ATEX)

  Definition des sicheren Zustands

10

Anforderungen an das System

  Wird Hilfsenergie für den sicheren Zustand benötigt (energized / de-energized to trip) ?

  Anforderungen bei Spannungsausfall und Wiederkehr

  Anforderungen an das zeitliche Verhalten (Reaktionszeit, Prozess-Sicherheitszeit, Diskrepanzzeiten, zyklische Abarbeitungsfolgen)

  Rücksetzbedingungen

  Bedienereingriffe / manuelles Abschalten

  Technische und organisatorische Anforderungen für Bypässe

  Anforderungen für Wartungseingriffe (Wartungsschalter / Forcen)

  Bedienerschnittstellen

11

Anforderungen an das System

  Schnittstellen zu anderen Systemen (BPCS usw.)

  Mögliche gefahrbringende Kombinationen von Ausgangszuständen

  Weitere technische Anforderungen an das System (Korrossion, dichtes Schließen, Temperaturfestigkeit usw.)

  Anforderungen durch andere Regelwerke (WHG, MRL, DGR usw.)…

12

Anforderungen an die Funktionen Software-Anforderungen

13

Ablaufdiagramme

Schritt 01

Schritt 02 NW

Schritt 03 NW

Schritt 04 NW

Schritt 05 NW

Schritt 06 NW

Schritt 07 NW

Betriebsalarm GMA

Lampe Q S+ öffnet (blinken)

Dampfventil NW öffnen

Dampfventil SW öffnenLampe Q S+ öffnet (dauerlicht)Taster "Dampf Auf" blinkt NW

Taster "Dampf Auf" blinkt SW

Taster "Dampf Auf" Dauerlicht NW Schritt 02 SW

Schritt 03 SW

Schritt 04 SW

Schritt 05 SW

Schritt 06 SW

Schritt 07 SW

Taster "Dampf Auf" Dauerlicht SW

Freigabe NH3 Ventil NW

Taster "NH3 Auf" blinkt schnellFreigabe NH3 Ventil SWTaster "NH3 Auf" blinkt schnell

NH3 Ventil NW öffnen

Taster "NH3 Auf" blinkt langsam

NH3 Ventil SW öffnen

Taster "NH3 Auf" blinkt langsam

Taster "NH3 Auf" dauerlicht Taster "NH3 Auf" dauerlicht

Taster "Dampf+NH3 Zu" blinkt Taster "Dampf+NH3 Zu" blinkt

Dampfventil SW schließenDampfventil NW schließen

PAT Sensor U18W 01 > 30ppm (A+) ≧ 2 von 6TON 5 sec

PAT Sensor U18W 02 > 30ppm (A+)

PAT Sensor U18W 03 > 30ppm (A+)

PAT Sensor U18W 04 > 30ppm (A+)

PAT Sensor U18W 05 > 30ppm (A+)

PAT Sensor U18W 06 > 30ppm (A+)

Automatik EIN

TON 120 sec

RM 2 Dampfventil NWRM 1 Dampfventil NW & RM 2 Dampfventil SW

RM 1 Dampfventil SW &

TON30 sec

TON30 sec

Taster "NH3 Auf" NW Taster "NH3 Auf" SW

RM NH3 Ventil SWRM NH3 Ventil NW

Taster "Dampf+NH3 Zu" Taster "Dampf+NH3 Zu"

NH3 Ventil NW schließen NH3 Ventil NW schließen

RM NH3 Ventil NW TON30 sec RM NH3 Ventil NW TON

30 sec

Lüftung Ausschalten

14

Ablaufdiagramme (wesentliche Merkmale)

Vorteile:

  Sehr einfach nachvollziehbar

  Gute Möglichkeit einen Überblick über die grundlegenden Abläufe zu verschaffen

Nachteile:

  Bei vollständiger Abbildung sehr komplex

  Störzustände nur sehr schwer oder überhaupt nicht zu berücksichtigen…

15

Ursache - Wirkungsdiagram

16

Ursache – Wirkungsdiagram (wesentliche Merkmale)

Vorteile:

  Sehr einfach nachvollziehbar

  Exakte Darstellung fundamentaler Funktionen

Nachteile:

  Nicht geeignet für komplexe Funktionen oder Abläufe…

17

Funktionspläne

18

Funktionspläne (wesentliche Merkmale)

Vorteile:

  Vollständige Beschreibung komplexer Funktionen und Abläufe möglich

  Stör- und Fehlerzustände können dargestellt werden

Nachteile:

  Erfordert mit zunehmender Komplexität zusätzliche Erläuterungen…

19

UML-Zustandsdiagramme

20

UML-Zustandsdiagramme (wesentliche Merkmale)

Vorteile:

  Vollständige und eindeutige Beschreibung von Funktionen

Nachteile:

  Mit zunehmender Komplexität der Funktion sehr aufwendig…

21

Anforderungen an die Sicherheitsintegrität

22

Anforderungen an die Sicherheitsintegrität

  Sicherheitsintegritätslevel (SIL) je sicherheitstechnischer Funktion

  Betriebsart der Funktion (Anforderung oder Kontinuierlich). Dieses wird durch abschätzen der Anforderungen an die sicherheitstechnischen Funktionen und deren Auslöser bestimmt

  Anforderungen an das Intervall der Wiederholungsprüfungen (Proof Test Interval T1)

  Mittlere Reparaturzeit (MTTR = Mean Time To Restoration)

  Anforderungen an die Architektur und Diagnose um entsprechenden SIL zu erreichen

  Anforderungen an Wartungs- und Testeinrichtungen…

23

Spezifikation Allgemeine Vorgaben

24

Zusätzliche Vorgaben helfen die Qualität zu erhöhen

  Vollständige und aussagefähige Spezifikation

  Strukturierte Vorgehensweise (modular und übersichtlicht strukturiert)

  Rückwirkungsfreiheit zu Fremdsystemen und zwischen Funktionen

  Logik Erstellung von links nach rechts, von oben nach unten

  Begrenzung der Verschachtelungstiefe

  Eindeutige und klare Seitenbezeichnung

  Variablennamen und Beschreibungen sollten aussagefähig sein

  Das Signalkonzept (1-Aktiv, 0-Aktiv) muss einheitlich sein…

25

Zusätzliche Vorgaben helfen die Qualität zu erhöhen

  Rückführungsschleifen sollen vermieden werden

  Grenzfälle bei Analogwertverarbeitung sind zu berücksichtigen (z.B. Überlauf, 0-Div)

  Alarme und Systemzustände müssen verarbeitet und gemeldet werden

  Der Programmierer muss qualifiziert sein (Nachweis)…

26

Verwendung interner Standards

27

Spezifikation Beispiel

28

Weitere Dokumente: P&I Diagram, Messstellen und Grenzwertlisten, Ursache / Wirkungs- Diagramme usw.

SRS Allgemein Beschreibt die grundsätzlichen Anforderungen, welche an alle sicherheitstechnische Funktionen gestellt werden.

SRS Detail Beschreibt die detaillierten Anforderungen pro Funktion, welche von den allgemeinen Anforderungen abweichen.

Dokumente aus Sicherheitsanforderungsspezifikation (SRS)

29

Spezifikation Verwendung von Templates

30

Wiederverwendung vollständiger Lösungen

  Beispiele (Typicals) für Hard- und Software

Vielen Dank für Ihre Aufmerksamkeit Haben Sie noch Fragen?

HIMA Paul Hildebrandt Heiko Schween Consulting FSCS Tel. +49 6202 709 599 Fax +49 6202 709 123 Email h.schween@hima.com