Funktionale Sicherheit: Zertifikate ersetzen kein qualifiziertes Engineering

Fehler ist nicht gleich Fehler – in verfahrenstechnischen Anlagen hängen sichere Prozessabläufe wesentlich von der korrekten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung ab. Doch nicht jeder Fehler im System hat sicherheits- oder gesundheitsrelevante Auswirkungen.

Sichere und gefährliche Fehler

Um einen Fehler als „sicher“ oder „gefährlich“ einstufen zu können, muss dieser zunächst nach der Fehlerart klassifiziert werden. Man unterscheidet zwischen folgenden Fehlerarten:

• passive
• aktive
• systematische und
• zufällige Fehler

Aktive Fehler lösen eine Schutzfunktion aus und sind daher als ungefährlich einzustufen – im Gegensatz zu Passivfehlern. Während sichere Fehler keine sicherheitskritischen Auswirkungen haben, weil die Anlage kontrolliert heruntergefahren werden kann, können als gefährlich erkannte Fehler sicherheitsrelevante Fehlfunktionen bedeuten mit Auswirkungen auf das SGU-Konzept (Sicherheit, Gesundheits- und Umweltschutz). Aus diesen wird eine Ausfallrate für das System errechnet. Jede Diagnose eines Systems zielt darauf ab, diese Fehler aufzudecken. Der Diagnoseaufdeckungsgrad (DC) muss daher so festgelegt werden, dass sich mögliche Passivfehler zu 100 % entdecken lassen.

Sichere Fehler und Toleranzen

Die durch die Diagnose eines Systems ermittelten Sicherheitsstufen oder Sicherheits-Integrations-Level (SIL) hängen von der Safe Failure Fraction (SFF) – dem prozentualen Anteil der Ausfälle eines sicherheitsbezogenen Systems – und der Hardware Fault Tolerance (HFT) ab, die sich auf die Verfügbarkeit bzw. Fehlertoleranz eines Systems bezieht. Erstere setzt sich aus sicheren und als gefährlich erkannten Fehlern zusammen. Mit der Höhe des Werts (0, 1 und 2) steigt die Verfügbarkeit und somit die Dauer, wie lange das System ohne Ausfall durchhält.