SIL (Safety Integrity Level)
Betriebsart mit niedriger Anforderungsrate (läuft nicht kontinuierlich, CNC)
SIL mittl. Ausfallwahrscheinlichkeit bei Aktivierung der Funktion
4 10-5 bis 10-4
3 10-4 bis 10-3
2 10-3 bis 10-2
1 10-2 bis 10-1 -> Alle 10 man fällt funktion aus
Betriebsart mit hoher Anforderungsrate (läuft kontinuierlich)
SIL Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde
4 10-9 bis 10-8
3 10-8 bis 10-7
2 10-7 bis 10-6
1 10-6 bis 10-5
Maßnahmen zum Erreichen bestimmter SIL:
Signalverarbeitung
Selbsttest (festgelegte Test-muster)
Prüfsummen
Sichere Codierung
Versorgungsspannungs-Überwachung
Selbstüberwachung (Watch-dog -> Zäher will die ganze Zeit zurück gesetzt werden), unabhängige Zeitbasis !
Umgebungsüberwachung (Temperatur, Lüfter), thermische Sicherungen
Symmetrische Übertragung
Elektromechanische Komponenten (Schalter, Schütze, Antriebe für Schalter)
Fehlererkennung durch Online-Monitoring
Überwachung von Kontakten (spezielle Relais oder Umschaltkontakte)
Sicherheitsgerichteter Ruhezustand (de-energised to trip)
Strukturelle Maßnahmen
Trennung von Energie- und Datenleitungen
Anhebung der Störfestigkeitsanforderungen
Redundanz, Mehrheitsentscheid (Signalverarbeitung und Sensoren)
Organisatorisch
Risikoanalysen, Fehleranalysen
Dokumentation
Trennung von Sicherheitsfunktionen von nicht sicherheitsrelevanten Funktionen
Nutzung sicherer Entwicklungswerkzeuge (z.B.Programmiersprachen)
Modularisierung
Test der Funktionsblöcke mit geeigneten Testcases
Software
Nutzung verlässlicher Betriebssysteme und Entwicklungsumgebungen
Geeignete Auswahl von Programmiersprachen
Modularisierung (begrenzte Größe der Module, begrenzte Anzahl von Parametern)
Geeignete (selbsterklärende) Bezeichnung von Variablen, Funktionen, Objekten, Klassen, …
Begrenzte Schleifenzeiten
Möglichst keine Zeiger
Strukturierte Programmcodes
Zuletzt geändertvor einem Jahr