Analog Devices
SIL 3-Lösung auf Basis SIL 2-konformer Bauteile
Soll eine Lösung gemäß Safety Integrity Level 3 (SIL 3) mit SIL-2-konformen Bauelementen umgesetzt werden, ergeben sich verschiedene Herausforderungen. Mit Erscheinen der Revision 3 der Norm IEC 61508 wird es notwendig, neue Methoden anzuwenden.
Funktionale Sicherheit ist aus der Industrie nicht mehr wegzudenken, sei es das Verwenden einer STO-Funktion (Safe Torque Off) anstelle eines zusätzlichen Schützes oder der sichere Einsatz von Robotern und insbesondere von Cobots. Zudem hat man erkannt, dass der Einsatz von Safety-zertifiziertem Equipment die allgemeine Zuverlässigkeit verbessert, und dass Diagnosefunktionen in vielen Fabriken den Durchsatz steigern können.
Unterschied Safety und Safety-Funktion
Man versteht unter Safety die Abwesenheit inakzeptabler Risiken und gewissermaßen den Schutz der Umgebung vor Gefahren, die von dem betreffenden System ausgehen. Unter einer Safety-Funktion versteht man eine Operation, welche zum Erreichen beziehungsweise Aufrechterhalten der funktionalen Sicherheit ausgeführt werden muss. Eine Safety-Funktion hat also den Zweck, das Risikoniveau in einem System zu senken. Wenn beispielsweise eine rotierende Maschine mit einem Lichtvorhang versehen ist, besteht die Safety-Funktion darin, die Unterbrechung des Lichtstrahls beispielsweise durch eine Hand zu erkennen und die Maschine zum Stillstand zu bringen, bevor sie von der Hand erreicht werden kann.
Safety-Funktionen gliedern sich in der Regel in drei Subsysteme:
- Ein Eingangs-Subsystem detektiert den aktuellen Wert oder Zustand, z.B. mit einem Sensor.
- Ein Logik-Subsystem entscheidet, ob der aktuelle Zustand gefährlich ist (speicherprogrammierbare Steuerung, SPS).
- Ein Ausgangs-Subsystem kann eine Aktion zum Aufrechterhalten der Sicherheit auslösen (Aktor).
Bei Safety geht es um das Vertrauen darauf, dass ein System seine vorgesehene Safety-Funktion ausführt, wenn dies erforderlich ist. Im Prinzip ist die funktionale Sicherheit also ein Maß dafür, wie sicher man sich sein kann, dass der Lichtvorhang und die Abschaltfunktion des Motors tatsächlich funktionieren, wenn der Lichtstrahl unterbrochen wird.
Einem System wird funktionale Sicherheit attestiert, wenn die Hardwarekennzahlen (zufällige Fehler), die systematische Fähigkeit (Systematic Capability, SC) und gemeinsam verursachte Ausfälle (GVA bzw. engl. Common Cause Failures, CCF) zu keinen Fehlfunktionen des Safety-Systems, zu Verletzungen oder zum Tod von Menschen, zu Schäden an der Umwelt oder zu Produktionsausfällen führen.
Die meisten der zahlreichen Safety-Normen wurden von der Norm IEC 61508 abgeleitet und 90 bis 95 Prozent der darin enthaltenen Anforderungen sind in allen diesen Normen identisch. Dieser Artikel befasst sich schwerpunkt- mäßig mit der Norm IEC 61508 für industrielle Anwendungen und geht insbesondere darauf ein, wie sich mit SIL-2-Komponenten unter Nutzung identischer Redundanz eine SIL-3-Lösung entwickeln lässt.
Redundanz, hohe Verfügbarkeit und Hardwarefehlertoleranz
Bild 1. Alle elektronischen Systeme fallen irgendwann aus. Unterschieden wird zwischen zwei Ausfallarten: systematische und zufällige Ausfälle.
© Analog DevicesUngeachtet dessen, wie zuverlässig ein System ist, wird es unweigerlich irgendwann von einem Ausfall betroffen sein. Dabei muss zwischen systematischen und zufälligen Ausfällen unterschieden werden (Bild 1).
Unter Redundanz versteht man einen als Rückfallebene dienenden (redundanten) Pfad, der die vorgesehene Safety-Funktion ausführen kann, falls es im Safety-System zu einem Fehler kommt. Dabei ist jedoch zu betonen, dass ein System nicht automatisch eine hohe Verfügbarkeit besitzt, wenn es einen gewissen Grad an Redundanz aufweist. Hochverfügbar ist es vielmehr nur dann, wenn der redundante Pfad automatisch eingeschaltet oder aktiviert werden kann. Ein weiterer Begriff, der im Zusammenhang mit der Norm IEC 61508 häufig verwendet wird, ist die Hardwarefehlertoleranz (HFT). Eine HFT von N bedeutet, dass es ab einem Minimum von N+1 Fehlern zum Ausfall der Safety-Funktion kommen kann. Hervorzuheben ist in diesem Zusammenhang, dass keine weiteren Maßnahmen (z. B. Diagnosefunktionen) berücksichtigt werden, mit denen sich die Auswirkungen von Fehlern kontrollieren lassen. Die HFT ist effektiv eine Möglichkeit, die Ausfallbeständigkeit der Hardware zu gewährleisten, wobei zwischen HFT und SFF abgewogen werden kann (Tabelle 1). Bei der SFF (Safe Failure Fraction) handelt es sich um den Anteil der sicheren Ausfälle.
| SFF eines Elements | Hardwarefehlertoleranz (HFT) | ||
|---|---|---|---|
| 0 | 1 | 2 | |
| <60 % | nicht zulässig | SIL 1 | SIL 2 |
| 60 bis <90 % | SIL 1 | SIL 2 | SIL 3 |
| 90 bis <99 % | SIL 2 | SIL 3 | SIL 4 |
| ≥99 % | SIL 3 | SIL 4 | SIL 4 |
Safety Integrity Level (SIL)
Der SIL-Wert beschreibt die Integrität einer Safety-Funktion und die erzielte relative Risikoreduzierung. Die Norm IEC 61508 spezifiziert vier SILs, wobei SIL 1 für das niedrigste und SIL 4 für das höchste Maß an Sicherheitsintegrität steht. Tabelle 2 vergleicht die SILs der Industrienorm IEC 61508 mit den ASILs der Automobilindustrie (ISO 26262) und den Safety-Levels der Avionik, wobei die Übereinstimmungen jedoch nur ungefährer Natur sind. Je größer die SIL-Kennzahl wird, umso geringer wird der zulässige FIT-Wert (Failures In Time). Ein FIT-Wert von ‚1‘ entspricht einem Ausfall auf eine Milliarde (109) Betriebsstunden – das sind etwa 100.000 Jahre. Natürlich übersteht kein Gerät eine Milliarde Betriebsstunden, aber dieser Wert sagt beispielsweise aus, dass ein zufälliger Hardwareausfall zu erwarten ist, wenn 100.000 Geräte ein Jahr lang in Betrieb sind. Der SFF-Wert (Safe Failure Fraction) gibt für eine Safety-Funktion die Gesamtzahl der detektierten sicheren und gefährlichen Fehler, dividiert durch die Gesamtzahl aller Fehler an (siehe Formel).
Tabelle 3 gibt Auskunft über den Zusammenhang zwischen SFF und SIL bei einer Hardwarefehlertoleranz von null (HFT = 0).
| SIL | SFF | Geforderte Feherrate pro Stunde | Theoretisch erlaubte gefährliche Fehler |
|---|---|---|---|
| 1 | 60 % | 10-5 (10.000 FIT) | 1 gefährlicher Fehler alle 10 Jahre |
| 2 | 90 % | 10-6 (1000 FIT) | 1 gefährlicher Fehler alle 100 Jahre |
| 3 |
99 % | 10-7 (100 FIT) | 1 gefährlicher Fehler alle 1.000 Jahre |
Das Problem und die derzeitige Lösung
Besonders beim Design mit integrierten Schaltungen (ICs) ergibt sich im Functional-Safety-Kontext das Problem, dass sich die Zertifizierung schwierig und kostspielig gestalten kann, und dass das Risiko des Nichtbestehens durchaus real ist. Auf Systemebene ist daher ein Verfahren zur detaillierten Ermittlung von Fehlerursachen und deren Auswirkung auf das System, kurz FMEDA für „Failure Modes Effects and Diagnostic Analysis“, durchzuführen. Hierbei sind ASICs als Blackboxes zu behandeln, weil die Anzahl ihrer Transistoren, ihre internen Ausfallmechanismen, ihre Layoutblock-Größen und ihre Zuverlässigkeit nicht bekannt sind.
| IEC 61508 | ISO 26262 | Avionik |
|---|---|---|
| SIL 1 | ASIL A | D |
| SIL 2 | ASIL B | C |
| SIL 3 | ASIL C/D | B |
| SIL 4 | A |
Die FIT-Berechnungen müssen somit übermäßig konservativ durchgeführt werden, und auch bei den übrigen Teilen des Safety-Systems ist mit zusätzliches Sicherheitspolster erforderlich, um den insgesamt angestrebten SIL-Wert zu erreichen. In der Regel bedeutet dies die Verwendung externer Diagnosefunktionen wie etwa eines externen A/D-Umsetzers, womit man sich jedoch einen höheren Kosten- und Platzaufwand, ein Plus an Komplexität, aufwändigere Systemsoftware und eine längere Entwicklungszeit einhandelt. Verschärft wird die Situation dadurch, dass mit der Revision 3 eine neue Version der Norm IEC 61508 erscheint.
Zu den derzeit geplanten Änderungen in IEC 61508, Revision 3, gehören explizite Warnhinweise bezüglich der Verwendung chipinterner Diagnosefunktionen zur Aufdeckung von Ausfällen im selben Chip, sofern der IC nicht gemäß IEC 61508 entwickelt wurde. Vorgesehen ist ferner die Einbeziehung von Anforderungen der Kennzahl der Norm ISO 26262 zu latenten Fehlern. Neben einer Art SFF für Diagnosefunktionen werden die Diagnoseschaltungen auch eine bestimmte SC-Vorgabe erfüllen müssen.
Der ADFS5758 ist ein einkanaliger 16-bit-D/A-Umsetzer (DAC) mit Stromausgang, integrierter DPC-Funktionalität (Dynamic Power Control) und eingebauter Referenz sowie zahlreichen chipintegrierten Diagnosefunktionen (Bild 2).
Diagnose- und Safety-Features im ADFS5758
Die wichtigste chipinterne Diagnosefunktion ist ein ADC (A/D-Umsetzer). Wie bereits erwähnt, wird in der IEC 61508, Revision 3, voraussichtlich klargestellt werden, dass die Verwendung chipinterner Diagnosefunktionen zum Detektieren interner Ausfälle nicht generell zulässig ist, solange der IC nicht gemäß IEC 61508 entwickelt wurde. Zusätzlich wird auf gültige Schreib- und Leseadressen geprüft, und außerdem sind eine ECC-Funktion (Error Correcting Code), ein Watchdog-Timer und die Möglichkeit zum Sperren der Konfigurationsregister vorhanden. Die interne Bias-Spannung wird ebenso überwacht wie die Temperatur.
Der Baustein ist für die industrielle Fabrikautomation und Prozesssteuerungs-Anwendungen vorgesehen und trägt den beengten Platzverhältnissen auf analogen I/O-Karten von speicherprogrammierbaren Steuerungen Rechnung.
Die Safety-Funktion erzeugt aus dem digitalen Eingangscode einen Ausgangsstrom mit einer Genauigkeit von ±2,5 % FSR (Full-Scale Range). Die Entwicklung gemäß IEC 61508 erfolgte für SIL 2 (Hardwarekennzahlen) bzw. SIL 3 (systematische Anforderungen). Das Functional-Safety-Zertifikat für den ADFS5758 wurde vom TÜV Rheinland ausgestellt. Wie der ADFS5758 in einer typischen Safety-Anwendung eingesetzt wird, geht aus Bild 3 hervor.
Damit ein System bestimmte SIL-Vorgaben erfüllt, müssen die Hardwarekennzahlen (auch als architekturbedingte Restriktionen bezeichnet) und das SC den entsprechenden SIL-Zielvorgaben entsprechen.
Bild 4. Durch den Einsatz zweier SIL-2-Elemente lassen sich die Hardwarekennzahlen für SIL 3 erreichen.
© Analog DevicesArchitekturbedingte Restriktionen: Durch Parallelschaltung zweier (identischer oder unterschiedlicher) SIL-2-Elemente lässt sich hinsichtlich der Hardwarekennzahlen ein höherer SIL (SIL 3) erreichen (Bild 4).
Systematic Capability: Redundanz lässt sich durch das Verwenden identischer oder verschiedener Elemente erreichen. Beim Einsatz identischer Elemente mit gleicher SC verbessert sich die Gesamt-SC nicht, da beide Elemente anfällig für dieselben CCF-ähnlichen Temperaturspitzen oder Spannungsabfälle sind, sodass ein Fehler zum Ausfall beider Elemente führen könnte (Bild 5).
Werden dagegen unterschiedliche Elemente in einer redundanten Konfiguration verwendet, verbessert sich die Gesamt-SC (Bild 6). Der Grund dafür liegt in der Verschiedenheit beider Elemente, die es unwahrscheinlich werden lässt, dass der gleiche Fehler zum gleichzeitigen Ausfall beider Elemente führt. Problematisch an dieser Methode ist allerdings, dass die Verwendung unterschiedlicher Elemente in einem Safety-System teuer sein kann, da der Arbeitsaufwand für das Design-in und das Testen deutlich größer ist.
Ideal wäre es hier, wenn es mit zwei identischen Elementen möglich wäre, den SC-Wert, die Vorgaben hinsichtlich der zufälligen Fehler oder die Hardwarekennzahlen zur Einhaltung der Functional-Safety-Anforderungen zu erreichen.
Wichtig ist das Entwickeln der SC ein Level oberhalb des SIL: Identische Redundanz. Wenn im System ein Element eingesetzt werden könnte, das für eine SC ein Level über dem SIL des Elements entwickelt wurde, so könnten in einem Safety-System zwei identische Elemente zum Einsatz kommen, um die Redundanz zu erreichen und die Gesamt-SC zu verbessern (Bild 7).
Da der ADFS5758 für eine SC entwickelt wurde, die um ein Level über den Hardwarekennzahlen liegt, eignet er sich für das Design eines Ausgangsmoduls mit SIL 3, obwohl er hinsichtlich der Hardwarekennzahlen oder der zufälligen Fehler eigentlich nur gemäß SIL 2 zertifiziert ist. SIL 3 wird für zahlreiche Anwendungen verlangt, zu denen unter anderem die Prozessindustrie und sicherheitsrelevante und programmierbare elektronische Systeme gehören. Die Bereiche Reaktor- und Maschinensicherheit sowie bestimmte Bereiche der Eisenbahntechnik kommen hinzu. Nicht zuletzt müssen auch Systeme zum Erkennen bestimmter Gase und Anwendungen in der Automobilindustrie gemäß SIL 3 zertifiziert werden.
Verkürzte Entwicklungszeit
Der Autor: Brian Condell ist Product Applications Engineer im Bereich Industrial Connectivity and Control bei Analog Devices im Limerick, Irland.
© Analog DevicesDie Verwendung des ADFS5758 in einem Safety-System bringt eine Reihe von Vorteilen mit sich. Zuallererst sinkt das Risiko, dass die Zertifizierung scheitert. Wichtiger noch ist, dass die chipintegrierten Diagnosefunktionen – nämlich der ADC und die verteilten Diagnose-Features des Bausteins – benutzt werden können. Dank der kleineren Lösungsabmessungen lassen sich mehr Kanäle pro Flächeneinheit unterbringen; der minimierte Aufwand an externen Bauteilen kommt der Zuverlässigkeit zugute. Wegen der zielgerichteten Diagnose wird weniger Zeit zur Fehleraufdeckung benötigt und die Fehlerabdeckung ist größer. Unter anderem für FMEDA-Zwecke stehen wichtige Kennzahlen zur Verfügung und der Aufwand für die Systemsoftware wird geringer. Für eine angenommene Einsatzumgebung lässt sich eine Zuverlässigkeitsanalyse durchführen und die Anwender profitieren von kürzeren Entwicklungszeiten sowie von der Verfügbarkeit relevanter Dokumente (Safety Manual und TÜV-Bericht). Ein weiterer Pluspunkt ist, dass der Baustein für IEC 61508, Revision 3, gerüstet ist. Hervorzuheben ist jedoch die Tatsache, dass der ADFS5758 die Verwendung von SIL-2-Bauelementen erlaubt, um auf der Basis identischer Redundanz ein SIL-3-Design zu realisieren.
Das könnte Sie auch interessieren
Zukunftssicher automatisieren
AS-Interface entwickelt sich mit ASi-5 zur leistungsstarken Plattform für moderne Automatisierung. Höhere Datenraten, integrierte Safety und umfassende Diagnosefunktionen ermöglichen effiziente, flexible und zukunftssichere Lösungen – von einfachen...
mehr...Controller für Robotik-Anwendungen
Steuerungen für Robotik-Anwendungen müssen vielfältigen Anforderungen gerecht werden. Gefordert sind beispielsweise modular anpassbare Architekturen, cyberresiliente Systeme und hoch performante Echtzeitverarbeitung neben Energieeffizienz und...
mehr...Funktionale Sicherheit für Humanoide
Fehlende Standards bremsen den Einsatz humanoider Roboter. Neue ISO-Normen wie ISO 25785-1 und ISO/IEC TS 22440 sollen Anforderungen an funktionale Sicherheit und KI definieren und damit die Grundlage für eine breitere industrielle Nutzung schaffen.
mehr...27 Nominierte stehen fest
Die Jury für den embedded award 2026 hat aus über 110 Einreichungen von über 90 Unternehmen 27 Innovationen nominiert. Vergeben wird der Innovationspreis am 10. März auf der embedded world.
mehr...Interview mit Michael Plankensteiner
KI-gestützte Safety-Entwicklung
Michael Plankensteiner von Neuron Automation erklärt, wie KI künftig Entwickler bei Strukturierung, Normprüfung und Testgenerierung entlastet. Die Kombination aus modularer Safety-Architektur und automatisierten Engineering-Schritten erhöht...
mehr...Bihl+Wiedemann auf der SPS 2025
Anschluss sicherer Signale und Standardsignale
Neu im Sortiment der ASi-5 Safety Module von Bihl+Wiedemann ist ein sicheres Leiterplattenmodul in einem kompakten Gehäuse.
mehr...Beilage der Computer&Automation 11-2025
AS-INTERFACE MASTER NEWS 02.2025
Erfahren Sie in den aktuellen AS-INTERFACE MASTER NEWS von Bihl+Wiedemann, wie ASi-5 und ASi-5 Safety zukunftssichere Automation ermöglichen. Lesen Sie, was Endanwender von ASi erwarten und bekommen.
mehr...Kontaktlos Hand in Hand arbeiten
Sollen Mensch und Roboter zusammenarbeiten, müssen besondere Sicherheitsvorkehrungen getroffen werden, um Verletzungen auszuschließen. Dies geht mit vielen Kompromissen einher, was derartige Lösungen oft unattraktiv erscheinen lässt. An dieser...
mehr...Dem Ausfall einen Schritt voraus
In komplexen, hochautomatisierten Fertigungsumgebungen kommt es vor, dass sich Fehlerursachen gegenseitig verstärken. Stillstände und aufwändige Reparaturen sind die Folge. Klassische Methoden der Risikobeurteilung erfassen diese Wechselwirkungen...
mehr...