SIL-Eignung von Armaturen -...
Transcript of SIL-Eignung von Armaturen -...
SIL-Eignung von Armaturen
Jan Schumacher
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 20142
Agenda
Einleitung1
Funktionale Sicherheit1.1
Besonderheiten mechanischer Komponenten1.2
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 20143
Agenda
Einleitung1
Funktionale Sicherheit1.1
Besonderheiten mechanischer Komponenten1.2
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Was ist Funktionale Sicherheit?
DIAM 20144
Funktionale Sicherheit
Maschinen sind gebaut um zu funktionierten.Was passiert, wenn sie nicht funktionieren?
Keine Verfügbarkeit
Zeitverlust Finanzieller Schaden
Unfall
Zerstörte Maschine
ToteUmweltschäden
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Sicherheitsketten
DIAM 20145
Sensor Logik Aktor
DIN EN 61508 ist auch für mechanische Komponenten gültig
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
225 % SIL 275 % SIL 2 75 % SIL 2 75 % SIL 2++ =
35 % SIL 2 15 % SIL 2 50 % SIL 2++ =
Sensorik Steuerung Aktorik Gesamtsystem
100 % SIL 2
�
�
Einzelkomponenten können nur bezüglich ihrer SIL-Tauglichkeit bewertet werden
Zielgröße = 10 %
DIAM 20146
Bewertung des Gesamtsystems
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Systematische Sicherheitsintegrität
DIAM 20147
Bausteine der SIL Bewertung
SILSafety
Integrity Level
PFD / PFHProbability of Failure
on Demand / per Hour
SFFSafe Failure Fraction
HFTHardware Fault
Tolerance
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 20148
Agenda
Einleitung1
Funktionale Sicherheit1.1
Besonderheiten mechanischer Komponenten1.2
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 20149
� Zufällige Fehler überwiegen
� Konstante Fehlerrate während Gebrauchsdauer
� Verschleiß und Alterung beeinflussen Gebrauchsdauer
Unterschiede zwischen E/E/PE und Mechanik
Elektrik / Elektronik / Programmierbare Elektronik
Mechanische Komponenten
� Systematische Fehler überwiegen
� Fehlerrate kann als konstant angenähert werden
� Verschleiß und Alterung beeinflussen Fehlerrate
λ ��
����ist nur eine Vereinfachung!
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201410
Umgebungsparameter
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Besonderheiten mechanischer Komponenten
DIAM 201411
Anwendung der DIN EN 61508 auf mechanische Komponen ten
Größere Vielfalt an Umgebungsparametern
Systematische Ausfälle überwiegen
50 % der Gesamtausfallrate
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201412
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Betriebsbewährtheit2.1
Datenbanken2.2
Dauertests2.3
Vorgehen des TÜV Rheinland3
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Fehlerraten
DIAM 201413
� Die Einstufung in SIL basiert unter anderem auf Ausfallraten
� Um eine ausreichend niedrige Ausfallrate mathematisch berechnen zu können, ist eine entsprechend große Datenbasis erforderlich.
� Berücksichtigung von Konfidenzintervallen
- Verhält sich die Zukunft wie die Vergangenheit?
- Wie repräsentativ ist die Stichprobe?
� Wie groß soll die Wahrscheinlichkeitsein, dass das vergangene demzukünftigen Verhalten entspricht?
Statistische Rahmenbedingungen
1 Fehler auf 1.000.000 Schaltungen� p = 10-5
1-α = 95 % � p = 1,84⋅10-5
λ
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Fehlerraten
DIAM 201414
Woher wissen wir, dass es wirklich funktioniert?
Betriebs-bewährtheit
Datenbanken
Laborversuche
λ
λDD
λSU
λSDλDU
λexcl
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201415
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Betriebsbewährtheit2.1
Datenbanken2.2
Dauertests2.3
Vorgehen des TÜV Rheinland3
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Voraussetzungen
DIAM 201416
#
�
€
t
Es wurden ausreichend viele Komponenten verkauft
Die Komponenten sindlange genug im Einsatz
Die Komponenten sind so wertvoll,dass sie reklamiert werden
Die Verkaufs- und Rücklaufzahlensind ausreichend gut dokumentiert
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Betriebsbewährtheit
DIAM 201417
� Wann ist ein Vorfall aufgetreten?
� Was ist genau passiert?
� Wie wurde der Vorfall eingestuft?
� Wie wurde reagiert?
� Schlecht dokumentierte Daten müssen konservativ ausgewertet werden
� Endanwender verfügen oft über eigene Datenbanken
Dokumentation der Verkaufs- und Rücklaufszahlen
Jahr Verkaufszahl Rückläufer
2006 1.000 5
2007 1.100 12
2008 1.200 3
2009 1.300 8
2010 1.400 7
2011 1.500 200
2012 1.600 6
2013 1.700 0
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Sicherer Fehler Gefährlicher Fehler
Rückläufer
DIAM 201418
Wie werden die gemeldeten Fehler bewertet?
Falsche Bestellung
Falsche Durchflussrichtung
Gerissene Dichtung
Hängenbleiben einer Klappe
Verschleiß durch Partikel
Korrosion
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201419
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Betriebsbewährtheit2.1
Datenbanken2.2
Dauertests2.3
Vorgehen des TÜV Rheinland3
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Datenbanken
DIAM 201420
� Hat ein O-Ring immer die gleiche Ausfallwahrscheinlichkeit?
� Hat die Montagesituation keinen Einfluss auf die Ausfallwahrscheinlichkeit?
� Können alles Umgebungs- und Betriebsparameter pauschalisiert, bzw. vernachlässigt werden?
„Lässt der erfolgreiche Einsatz mechanischer Komponen ten Rückschlüsse auf den betrachteten Aktor zu?“
Fehlerraten für mechanische Komponenten aus Datenbanken sollten
vorsichtig verwendet werden!
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201421
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Betriebsbewährtheit2.1
Datenbanken2.2
Dauertests2.3
Vorgehen des TÜV Rheinland3
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Laborversuche
� “Die Ausfallrate jedes Bauteils oder jeder Gruppe von Bauteilen kann unter Verwendung einer anerkannten industriellen Quelle und Berücksichtigung der Anwendungsumgebung abgeschätzt werden. Anwendungsbezogene Daten sind jedoch zu bevorzugen, dies gilt besonders, wenn das Element nur aus einer geringen Anzahl von Bauteilen besteht, so dass jede Abweichung in der Abschätzung der Wahrscheinlichkeit sicherer und gefahrbringender Ausfälle eines einzelnen Bauteils einen gravierenden Einfluss auf die Abschätzung des Anteils sicherer Ausfälle haben könnte.”(DIN EN 61508-2: C.1)
DIAM 201422
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Laborversuche
Vorgehen
� DIN EN 61508-7, Anhang D.1 „Notwendige Vorgeschichte zur Zuordnung von SIL bei gegebenem Vertrauensniveau“
� 1 − � 95 %
� Der Aktor sollte ca. 10 % der Ausfallwahrscheinlichkeit beanspruchen
DIAM 201423
SIL-Klasse n(0,95) n(0,99)
4 3.000.000 4.600.000
3 300.000 460.000
2 30.000 46.000
1 3.000 4.600
SIL-Klasse n(0,95) n(0,99)
4 3⋅1010 4,6⋅1010
3 3⋅109 4,6⋅109
2 3⋅108 4,6⋅108
1 3⋅107 4,6⋅107
Low Demand1 Anforderung pro Jahr
High Demand1 Anforderung pro Stunde
Faktor: 8760 ≈104
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Testbedingungen
� Anzahl der durchzuführenden Schaltungen wird auf üblicherweise 11 Aktoren aufgeteilt
� Testtemperaturen werden wie folgt gewählt
� Jeder Prüfling muss der Temperaturreihenfolge ausgesetzt werden
� Elektrische, pneumatische, hydraulische, … Signale werden so gewählt, dass am ehesten Ausfälle zu erwarten sind
DIAM 201424
Tmax + 10 K Tmin TRaum
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Schwächen der Laborversuche
Kompatibilität mit Betriebsmedium wird nicht getest et
� Detaillierte Analyse in FMEA
� Gegebenenfalls sind zusätzliche Tests erforderlich
DIAM 201425
Beispiele aus der Praxis
� Ein Kugelhahn soll für ein spezielles Öl freigegeben werden
� Der Temperaturbereich einer Armatur soll durch veränderte Dichtungsmaterialien erweitert werden
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Schwächen der Laborversuche
Je schneller das Prüfobjekt geschaltet wird, desto kürzer ist der Test.
Aber
Setzungseffekte können so nicht überprüft werden.
DIAM 201426
� � � · ��
��
�·�� Gesetz von Arrhenius kann
nicht angewendet werden…
� Setzungserscheinungen können durch geeignete Prooftests verhindert werden!
� Längere Stillstandszeiten werden bei Versuchen eingeplant
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Längere Verweilzeiten
DIAM 201427
Berücksichtigung von längeren Stillstandszeiten bei V ersuchsplanung
Prüftemperatur SchaltfrequenzZyklen für
einen PrüflingDauer
maximal zulässige Betriebstemperatur + 10 K
5 s 1.500 (50%) 5 h
1/d 1 1 d
1/2d 1 2 d
1/4d 1 4 d
1/8d 2 16 d
minimal zulässige Betriebstemperatur
5 s 500 (17%) 1:40 h
1/d 1 1 d
1/2d 1 2 d
1/4d 1 4 d
1/8d 2 16 d
Raumtemperatur 5 s 1.000 (33%) 3:20 h
Total 3.010 ~ 50 d
� Insgesamt 11 Prüflinge werden getestet
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201428
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Analyse der Komponente und Anwendung3.1
FMEA3.2
Fehlerraten3.3
Systematische Sicherheitsintegrität3.4
Ergebnis3.5
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201429
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Analyse der Komponente und Anwendung3.1
FMEA3.2
Fehlerraten3.3
Systematische Sicherheitsintegrität3.4
Ergebnis3.5
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Analyse der Komponente und Anwendung
� Definition der Sicherheitsfunktion
- Was muss die Komponente im Anforderungsfall tun?
- Alle Eigenschaften müssen quantifiziert werden
� Wie oft wird die Sicherheitsfunktion angefordert?
- High Demand oder Low Demand
- Dominieren Alterungs- oder Verschleißeffekte?
� Wie alt ist die Komponente?
- Existieren Verkaufs- und Rücklaufzahlen?
Welche Komponente wird betrachtet und was ist deren Aufgabe?
DIAM 201430
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201431
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Analyse der Komponente und Anwendung3.1
FMEA3.2
Fehlerraten3.3
Systematische Sicherheitsintegrität3.4
Ergebnis3.5
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
FMEA
� Systematische Analyse aller möglichen Fehler
� Sind alle verwendeten Werkstoffe geeignet?
� Sind alle Berechungen korrekt?
Fehlermöglichkeits- und -einflussanalyse
Part Function Potential source offailure Kind of failure Failure induced by Effect on
component functionEffect on
safety function
Return Spring Move valve seat in fail-save position
Wrong design Systematicinternal Wrong calculation Loss of tension Closing is not
possible, Leakage
Wrong material Systematicinternal
Material is not qualified Corrosion Closing is not
possible, Leakage
Random failure Randominternal
Wrong assembly Lower tension Closing is not possible, Leakage
Wrong material Corrosion Closing is not possible, Leakage
DIAM 201432
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201433
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Analyse der Komponente und Anwendung3.1
FMEA3.2
Fehlerraten3.3
Systematische Sicherheitsintegrität3.4
Ergebnis3.5
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Fehlerraten
Labor-versuche
Daten-banken
Betriebs-bewährtheit
DIAM 201434
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201435
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Analyse der Komponente und Anwendung3.1
FMEA3.2
Fehlerraten3.3
Systematische Sicherheitsintegrität3.4
Ergebnis3.5
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Systematische Sicherheitsintegrität
� Qualitätsmanagement
� Management der funktionalen Sicherheit
Ziele/Fragen eines Audits:
� Wie sieht die Wareneingangskontrolle aus?
� Ist das Personal qualifiziert?
� Sind alle Abläufe geregelt?
� Wie sieht die Warenausgangskontrolle aus?
� Werden Verkaufs- und Rücklaufzahlen erfasst?
� …
Nachweis der Qualifizierung des Herstellers
DIAM 201436
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201437
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Analyse der Komponente und Anwendung3.1
FMEA3.2
Fehlerraten3.3
Systematische Sicherheitsintegrität3.4
Ergebnis3.5
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Ergebnis
� Ziel der Untersuchung: Bereitstellen aller nötigen Kennwerte, um das SIL einer kompletten Sicherheitskette zu bestimmen
� Zertifikat kann optional ausgestellt und auf www.certipedia.com veröffentlicht werden
DIAM 201438
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische AktorenDIAM 201439
Agenda
Einleitung1
Bestimmung der Fehlerraten2
Vorgehen des TÜV Rheinland3
Zusammenfassung & Ausblick4
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Untersuchungsumfang hängt von Ausgangslage ab
Auswertung vonVerkaufs- und
Rücklaufzahlen
LaborversucheFMEDA
Bewertung einer Neuentwicklung
Weiterentwicklung
Bewertung einer bewährten Komponente
Verlängerung eines Zertifikats
Baumusterprüfung
DIAM 201440
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Zusammenfassung & Ausblick
� DIN EN 61508 ist auch auf mechanische Komponenten anwendbar
� Bewertung der SIL-Tauglichkeit einer Komponente hängt von drei Standbeinen ab
- Safe Failure Fraction
- Hardware Fehlertoleranz
- Ausfallraten
� Quelle der Fehlerraten sollte vertrauenswürdig und transparent sein
� Laborversuche ermöglichen vertrauenswürdige Fehlerraten in akzeptabler Zeit
DIAM 201441
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Wie interpretieren Sie die Informationen in Zertifikaten?
DIAM 201442
Die Komponente ist geeignet um in allen SIL 3 Anwendungen eingesetzt zu werden.
Die Komponente ist geeignet um in Abhängigkeit der Architekturin Anwendungen bis zu SIL 3 eingesetzt zu werden.
Die Komponente ist geeignet um einkanalig in SIL 3 Anwendungen eingesetzt zu werden
Die Armaturen sind zur Verwendung in einem sicherheitsgerichteten System bis SIL 2 geeignet. Unter Berücksichtigung der mindestens erforderlichen Hardware-Fehlertoleranz von HFT = 1 können die Armaturen in redundanter Ausführung auch bis SIL 3 eingesetzt werden.
Jan Schumacher: Bewertung der SIL-Tauglichkeit für mechanische Aktoren
Fragen?
DIAM 201443