Inhaltsverzeichnis
Werbung
10 Management der funktionalen
Sicherheit
Der Installateur oder Eigentümer eines Sicherheitssystems
muss für jede Anwendung einen Sicherheitsplan erstellen, der
über den gesamten Lebenszyklus des mit
Sicherheitsinstrumentierung ausgestatteten Systems zu
aktualisieren ist.
Der Sicherheitsplan umfasst auch das Management der
Sicherheitsinstrumentierung. Die Anforderungen an das
Management für funktionale Sicherheit gelten parallel zu den
gesamten Lebenszyklusphasen.
Bei der Sicherheitsplanung sind folgende Gesichtspunkte zu
berücksichtigen:
— Sicherheitsregelungen und -strategien
— Durchzuführende Sicherheitslebenszyklusaktivitäten
einschließlich Angabe der Namen von verantwortlichen
Personen und Abteilungen
— Verfahrensabläufe, die für die verschiedenen
Lebenszyklusphasen relevant sind
— Audits und Verfahrensabläufe für die Nachverfolgung
11 Anforderungen hinsichtlich
Informationen (vom Anlagenbetreiber
bereitzustellen)
Die an den Anlagenbetreiber übergebenen Informationen
müssen den Einbau und Verwendung des Systems umfassend
beschreiben, so dass alle Phasen der
Gesamtsicherheitslebenszyklen, das Management der
funktionalen Sicherheit, die Verifikation und die funktionale
Beurteilung effektiv durchgeführt werden können.
Grundlage für den Anspruch auf Einhaltung des Standards
IEC 61508 ist der Gesamtsicherheitslebenszyklus. Die
Lebenszyklusphasen umfassen alle Aktivitäten, die mit dem
mit Sicherheitsinstrumentierung ausgestatteten System (SIS) in
Zusammenhang stehen, vom Erstkonzept über die
Entwicklung, Implementierung, Bedienung und Wartung bis
zur Außerbetriebnahme
Alle für die zulässigen Gerätefunktionen geltenden
einschlägigen Gesetze und Standards, z. B. EG-Richtlinien,
sind zu dokumentieren. Der Anlagenbetreiber ist verpflichtet,
eine Liste der Anforderungen geltender Bestimmungen zu
erstellen.
11.1 Zuordnung der Systemsicherheitsanforderungen,
E/A-Systemansprechzeit
Die Gesamtansprechzeit wird durch die folgenden Elemente
bestimmt:
— Sensorerfassungszeit
— Logikeinheit Ausführungszeit
— Ansprechzeit des Stellgliedes
12 SM/266MV/MS-HART-SIL-DE Rev. A | 266CRx, 266JRx, 266CSx, 266JSx
Die Gesamtansprechzeit des Systems muss geringer als die
Prozesssicherheitszeit sein. Die Ansprechzeit der
Sicherheitsfunktion (Diagnoseprüfungsinterval plus
Reaktionszeit) muss weniger als die Prozesssicherheitszeit
betragen.
Die Ansprechzeit des Systems muss die Ansprechzeit der
Eingänge und Ausgänge enthalten und als ungünstigste
Annahme für einen zyklischen (oder nicht-deterministischen)
Prozess getroffen werden.
Um den sicheren Betrieb des Systems zu gewährleisten, muss
das Produkt aus der Abtastrate der Logikeinheit und der
Anzahl der Kanäle kleiner als die Differenz aus der
Sicherheitszeit und den Ansprechzeiten von Stellglied und
Sensor sein. Bei anspruchsvollen Anwendungen muss die
Prozesssicherheitszeit außerdem länger sein als das
Diagnoseprüfungsinterval (maximale Zeit bis zur Erfassung
interner Fehler im 266Cxx / 266Jxx: 8 Stunden) und die
Fehleransprechzeit (maximale Zeit bis zur Reaktion, sobald ein
Fehler im 266Cxx / 266Jxx erfasst wurde: 5 min.) ohne
Hardware-Fehlertoleranz (HFT=0).
Das System muss bei der mittlerer Reparaturdauer (beträgt für
den 266Cxx / 266Jxx 8 h) bei Anwendungen, die vor der
Reparatur der Sicherheitsfunktion weiterlaufen, berücksichtigt
werden.
Das sicherheitsbezogene System ohne selbsthemmende
Funktion muss nach der Durchführung der Sicherheitsfunktion
innerhalb der MTTR überwacht werden oder auf andere Weise
in den sicheren Zustand versetzt werden. Es müssen
Systemkonfigurationszeichnungen zur Verfügung stehen, in
denen die für ein vollständig funktionsfähiges System
erforderlichen Geräte und Schnittstellen beschrieben werden.
Vor der Inbetriebsetzung muss das System voll funktionsfähig
sein.
Jede Sicherheitsfunktion einschließlich der mit ihr verknüpften
Sicherheitsintegritätsanforderung ist den entsprechenden
sicherheitsrelevanten Systemen zuzuordnen. Dabei sind die
durch andere sicherheitsrelevante Technologiesysteme und
externe Risikominderungseinrichtungen bewirkten
Risikominderungen zu berücksichtigen. Insgesamt muss die
erforderliche Risikominderung für diese Sicherheitsfunktion
gewährleistet sein. Die Zuordnung muss so erfolgen, dass
sämtliche Sicherheitsfunktionen zugeordnet und für jede
Sicherheitsfunktion die Sicherheitsintegritätsanforderungen
erfüllt werden.
Zusätzliche Sicherheitsanforderungen können so festgelegt
werden, dass sie die volle Funktionsfähigkeit von Abläufen in
dem mit Sicherheitsinstrumentierung ausgestatteten System
sicherstellen.
In Anbetracht der Tatsache, dass einige Fehler den
Stromausgang auf Tiefalarm von 3,6 mA regeln, (oder <3,6 mA
im Falle einer Zurücksetzung) auch, wenn der Alarm als Hoch
eingestellt wurde, muss die Logikeinheit (z. B. eine SPS) im
Nachlauf sowohl Hochalarmmeldungen (konfigurierbar
zwischen 21 mA ... 23 mA) als auch Tiefalarmmeldungen
(3,6 mA) erfassen können.
Werbung
Inhaltsverzeichnis
