DEUTSCHE NORM Entwurf Mai 2001 Funktionale Sicherheit DIN Sicherheitstechnische Systeme fur die Prozessindustrie i: algemeos Bega oforarungon an Systeme Software cna Hardware ' ore Ee esa sewGoN 2600) IEC 61511-1 ‘Diese Norm ist zugeich eine VDE-Bestimmung im Sinne von VDE 0022. Sie ist nach Kiassifikation ‘Ourchithrung des vom VOE-Vorstand beschiossenen Genehmigungsverlahrens unter ‘ebensiehenden Nummer in das VDE-Vorschritenwerkauigenommen undinderetz | WDE 0810 Elektotechnische Zeitschrift bekannt gegeben worden. A Einspriiche bis 2001-06-30 Vervielfaltigung ~ auch fur innerbetriebliche Zwecke - nicht gestattet. | ICS 25,040.40; 35.240.50 Functional safety: Safety Instrumented Systems for the process industry sector Part 1: Framework, definitions, system, hardware and software requirements (IEC 654/324/CDv:2000) ‘Sécurité fonctionnelle: Systemes instrumentés de sécurité pour Je sectour des industries de transformation Partie 1: Cadre, défintions et prescriptions concemant le systéme, le matériel et le logiciel (CEI 654/324/CDV:2000) ‘Anwendungswarnvermerk Dieser Norm-Entwurt wird dor Offontichkeit zur Prifung und Stallungnahme vorgologt. Weil die beabsichtigte Norm von der voriegenden Fassung abweichen kann, ist die Anwendung dieses Entwurfes besonders zu vereinbaren, Stollungnahmen werden erbeten an die Deutsche Elektratechnische Kemmission im DIN und VDE (DKE), Stresemannallee 18, 60596 Frankfurt am Main. Das internationale Schriftstiick IEC 654/324/CDV:2000-11, Functional safety: Safety instrumented Systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements", ist unverdndert in diesen deutschen Norm-Entwurf dbernommen worden. Begin der Giltigkeit Diese Norm git a . Fortsetzung Seite 2 bis 81 und 91 Seiten IEC-Original Deutsche Eloktrotechnische Kommission im DIN und VDE (DKE) (© IN Deuachas atu ur Nomnung@ V_und VDE Verband der Elekotachrk Henionx normatostechnikeV Teta EDINTEC SISTA od Art dor Verdaangung, auch auszugowote, a rat Gosehmgung des DN Btn, und [VOE 080 Ted 2001-05, {es VE, Farkit am ain, gestae Prose 27 Snzlvaraal ura Abonnements Gurch VDE-VEFLAG GMBH, 10625 Bern OE 1810000 Einzlveaul auch durch Goutn Verag GmbH, 10772 erin “0501 v ‘Bout Vert 9821Belte 2 2 DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 Nationales Vorwort dieser Norm-Entwurf enthait eine noch nicht autorisierte deutsche Ubersetzung des Interationalen Norm- Entwurfs [Committee Draft for Vote (CDV)] IEC 654/324/CDV “Functional safety: Safety instrumented Sys- fms for the process industry sector - Part 1: Framework, definitions, system, hardware and software equirements". im Zwelfelstille in der Obersetzung auszuschlieBen, ist die englische Originalfassung des CDV beigefigt, xobei dies keinen wesenttichen Einfluss aut den Preis des Norm-Entwurfs hat. der Internationale Entwurf wurde vom SC 65A ,System aspects" des TC 65 “Industrial-process measurement and control’ der Internationalen Elektrotechnischen Kommission (IEC) erarbeitet und als CDV heraus- jegeben. Die IEC und das Europaische Komitee fur Elektrotechnische Normung (CENELEC) haben Jereinbart, dass ein aut |EC-Ebene entstandener Internationaler Norm-Entwurt im Schiussstadium (Final Saft International Standard (FOIS)] zeitgleich (parallel) bei IEC und CENELEC zur Abstimmung gestellt wird, um eine Beschleunigung und Straffung der Normungsarbelt zu erreichen. 3a der Abstimmungszeitraum fUr einen FDIS nur 2 Monate betragt, und zum FDIS keine sachlichen 3tellungnahmen mehr abgegeben werden konnen, sondem nur noch eine “JA/NEIN’-Entscheidung méglich st, wobei eine "NEIN"-Entscheidung fundiert begrandet werden muss, wird bereits der CDV als Norm- Entwurt verdffentlicht, um die Stellungnahmen aus der Offentlichkeit noch vor der Abstimmung beriicksich- igen zu kénnen. Gr den vorliegenden Norm-Entwurt ist das nationale Arbeitsgremium GK 914 ,Funktionale Sicherheit slektrischer, elektronischer und programmierbarer elektronischer Systeme (E, E, PES) zum Schutz von Personen und Umwelt” der Deutschen Elektrotechnischen Kommission im DIN und VDE (DKE) zustandig.Seite 3 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 Nationaler Anhang NA (informativ) Zusammenhang mit Europaischen und Internationalen Normen Far den Fall einer undatierten Verwelsung im normativen Text (Verweisung auf eine Norm ohne Angabe des ‘Ausgabedatums und ohne Hin weis auf eine Abschnittsnummer, eine Tabelle, ein Bild usw.) bezieht sich die Verweisung auf die jeweils neueste gilltige Ausgabe der in Bezug genommenen Norm. Far den Fall einer datierten Verweisung im normativen Text bezieht sich die Verweisung immer aut die in Bezug genommene Ausgabe der Norm. Der Zusammenhang der zitierten Normen mit den entsprechenden Deutschen Normen ist nachstehend wie- dergegeben. Zum Zeitpunkt der Verdffentlichung dieser Norm waren die angegebenen Ausgaben giltig IEC hat 1997 die Benummerung der IEC-Publikationen geandert. Zu den bisher verwendeten Normnummern wird jeweils 60000 addiert. So ist zum Beispiel aus IEC 68 nun IEC 60068 geworden. Tabelle NA1 Europaische Norm | Internationale Norm Deutsche Norm Klassifikation im \VDE-Vorschriftenwerk IEC 61508-1:1998, DIN IEC 61508-1 (VDE 0803 Teil 1): in Vorbereitung VDE 0803 Teil 1 IEC 61508-2:2000 DIN IEC 61508-2 (VDE 0803 Tell 2): in Vorbereitung VDE 0808 Tell 2 IEC 61508-3:1998 DIN IEC 61508-3 (VDE 0803 Teil 3): in Vorbereitung VDE 0808 Teil 3 IEC 61508-5:1998 DIN IEC 61508-5 (VDE 0803 Teil 5: in Vorbereitung VDE 0808 Teil § IEC 61508-6:2000 DIN IEC 61508-6 (VDE 0803 Teil 6): in Vorbereitung VDE 0803 Teil 6 IEC 61508-7:2000 DIN IEC 61508-7 (VDE 0803 Teil 7): in Vorbereitung VDE 0803 Tell 7Seite 4 E DIN IEC 6151-1 (VDE 0810 Teil 1):2001-05 Deutsche Ubersetzung Funktionale Sicherheit Sicherheitstechnische Systeme fiir die Prozessindustrie Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware Vorwort EINLEITUNG, 1 Anwendungsbereich 2 Normative Verweisungen 3 Begriffe und Abkiirzungen. 3.1. Abkirzungen 3.2 Begritfe 4 Ubereinstimmung mit dieser internationalen Norm 5 Management der funktionalen BA Zieh 5.2 Anforderungen ne 52.1 Allgemeines. 5.22 Organisation und Mitte! 5.2.3 Risikobewertung und Risiko-Management 5.24 Planung 5.25 Ausfhrung und Uberwachung .. 5.2.6 Beurtellung, Auditierung und Revisionen.. 5.2.7 Management der SIS-Konfiguration.... icherheit... 6 _ . Anforderungen an den Sicherheitslebenszyklus. 61 Ziel... 6.2 Auffau und Planung des Sicherheltslebenszykus... 621 Ziel... 6.2.2 Anforderungen 7 Verifikation. 7A Ziel . Soe 8 — Gefllhrdungsanalyse und Risikobewertung, BA Zieh 8.2 _Anforderungen..... 9 Zuordnung von sicherheitstechnischen Funktionen zu Schutzebenen. 91 Ziel 9.2. Anforderungen fur dle Zuordnung 9.3. Anforderungen fir Sicherheitsintegritatsgrenzen. 9.4 _Anforderungen an Betriebseinrichtungen, die als Schutzebene ‘eingosetst werden sollen 10 Sicherheitsspezifikation des SIS. 10.1 Ziel 10.2 Allgemeine Anforderungen. 10.3. Sicherheitsanforderungen an das SIS.Seite 5 E DIN IEC 6151-1 (VDE 0810 Teil 1):2001-05 11 SIS-Entwurf und Planun: 0 AB 114 Ziel... 46 11.2. Allgemeine Anforderungen 46 1113. Anforderungen an des Systemverhaiten bel Enldeckung eines Fehlers 11.4 Anforderungen an die Fehlertoleranz der Hardware 11.5 Auswahl von Komponenten und Teilsystemen.. 115.1 Ziel... 11.52 Allgemeine Anforderungen 115. Anforderungen an betiebsbewdhte Komponenten 11.6 Feldgerdte.. 41.7. Schnitstolen 11741 Anforderungen an die Bedioner-Sehnitstel. 11.72 Anforderung an intandhatungs- und Engineering-Schnitstelen 41.8 Anforderungen an Instandhaltungs- oder Prifeinrichtungen 11.9. Ausfallwahrscheinlichkeit sicherheitstechnischer Funktionen 412 Anforderungen an Anwendungssoftware und Auswahlkriterien far Software-Hilfsmittel 42.1. Anforderungen an den Sicherheltslebenszyklus der Anwendungssoftware.. 12.4.4 Ziel 12.1.2 Anforderungen.. 122. Sicherheitsspeziikaton fr Anwendungssotware 122.1 Ziele 12.2.2 Antorderungen.. 12.2. Sicherhete-Valdierungsplanung far Anwendungssottware 123.1 Ziel. 12.3.2 Anforderungen 12.4 Entwur und Erstelung der Anwendungssoftware. 12.4.1 Ziele 124.2 Allgemeine Anforderungen 124.3 Anforderungen an die Architektur der Anwendungssofware.. = 12.4.4 Anforderungen an Hillswerkzeuge, Benutzerhandbuch und ‘Anwendungssprachen 66 42.4.8 Anforderungen an die Erstellung von Anwendungssoftware 12.4.8 Anforderungen an die Profung modularer Anwendungssoftware. 12.4.7 Anforderungen an Integrationstests far Anwendungssoftware... 12.5. Integration der Anwendungssottware in das SIS-Teilsystem.... 12.5.2 Anforderungen.. 12.6 Vorgehen bei Modifikation der Anwendungssoftware... 12.6.1 Ziele . 12.62 Anforderungen an die Modikation 12.7. Verifikation der Anwendungssoftware 127.1 Ziele 12.7.2 Anforderungen 13. Werksendpriifungen 18.1. Ziele 13.2. Empfehlungen.... 14 SIS-Montage und Inbetriebnahme.. 14.1 Ziele 14.2 AnforderungenSeite 6 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 44.3 S1S-Sicherheits-Validierung 14.3.1 Zielonennn 1432. Anforderungen . — 15 Betrieb und Instandhaltung des SIS. 15.1. Ziele... 152. Anforderungen ; 453. Wiederholungspratung und inspektion. 15.3.1. Wiederholungspritung 183.2 _ Inspektion.... so 183.8 Dokumentation der Wiederholungspratungen und Inspekton... 15.4 Anderungen am SIS... 1BAA Zieh 15.4.2 Anforderungen 16 Auferbetriebnahme des SIS... 16.1 Ziel... 16.2 Anforderungen. 17 Anforderungen an die Dokumentation. ATA Ziel. 17.2. Anforderungen. ‘Anhang A (informativ) Unterschiede ‘Anhang B (informativ) Index. Bild 1 ~ Gesamtrahmen dieser Norm Bild 2b Beztchung zwischen IEG 61508 und IEC 61511 (Abschnit 1.2). Bild 3 - Zusammenhang zwischen sichetheitstechnischen und anderen Funktionen. Bild 4 ~ Zusammenhang zwischen System, Hardware und Software in der IEC 61511-1 Bild 5 ~ Struktur und Funktionen einer SPS (aus IEC 61131) .. Bild 6 ~ Programmierbares Elektronisches System (PES), Struktur und Begrtie Bild 7 - SIS-Architektur Bild 8 ~ Phasen des Lebenszyklus und Stufon der Sicherhellsbetrachtungen.. Bild 9 ~ Typische Methoden der Risikoreduzierung in verfahrenstechnischen Anlagen .. Bild 10 ~ Schnittstelle zwischen den Abschnitten 12 und 6. Bild 11 - Sicherheitslebenszykius der Anwendungssoftware (Realisierungsstuten Bild 12 - Software-Entwicklungsprozess (das V-Model)... Bild 19: Zusammenhang 2wischen Hardware- und Software-Archiektur dos ‘sis Tabelle 1 ~ In der IEC 61511 verwendete Abkirzungen .. ‘Taboo 2 ~ Ubersicht dber den Sicherhetslebenszyktus eines SI. Tabelle 3 ~ Sicherheitsintegritatslevel: Zielvorgaben der Austall |Wahrschelnichket Tabelle 4 — Sicherheitsintegritatslevel: Haufigkelt gefahrlicher Ausfaile pro Stunde Tabelle 5 Mindestanforderungen an de Fehlertleranz von Teisystemen mit einem Ante sicherer ‘Ausfalle zwischen 60 % und 90 % on ‘Tabele 6 Anietungen und Abgrencungen hinsicrtich Sicherheits-Sotware 59 Tabelle 7 — Sicherheitslebenszyklus der Anwendungssoftware: Ubersicht.. 59Seite 7 E DINIEC 6151-1 (VDE 0810 Teil 1):2001-05 Vorwort 1) Die IEC (Internationale Elektrotechnische Kommission) ist eine weltweite Normungsorganisation, die alle Nationalen Elektrotechnischen Komitees (Nationale Komitees der IEC) umfasst. Die IEC hat das Ziel, die internationale Zusammenarbeit in allen Fragen der Normung auf dem Gebiet der Elektrotechnik und Elektronik zu fordem. Zu diesem Zweck und neben anderen Aktivitéten verdfentiicht die IEC Inter- nationale Normen. Mit der Vorbereitung sind die Technischen Komitees beauttragt. Jedes Nationale Komitee der IEC, das an dem behandelten Thema interessiert ist, dart an dieser Vorbereitungsarbelt tellnehmen, Internationale Organisationen, Regierungs- und Nichtregierungsstellen, die mit der IEC in \Verbindung stehen, nehmen ebenfalls an diesen Vorbereitungsarbeiten tell. Die IEC arbeitet eng mit der Internationalen Organisation fir Normung (ISO) nach den in der Vereinbarung zwischen beiden Organisationen festgelegten Bedingungen zusammen. 2) Die offiziellen Beschiasse oder Vereinbarungen der IEC Gber technische Fragen, die in Technischen Komitees von Vertretern aller an dem behandelten Thema besonders interessierten Nationalen Komitees erarbeitet werden, bringen das héchstmogliche MaB internationaler Ubereinstimmung fur das behandelte Sachgebiet zum Ausdruck. 3) Sie stellen Empfehlungen zur internationalen Anwendung dar, die als Normen, Fachberichte oder Lett: linien veréffentiicht werden und als solche von den Nationalen Komitees angenommen sind 4) Um die internationale Vereinheitlichung zu fordern, verpflichten sich die Nationalen Komitees der IEC, Internationale Normen der IEC so durchschaubar wie méglich in ihren nationalen und regionalen Normen anzuwenden. Jede Abweichung zwischen der IEC-Norm und der entsprechenden nationalen oder regionalen Norm muss in dieser deutlich gekennzeichnet werden. 5) Die IEC hat kein Verfahren far die Kennzeichnung der Konformitat fesigelegt und abernimmt keine \Verantwortung, wenn ein Gegenstand als konform mit einer ihrer Normen erklt wird. 6) Es besteht die Méglichkeit, dass Bestandtelle dieser Interationalen Norm Gegenstand von Patentrechten sind, Die IEC hat nicht die Verantwortung, das Vorhandensein solcher Patentrechte festzustellen und auf deren Existenz hinzuweisen. Die Internationale Norm IEC 61511-1 wurde vom Unterkomitee 654 ,System aspects’ des IEC TC 65 .Industrial-process measurement and control’. erarbeitet, Die IEC 61511 wurde als eine sektorspezitische Umsetzung der Internationalen Normen der Reihe 61508 sFunktionale Sicherheit ~ Sicherheitssysteme (E/E/PES)" entwickelt. Der Text der Normen basiert auf folgenden Dokumenten: FDIS ‘Abstimmungsbericht SAXXXIFDIS @SADOOUAVD Die vollstandigen Informationen Ober das Abstimmungsergebnis zu dieser internationalen Norm enthéit der ‘obengenannte Abstimmungsbericht. Diese Internationale Norm behandelt hauptsachlich sicherheitstechnische Systeme fir den Sektor der Prozessindustrie.(verfahrenstechnische Industrie). Aufgrund der Forderung nach der Austihrung einer Gefahren- und Risikoanalyse fr angewendete Verfahren behandelt diese Norm ebenfalls die Schnistelle zwischen sicherheitstechnischen und anderen Systemen Der Anwendung dieser Internationalen Normen liegen zwei _Vorstellungen | 2ugrunde der |Sicherheitslebenszyklus" und der ,Sicherheits-Integrittslevet" (SIL). Der Sicherheitslebenszyklus biidet den Rahmen, der die meisten der Konzepte dieser Intemationalen Norm zusammentiihrt Die IEC 61511 bestent aus den folgenden Teilen unter dem Gruppentite! Funktionale Sicherheit Sicherheits- technische Systeme fur die Prozessindustrie Teil 1: Allgemeines, Begrife, Anforderungen an Systeme, Software und Hardware; Teil 2: Anleitungen zur Anwendung von IEG 61511-1; Teil 3: Beispiele fur Verfahren der Gefahrdungs- und Risikoanalyse.Seite 8 E DIN IEC 6151-1 (VDE 0810 Teil 1):2001-05 EINLEITUNG Sichetheitstechnische Systeme sind seit vielen Jahren fir sicherheitstechnische Aufgaben in der Prozess- industrie im Einsatz. Wenn Prozessleittechnik effektiv flr sicherheitstechnische Funktionen eingesetzt wer- den soll, dann muss sie bestimmten Mindestanforderungen und Leistungslevein entsprechen. Diese internationale Norm behandelt die Anwendung sicherheitstechnischer Systeme in der Prozessindustrie. Ein sicherheltstechnisches System umfasst alle Komponenten von den Sensoren bis zu den Aktoren sowie die notwendigen Teilsysteme, die zur Austihrung der sicherheltstechnischen Funktion erforderlich sind. Die in. dieser Norm betrachteten —sicherheitstechnischen Systeme —_beruhen aut __olektri- cher (E)/elektronischer (E)/und programmierbarer elektronischer (PE) Technologie. Wenn andere Techno- fogien zur Realisierung logischer Steuerungen verwendet werden, gelten die grundiegenden Prinzipien dieser Norm entsprechend, In dieser Norm werden auch die Sensoren und Aktoren sicherheltstechnischer Systeme betrachtet, unabhangig von der Technologie, in der diese ausgefdhrt sind. Diese Norm ist innerhalb des Rahmens der IEC 61508 zugeschnitten auf die Prozessindustrie. Diese internationale Norm beschrelbt die notwendigen Tatigkeiten im Sicherheltslebenszyklus, damit die obengenannten Mindestanforderungen erfillt werden kénnen. Dieses Vorgehen wurde gewahtt, damit eine ‘iberlegte und einheitiche technische Vorgehensweise zustande kommen kann. in den meisten Fallen kisst sich die Sicherheit am besten durch einen eigensicheren Prozess, sowelt prakt- kabel, gewahrleisten, Kombinier, wenn nétig, mit einer Anzahl von Schutzsystemen, die auf unterschied- lichen Technologien beruhen "(chemische, mechanische, hydraulische, “pneumatische, elektrische, elektronische, programmierbar elektronische Einrichtungen etc.) und gegen jedes einzeine bekannte verblel- bende Risiko ausgerichtet sind. Die Sicherheits-Strategie muss jedes einzeine sicherheitstechnische System im Zusammenhang mit den anderen Schutzsystemen betrachten. Um diesen Ansatz zu erméglichen, = fordert diese Norm die Durchfiihrung einer Geféhrdungs- und Risikoanalyse, um die Gbergreifenden Sicherheitsanforderungen festzuleger = fordert diese Norm die Zuordnung der Sicherheitsanforderungen zu einzelnen sicherheltstechnischen Systemen; = arbeitet diese Norm innerhalb eines Betrachtungsrahmens, der alle sicherheitstechnischen Methoden zur Erlangung funktionaler Sicherheit umfasst; = fart diese Norm den Gebrauch bestimmter Tatigkeiten, wie z. B. Sicherheitsmanagement, im einzeinen auf, die sich aut alle Methoden zur Erlangung der funktionalen Sicherheit anwenden lassen. Diese internationale Norm Ober sicherheitstechnische Systeme fUr die Prozessindustrie = behandelt alle wichtigen Zeitpunkte innerhalb des Sicherheitslebenszyklus vom anfanglichen Konzept, Entwurf, Ausfahrung, Betrieb und Instandhaltung bis hin zur AuBerbetriebnahme; - erlaubt es, bereits bestehende oder neue landesspezitische Normen fur die Prozessindustrie mit dieser Norm zu harmonisieren. Diese internationale Norm strebt nach einem hohen Niveau der Konsistenz (beztiglich zugrundeliegender Prinzipien, Terminologie, Dokumentation, usw.) innerhalb der Prozessindustrie. Dies sollte sowohl sicher- heltstechnische als auch ékonomische Vorteile bringen.Seite 9 E DIN JEG 61511-1 (VDE 0810 Teil 1):2001-05 Technische Unterstitzende Anforderungen_ Teile Gefahrdungsanalyse TEI 1 a fees Te {TEI 1 mas = csr ; 7 a =<] eee ne [eset W _ ata 2 | a en 7b ‘TE Funttionsendpritung, Montage, Demontage des SIS Abschnitt 9 “Anietang zur Inbetriebrahme und Valelerung a doe SiS Anwendung Abschnite 19 und 14 ren? } Aiskabastorte "Ansitze sur frei Sposiiaton der Bete, instandhatung, ‘Sichorot- Anderung und Rickbau, 4 [Auderbetisbnahme oder Lrens Bild 1 - Gesamtrahmen dieser NormSeite 10 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 Normen fiir Sicherheitssysteme der Prozessindustrie Planer, Errichter und Nutzer von sicherheitstechnischen Gerdtehersteller und) Geratelieferanten Bild 2a - Beziehung zwischen IEC 61508 und IEC 61511Seite 11 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 Normen fiir Sicherheitssysteme der Prozessindustrie (Anmerkung 1) Hardware fiir die Prozessindustrie Software far Prozessindustrie Entwicklung neuer Hardware Nutzung von geman IEC 61508 entwickelter und validierter Hardware Nutzung betriebs- bewahrter Hardware Entwicklung § [ Entwicklung | | Entwicklung von von von system- | | Anwendungs- | | Anwendungs- software software ‘software mit mit Sprachen ‘Sprachen voller begrenzter Variabilitat Variabititat oder festen Programmier- sprachen Anwendung der IEC 61508 ‘Anwendung {| Anwendung | | Anwendung der der der tec 61508 ff | 1ec 61508-3 lec 61511 Anwendung der IEC 61511 Anwendung der lec 61511 Bild 2b ~ Beziehung zwischen IEC 61508 und IEC 61511 (Abschnitt 1.2) ANMERKUNG — Bei allen Tatigkeiten im Lebenszyklus kommt fr die Prozessindustrie die IEC 61511 zur Anwendung, auBer den in dem Bild erkennbaren Ausnahmen, 1 Anwendungsbereich 4.4 Diese internationale Norm stelit Anforderungen aut fir die Spezifikation, den Entwurf, die Installation, den Betrieb und die Instandhaltung eines sicherheitstechnischen Systems (SIS), so dass dieses den Prozess in einen sicheren Zustand versetzen oder in einem sicheren Zustand halten kann. Diese Norm wurde als ‘Anwendung der internationalen Norm IEC 61508 ,Funktionale Sicherheit ~ Sicherheitssysteme (E/E/PES)* for die Prozessindustre erstelt, 4.2 Im besonderen, a). betrfft diese Norm Gerdte, die den Anforderungen der IEC 61508 entsprechen oder die betriebsbewanrt sind, und die in ein System integriert werden sollen, das in der Prozessindustrie eingesetzt wirdSeite 12 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 ANMERKUNG — Sie trifft nicht zu fOr Hersteller, die nachweisen wollen, dass ihre Gerate fUr den Einsatz in sicher- heitstechnischen Systemen fur die Prozessindustrie geeignet sind (siehe IEC 61608-2 und IEC 61508-3). b) beschreibt diese Norm den Zusammenhang zwischen der IEC 6111 und der IEC 61508 (Bild 2a und Bild 2), ©) betrifft diese Norm Anwendungssoftware, die fir sicherheitstechnische Systeme mit begrenzter Varia~ biltat oder festen Programmen erstellt wurde; ANMERKUNG — Sie tiff nicht zu fur Hersteller, Planer sicherheltstechnischer Systeme, Systemerrichter und An- wender, die Betrlebssysteme entwickeln oder Sprachen unbegrenzter Variabiltét benutzen (siehe IEC 61508-2). 4) gli diese Norm far einen weiten Bereich von Industrien innerhalb der Prozessindustrie einschlieplich Ghemisindustre, Raffinerien, OI- und Gasférderung, Papiemerstellung, Konventionelle Stromerzeuger, ete: ANMERKUNG —_Innethalo der Prozessindustrie kénnen einzelne Anwendungen (z. 8. ,off-shore') zusataliche An- farderungen haben, die beachtet werden massen. ) zeigt diese Norm den Zusammenhang zwischen sicherheitstechnischen Funktionen und anderen Funk- tionen (Bild 3); t) fahrt diese Norm zu einer Aufstellung der funktionalen Anforderungen und der Anforderungen an die Sicherheitsintegritat der sicherheitstechnischen Funktionen unter Berucksichtigung der mit anderen Mit- teln erreichten Risikoreduzierung; 4g) legt diese Norm Anforderungen an die Systemarchitektur und Hardwarekonfiguration, Anwendungssoft- ware und Systemintegration fest; fh) legt diese Norm Anforderungen an die Anwendungssoftware far Anwender und Systemerrichter sicher heitstechnischer Systeme (Abschnitt 12) fest. Im einzelnen werden folgende Punkte festgelegt: - _ sicherheitstechnische Softwarefunktionen und Sicherheitsintegritatslevel fur Software: - die Phasen und die Tatigkeiten des Sicherheitslebenszyklus, die wahrend der Planung und Erstellung der sicherheitsbezogenen Software (Modell des Sicherheitslebenszyklus fir Software) stattfinden. Diese Anforderungen schlieBen die Anwendung von Mafinahmen und Techniken ein, die entsprechend dem SIL zur Vermeidung und Beherrschung von Fehlern in der Software ausge- wahit werden; - Umfang der Dokumentation beziglich der Validierung der Sicherheitssoftware, die an die Organisa- tion Ubergeben werden soll, die das SIS errichtet. _ Vorbereitung von Dokumentation und Vorschriften far die Software, die der Anwender far Betrieb und Instandhaltung des SIS bendtigt Verfahren und Spezitikationen, die von der Organisation eingehalten werden missen, die Anderun- gen an der sicherheitsbezogenen Software durchfahr, i) gilt diese internationale Norm dann, wenn die funktionale Sicherheit mit einer oder mehreren sicher- heitstechnischen Funktionen, dem Schutz der Mitarbeiter, der Otfentlichkeit oder der Umwelt dient; j) kann sie auch in Fallen angewendet werden, bel denen nicht die Sicherheit, sondern beispielsweise der Schutz eines Wirtschaftsguts im Vordergrund steht; k)_ stellt sie Anforderungen zum Erlangen funktionaler Sicherheit auf, ohne jedoch vorzuschreiben, wer far die Umsetzung dieser Anforderungen verantwortlich ist (z. B. Entwickler, Hersteller, Betreiber, Kontrak- toren, usw.); 1) legt sie Anforderungen fest, nach denen sicherheitstechnische Funktionen als Teil einer Gesamt- Methode zum Erlangen funktionaler Sicherheit ausgefihrt werden missen; m) verwendet sie einen Sicherheltslebenszyklus (Bild 8) und legt eine Reihe von Tatigkelten fest, die notwendig sind, um die funktionalen Anforderungen und die erforderliche Sicherheitsintegritat for sicher- heitstechnische Systeme festzulegen; 1) verlangt sie, dass eine Gefahrdungs- und Risikoanalyse durchgefulhrt wird, in der die Anforderungen an die funktionale Sicherheit und an den Sicherheitsintegritatslevel fr jede einzeine sicherheitstechnische Funktion festgelegt werden; ANMERKUNG Bild 9 zeigt eine Ubersicht Gber Methoden zur Risikoreduzierung 0) definiert sie Zielwerte fr die mittlere Versagenewahrscheinlichkeit im Anforderungsfall und die Haufig- keit gefahrlicher Ausfaile pro Stunde in den verschiedenen Sicherheitsintegritatsieveln;Seite 13 E DIN IEC 61811-1 (VDE 0810 Tell 1):2001-05 p) schreibt sie die zum Erreichen der goforderten Integritatslevel notwendigen Vorgehenswsisen und MaBnahmen vor; 4) definiert sie den hdchsten Sicherheits-Level (SIL 4), welchen eine sicherheitstechnische Funktion erreichen kann, die nach dieser Norm ausgefuhrt wurde; 1) definiert sie den niedrigsten méglichen Sicherheits-Level (SIL 1), unterhalb dessen ein SIS nicht mehr dieser Norm gentigen muss; '8) gibt sie einen Rahmen zur Festlegung von Sicherheitsintegritatsleveln vor, ohne jedoch festzilegen Gelche Sicherheitsintegritatslevel in spezifischen Anwendungen bendtigt werden (was nur aufgrund von Erfahrungen mit der jeweiligen Anwendung méglich ist); 1) schreibt sie Anforderungen fr alle Teile des sicherheitstechnischen Systems von den Sensoren, bis 24 den Aktoren vor; uy) legt sie fest, welche Dokumentation wahrend des Sicherheitslebenszyklus gebraucht wird, \) fordert sie, dass der Entwurt sicherheitstechnischer Funktionen menschliche Verhaltensweisen beriick- sichtigt Start Technische Funktion’, Sener technische Funktion Ja sieht autotfend aa |sicherheitstechnische a_i vethingern ununte err technische ‘Schutz funktion Y Betiebseinrichtung | sicherheits- 1 “undloder Schutz {| | technische | eines Wirtschaftagut! [Regelfunktion 1 andere Miter eer | | Risikoreduziorung, technische ‘Sohadens- bbearonzung bedeutet: dle Norm schreibtTatigkeiten vor, ohne ‘elaillorta Anforderungen vorzugeben Bild 3 - Zusammenhang zwischen sicherheitstechnischen und anderen Funktionen 4.3 In Landen, in denen von behérdlicher Seite (Bundes-, Landes- oder Regionalbehbrden) Sicher- Raltsvorschriften for Aniagenplanung und -betrieb erlassen wurden, haben diese gesetzlichen Vorschriften in jedem Fall Vorrang gegendber den Anforderungen dieser Norm. Diese Auflagen massen an geeianeler Stelle innerhalb des Sicherheltslebenszyklus berucksichtigt werdenSeite 14 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 Allgemeiner Betrachtungsrahmen, Systeme und Hardware ‘Management der funktionalen Sicherheit (Abschnitt 5) Festlegungen von Funktion und Zuverlassigkeit (Abschnitt 8) Verifikation und Validierung (Abschnitte 7, 12.3, 12.7, 13, 14.3) Betrieb, Instandhaltung und Anderung (Abschnitte 14.4, 14.5) Sicherheitstechnische Fun! Kontinuierliche Betriebsart sicherheitstechnische Regelfunktion Betrieb auf Anforderung sicherheitstechnische Schutzfunktion = sicherheitstechnische Schutzfunktion + sicherheitstechnische Schadensbegrenzung ey eee sicherheitstechnische Systeme nen Eingange Logische ‘Ausgange Verknipfung ‘Anforderungen an Software fiir sicherheitstechnische Systeme (Abschnitt 12) Bild 4 - Zusammenhang zwischen System, Hardware und Software in der IEC 61511-1 2 Normative Verweisungen Die folgenden normativen Dokumente enthalten Festlegungen, die durch Verweisung in diesem Text Be- standteil dieser Internationalen Norm sind. Bei datierten Verweisungen gelten spatere Anderungen oder Uberarbeitungen dieser Publikationen nicht. Anwender dieser Internationalen Norm werden jedoch gebeten, die Moglichkeit zu priifen, die jewells neuesten Ausgaben der nachfolgend angegebenen normativen Doku- mente anzuwenden. Bei Undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen nor- mativen Dokuments. Mitglieder von ISO und IEC fuhren Verzeichnisse der giltigen Internationalen Normen. IEC 61508-1:1998 Functional safety of electrica/electronic/programmable electronic safety-related systems, Part 1. General requirements IEC 61508-2:2000 Functional safety of electricalVelectronic/programmable electronic safety-related systems, Part 2: Requirements for electrical electronic/programmable electronic safety-related systems IEC 61508-3:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems, Part 3: Software requirements IEC 61508-4:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems, Part 4: Definitions and abbreviations ANMERKUNG —Jede der obengenannten Verwsisungen sollte in dem in den Bilder 2a und 2b dargestellten Zusammenhang verwendet werden.3. Begriffe und Abkiirzungen Seite 15 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 3.1 Abkiirzungen Tabelle 1 — In der IEC 61511 verwendete Abkiirzungen [praons| cngllsche Bedeutung deutsche Bedeutung wa One oot Ene von 8 ACIOO | Alerating caverta cuore Techseh/Giocharom ALARP [As tow a reasonably practicable So niedg wie arninigeweise megich fanst [american National Standards insite Fmecan National Standards inte jaPOS Bosc process convol aston Betievs- und Ubervachungseinfehiungen Eo Diagnostic coverage Diegnase Deckungoarad SPE feeorcarsiocroncapanmate secrone[EleklsnElekwonsshbvowanmietar GEIPES ~~ [Hecviavsoavontprogranmabie seavorio | Elekrsohes/ElekronischeslProgrammieoares system eckvoisehes System feo Etec magnetic compatity Etkromagrotche Venragisnkeit Fat Facory accepancetesing Funkionsendprtung [rec Fixed program language Fest Programmiersprache | FTA Faut woo anahsie Fonierbaum Analyse ve Fa variably language or-vanaie Proarammiersprache 1H & RA |Hazard & risk analysis |Gefahrdungs- und Risiko Analyse | HW Hardware [Hardware ~~ [per Hardware faut toerance Feherolerane der Hardware a uman machine ntrace vonach Maschine Schnitstele TARA [Human reliably analvis Tnatyso monseioner Zovessigt Ed Triermationel Elecvotechrical Commission |ltematonale Elekrotechieche Kommission ie nterational Electrotechnical Vocabulary intrationales Elekvotechnisches Vokabular ret Independent protection ayer Unankangige Schutzebene isa nsiument Soclty of America narument Society of America is irverationalOrgarizaton for Sandardzaton _|Inlematonae Organisation fr Standardsienng ve Limited variabity language Sprache begrenctor Varebil PPE [Nor-progammable Programmable eecronice [lestercrattte Steuering PES Programmable olocroic sytem Programmierbares Elxrovisenes System PFD Probaity af fare on demand Wanrecheiniontit ones Avsfals bel Afordoung Dave [Average probably of fare on demand itlere Wakrecheinichket eines Austala bel Rntorderung ro Programmable ogi contoer Frogrammiorbarr Loiecer Conrollor sw Software Sotware ISAT [Site acceptance test VorOr-Abnahme StF Sef allure action ee sicerer Ausle sir [Safety instrumented function [Sicherheltstechnische Funktion “| sic Safty neg level Sicherheltsintegttslovel [sis [Safety instrumented system [Sicherheltstechnisches SystemSeite 16 E DIN IEC 6151-1 (VDE 0810 Tell 1):2001-05 3.2 Begritfe 324 “Architektur Arche ung von Bestandtellen aus Hardware und/oder Software in einem System fe beispielsweise (1) sie icammenstellung von sicherheitstechnischen Teilsystemen: (2) dle infers Struktur eines sicherhelts- oe tren Tellystomes; (2) eine Anordnung von Softwareprogrammen; (4) eine Bewertung, |ANMERKUNG Diese Defintion weicht wegen in der Prozessindusie vornandenar Unterschiede von der Definition in JEG 61508-4 ab. 3.2.2 ‘Schutz vor Sachschaden Die dem Systementwurt zugeordnete Funktion zum Zwecke der Verhinderung von ‘Sachschaden. 3.23 BPCS System, das auf Eingangssignale vom Prozess und seinen zugehOr gee technischen Einrichtungen, von an- Seren programmierbaren Systemen undioder von einem Becione? ‘antwortet, und Ausgangssignale erzeugt, See toh prozess und seine zugehorigen technischen Einrchtungen in der gewinschten Weise steuern. Das Be SS inernimmt jedoch Keine sicherheitstechnischen Funktionen mit einer SI-> 1. |ANMERKUNG — Siehe Anhang A, Abschnitt A.2 3.2.4 Kanal Kanal t oder Gruppe von Elementen, das (die) eine Funktion (unabhéngig von anderen Kanalen) ausfihrt (ausfihren). ANMERKUNG 1 le Elemente innerhalb eines Kanals Kannan Eingabe-/Ausgabemodile, 29 Logiksystem (siehe $12.40), Sensoren, Aktoren beinhalten ANMERKUNG 2 Eine zwekanaige Kontiguation ist eine Konfiguration mit zwel Kandlen die die gleiche Funktion un- abhangig voneinander ausfuhren pantenuNta'3 Der Beat kann verwandet werden, m en voletandiges System oder einen Tel eines Syston 28. Sonsoren oder Aktoren) Zu beachreiben 325 kodieren Siohe ,programmieren* (3.2.55) 3.2.6 2) _Ausfall infolge gemeinsamer Ursache 2 tal, donnias Ergebne, oines oder mofrerer Ereignisse it, die gllcnzetigg AiR vey oder AusalSevetrennten Kandlen in einem mehrkanaligen System verursachen und zu einem Systemausfall fahren. b) ‘Ausfall infolge gemeinsamer Ausfallart Siehe Ausfall infolge gemeinsamer Ursache 327 Komponente cerpone Systems, Tellsystems oder Gerétes, das eine bestimmte Funktion ausfihrt. Ein Smart-Mess- setomor bespielsweise Ist ein Feldgerat und besteht aus den Komponenten Firmware, Kommunikations- ‘Schnitistella, Konfigurationstableau und so weiter. ANMERKUNG Diese Definition ist spezifisch fr die Prozessindusrie 3.2.8 Konfiguration Siehe ,Architektur™ ANMERKUNG Diese Definition ist spezitisch fir die Prozessinaustre,Seite 17 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 329 Konfigurationsmanagement Veriton zur Identfikation der Komponenten eines sich entwickelnden Systems zum Zwecke der Kontole vei yeranderungen an den Komponenten und zur Aufrechterhaltung von Kontinultt und Zurtickverfolgbar- keit wahrend des Lebenszyklusses. 3.2.10 Regelsystem System, das auf Eingangssignale vom Prozess und/oder des Bedieners reagiert und Ausgangssignale erzeugt, die die verfahrenstechnische Anlage veranlassen, in der gewinschton Weise zu arbelten. ANMERKUNG 1 Das Regelsystem schieBt auch Sensoren und Aktoren ein und kann entwader eln BPCS oder sine SIS ‘oder eine Kombination von beiden sein. |ANMERKUNG 2 Diese Definition ist spezifisch fir die Prozessindustrie. 3.2.41 gefahrlicher Ausfall See mat dem Potential, das sicherheitstechnische System in einen gefattichen oder funktionsuntahigen Zustand zu setzen ANMERKUNG Ob closer Fall enti, Kann von der Systemarchitektur abhangen: in Systemen, die zur Verbesserueg ANMERKUNG oo ace Kandig besizen, fuhrt ein gelahricher Hardware-Ausfall mit geringerer Wahrscheinichkeit 2 Sinem getahlichen Gesamtausfall oder zur Funktionsunfahioket. 3.2.42 abhangiger Austall aon deacon Wahrscheinlichkeit nicht als das einfache Produkt der Wahrscheinlichkeiten der incividuelion Ereignisse, die ihn verursachen, ausgedriickt werden kann. ANMERKUNG 1 Zwei Ereignisse A und B sind nur dann abhangig, wenn far P(2) als Wahrachelnlichkelt von Ereignis z gilt: P(A und B) > P(A) x P(E) ANMERKUNG 2. Siehe Abschnitt 8.6 als Beispel flr die Berdcksichtigung abhangiger Austélle zwischen Schutzebenen. 3.2.13 erkannt, offenkundig In Verbindung mit Hardware und Software, erkannt durch Diagnosetests oder den normalen Betrie. 3214 Einrichtung Finkionsochent aus Hardware oder Software oder beidem bestehende Einhelt, die einem spezielien Zwerk Gant (rb. Feldgerate; an den Eingangs- und Ausgangskarten des SIS angeschlossene Einvichtungen. 74 Secs einrichtungen gehoren auch Feldverdrahtung, Sensoren, Aktoren und Bediener-Schnitstellen, cle mit der Ein-/Ausgangsebene des SIS verdrahtet sind). ANMERKUNG Diese Definition ist spezifisch far die Prozessindustrie 3.2.45 Diagnose-Aufdeckungsgrad derfenige Antell der vielen Zustande, der durch die Ausfahrung einer diagnostischen Priftrg festgestellt cee ie clagnostische Autdeckung eines Bauteils oder einer Baugruppe ist das Vethaltnis der festgestelten Ausfallraten zu den Gesamtausfallraten des Bautells oder der Baugruppe. Diagnostisohe Profungen konnen automatische Prifungen sein oder durch Bedienereingritf regelmaig anhand eines Zeitplans ausgelést werden. ANMERKUNG 1 Die Diagnose-Aufdeckung wird benutzt, um die festgestelte (Ao) und nicht festgestelt (lx) Ausfallrate aan er Gesamtaustallrte (22) folgendermatGen zu berechnen: ho = DC x Ar und = (1-DC) x hr. ANMERKUNG 2 Der Diagnose-Aufdeckungsgrad kann fOr Bautelle oder Baugruppen ines, sicherhetsperogene! ANMERICUNG zendet worden. Typlecherweise wird der Diagnose-Auideckungsgrad fr Sensoren, Steligleder oder LLogikbaugruppen bestimmt. ANMERKUNG 8 FOr Sicherheltsanwendungen wird der Diagnose-Aufdeckungsgrad typischerwelse aut sienore, wed Gofahrliche Austlle des Bavtels oder der Gaugruppe angowendet. Besplelsweise kann dor Diagnose-Aufdeckungsgrad getline Shnieten Austall bel einer Baugruppe DC = Roofhar betragen, wobel Mao ce festgestlite Austaltate (or {fahitiche Ausfalle und hor die Gesamtaustarate far getahliche Austalle ist.Seite 18 E DINIEG 61511-1 (VDE 0810 Teil 1):2001-05 3.2.16 Diversitat Ungleichartige Mitel zur Ausfihrung einer geforderten Funktion. ANMERKUNG — Diversitit kann durch unterschiediche physiklische Metnoden oder unterachiadiche Planvngsarten des Entwurts erreicht werden. 3.247 eleitrisch/elektronisch/programmierbar elektronisch (E/E/PE) Basiorend auf elektrischer (E) und/oder elektronischer (E) und/oder programmierbar elektronischer (PE) Technologie ANMERKUNG Dieser Beghil erlasst alle Elnrichtungon oder Systeme, die aut elerischen Prinzpien arbelien Plektrische/eloktronische/programmiorbare elektronische Gerate beinhlten’ = elektromechanische Bautelle (elektrisch}: nichtpragrammierbare elektronische Einrichtungen (elektronisch): = elektronische Einrichtungen basiorend auf Rechnertechnologie (programmierbar elektronisch),siohe 32.59. 3.218 ‘Abweichung ao neicrsaezwischen einem errechneten, beobachleten oder gemessenen Wert oder Bedingung und dem wahren, spezifizierten oder theoretisch richtigen Wert oder Bedingung. ANMERKUNG [EV 191-05-24 mit Ausnahme der Anmerkungen. 3.2.19 externe Einrichtungen zur Risikominderung Seernme. um die Risen Zu reduzieren oder 2u rikdern, dle getrennt und verschieden vom SIS ist ANMERKUNG 1 Externe Einrchtungen zur Riskominderung sind zum Beispel ein Enllesrungssystem, eine Branch ‘schutzmauer oder ein Fluchtweg AANMERKUNG 2 Diese Defirition weicht wegen in der Prozessindusre vorhandener Unterschiede von der Defintion in TEC 61508-4 ab. 3.2.20 ‘Ausfall Boandigung der Fahigkeit einer Funktionseinhet, eine geforderte Funktion auszutthren, ANMERKUNG 1 Diese Definition stimmt mit ISO/EG 2982-14-01-09 dberein, Die Definition in IEV 104-0401 ist cle Gleiche mit zusétzlichen Anmerkungen. |ANMERKUNG 2 Weltergehende Informationen finden sich in IEC 61508-4. ANMERKUNG 3 ie Loistung geforderter Funktionen schiieBt notwendigerweise bestimmte Verhalten aus. we ergs ANMERKUNG 9. Pijerart spouiier werden, dase sie ein bestimmtes Vernalten vermeiden. Das Eintreton soleh eines \Verhaitens ist dann ein Austal |ANMERKUNG 4 Ausialle sind entweder zufallig oder systematisch (siehe 9.2.60 und 3.2.88), 3.2.21 Fehler Fehler Zustand, der eine Reduzierung oder den Verlust der Fahigket einer Funktionseinhelt verursachen kann, eine geforderte Funktion auszufunren ANMERKUNG EV 191-05-01 defini “Fohlor als einen Zustand, dor durch das Fehlen externor Mitel one! Ste ie ANE UNG nvormbgan charakterisiet wie, el geforderte Funktion auszufihren, ausgenommen watrend vor Gouender Instandhaltung oder anderer geplanter MaBnahmen,[!SOVNEC 2382-14-01-08] 3.2.22 Fehlervermeidung Verwendung von Techniken und Verfahren mit dem Ziel, die Entstehung von Fehler wahrend jeder Phase des Sicherheitslebenszyklus des SIS zu vermeiden.Seite 19 E DIN IEC 6111-1 (VDE 0810 Teil 1):2001-05 3.2.23 Fehlertoleranz Fahigkeit einer Funktionseinheit, eine geforderte Funktion bei Bestehen von Fehlem oder Abweichungen weiter auszufihren, ANMERKUNG Die Definition in |EV 191-15-05 bezieht sich nur aut die Tellmenge der Fehler in Untereinheiten. Siene die Anmerkung zum Begriff Fehler in 3.2.21, [ISOVIEC 2362-14-04-08} 3.2.24 Aktor Teil eines sicherheitstechnischen Systems, das die Eingriffe in den Prozess ausfihrt, um einen sicheren Zustand zu erreichen, ANMERKUNG 1 Beispiele sind Ventile, Schalter, und Motoren einschlieBlich ihrer Hiltsaggregate, also beispielsweise fin Magnetventil mit seinem Aktor, sofetn beide in dle sicherheitstechnische Funktion einbezogen sind [ANMERKUNG 2 Diese Deffnition ist speztisch fUr die Prozessindustrie. 3.2.25 funktionale Sicherheit Fahigkeit eines sicherheitstechnischen Systems oder anderer Mittel zur Risikoreduzierung, die zum Erreichen oder Aufrechterhalten eines sicheren Zustands far den Prozess und seine zugehdrigen Einrichtungen otwendigen Aktionen auszufuhren. ANMERKUNG Diese Definition weicht wegen in der Prozessindusiie vorhandener Unterschiede von der Definition in IEG 61508-4 ab. 3.2.26 Beurtellung der funktionalen Sicherheit ‘Auf Nachweise gestitzte Untersuchung, die die funktionale Sicherheit beurteil, die durch eine oder mehrere Schutzebenen erreicht wird. ANMERKUNG Diese Definition weicht wegen in der Prozessindustrie vorhandener Unterschiede von der Detinition in TEC 61508-4 ab. 3.2.27 ‘Audit der funktionalen Sicherheit Systematische und unabhdngige Untersuchung, die bestimmt, ob die Verfahren zur Festlegung der Anfor- derungen an die funktionale Sicherheit mit den geplanten Vorgehensweisen Ubereinstimmen, wirksam durchgefihrt werden und angemessen sind, die spezifizierten Ziele zu erreichen. ANMERKUNG — Ein Audit der funktionalen Sicherheit kann im Rahmen der Beurteilung der funktionelen Sicherheit aus- gefahrt werden 3.2.28 Funktionseinheit Einhelt aus Hardware oder Software oder beidem, die zur Durchfiihrung einer festgelegten Aufgabe geeignet ist ANMERKUNG 1 In IEV 181-01-01 wird die aligemeinere Benennung “Einheit” anstelle “Funktionseinheit” verwendet. Eine Einheit kann manchmal Menschen einschiieBen. ANMERKUNG 2 Dieses ist dle Definition, die in ISOMEC 2982-14-01-01 angegeben ist. 3.2.29 Sicherheitsintegritat der Hardware Teil der Sicherheitsintegritat der sicherheitstechnischen Funktion, der sich auf zufallige Hardware-Ausfalle mit gefahrlicher Ausfallart bezieht ANMERKUNG 1 Der Begriff bezicht sich auf Austalle mit gefahricher Ausfallart. Dieses sind die Ausfalle eines sicher- hoitabezogenen Systems, die die Sicherheitsintegritat beeintrachtigen kKonnen. Die in diesem Zusammenhang relevanten duel Parameter sind die .Gesamtausfallrate fOr gefahrliche Ausfalle" und die ,Wahrscheinlichkeit eines Versagens im ‘Anforderangefall” Der erste Zuverléssigkeitsparameter wird verwendet, wenn ¢8 aus Sicherheltsgranden notwendig ist fine ununterbrochene Steuerung aufreohtzuernalten, der zweite Zuveridssigkeiteparameter im Zusammenhang mit ‘Sicherheltstechnischen Systemen im Anforderungsmodus. ANMERKUNG 2 Sieho 3.2.82 und 3.2.66.Seite 20 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 ANMERKUNG 3. Diese Definition weicht wegen in der Prozessindustie vorhandener Unterschiede von der Definition ta EC 61508-4 ab, 3.2.30 ‘Schaden Physische Verletzung oder Schadigung der Gesundheit von Menschen, entweder dirokt oder indirekt als ein Ergebnis von Schaden an Eigentum oder an der Umwelt. [ISO/IEC Guide 51 zweite Ausgabe (Entwurt 1997)] {ISO/IEC Guide 51:1990] Geféhrdung Potentielle Schadensquelle |ANMERKUNG 1 Diese Definition (ohne Anmerkungen) stimmt mit 3.4 von ISO/IEC Guide 51:1990 dberein. ANMERKUNG 2 Der Begriff schiiest die Gelahrdungen von Personen ein, die innerhalb einer Kurzen Zeitspanne ent aSNen (aum Beispie! Feuer und Explosion) und auch die, die einen Langzeiteffekt auf die Gesundheit einer Person haben (2um Beispiel durch Freisetzung einer giftigen Teilstanz). 3.2.92 menschliches Versagen, Irrtum Menschliche Handlung oder Unterlassung mit unbeabsichtigten Folgen. ANMERKUNG Diese Definition unterscheidet sich von der aus 1EV 191- [ISONEC 2582-14-02-03] 3.2.33 Einflussanalyse ‘Analyse zur Bestimmung des Einflusses, den eine Anderungen einer Funktion ader einer Komponente eines Systems auf andere Funktionen oder Komponenten im gleichen System oder in anderen Systemen haben kann. 5 durch den Zusatz “oder Unterlassung’ 3.2.34 unabhéngige Abteilung ‘Abtellung, die getrennt und nicht in Verbindung mit den Abteilungen steht, die verantwortich far die Axtivi- {aten sind, die wahrend einer speziellen Phase des gesamten SIS- oder Software-Sicherheitslebenszyklus, der Gegenstand der Beurteilung der funktionalen Sicherheit oder Validierung ist, stattfinden 3.2.35 unabhangige Organisation Organisation, die durch das Management und andere Mittel getrennt ist und nicht in Verbindung mit den Organisationen steht, dio fir die Aktvtéten verantwortich sind, die wahrend einer speziollen Phase des gesamten SIS- oder Software-Sicherheitslebenszyklus, der Gegenstand der Beurtellung der funktionalen Sicherheit oder Validierung ist, statfinden 3.2.96 unabhéngige Person Porson, die getrennt und nicht eingebunden ist in die Aktivtaten, die wahrend einer spezielien Phase des gesamien SIS- oder Software-Sicherheitslebenszyklus, der Gegenstand der Beurieilung der funktionalen Sicherhelt oder Validierung ist, stattfinden und die keine direkte Verantwortung fur diese Tatigkelten tragt 3.2.37 Eingangsfunktion Eine Funktion, die den Prozess und seine zugendrige Ausriistung dberwacht und diese Information einer logischen Funktion zur Verftigung stellt. ANMERKUNG 1 Eine Elngangstunktion kann auch eine manuelle Funktion sein. ANMERKUNG 2 Diese Definition ist spezifisch far die Prozessindustrie 3.2.38 Instrument Ein Gerat, das zur Ausfilhrung einer Aktion gebraucht wird.Seite 21 E DIN IEC 61811-1 (VDE 0810 Teil 1):2001-05 ANMERKUNG Diese Definition ist spezifisch for dle Prozessindustre. 3.2.39 Logische Funktion Funktion, die eine Verknipfung der Eingangsinformation (bereitgestellt durch eine oder mehrere Eingangs- funktionen) mit der Ausgangsinformation (verwendet durch eine oder mehrere Ausgangsfunktionen) herstell. Logische Funktionen verkniofen also eine oder mehrere Eingangsfunktionen mit einer oder mehreren Aus- gangsfunktionen. ANMERKUNG 1 Weitere Hinweise findan sich in IEC 61191-9 und IEC 60617-12. ANMERKUNG 2 Diese Definition ist spezifisch far die Prozessindustrie. 3.2.40 Logiksystem Teil eines BPCS oder eines SIS, das eine oder mehrere logische Funktionen ausfirt. ANMERKUNG 1 In der IEC 61511 werden folgende Logiksysteme benutzt = elektrische Logiksysteme in elektromechanischer Technologie: ¢lektronische Logiksysteme in elektronischer Technologie: PE logische Systeme fir programmierbare Elektronik ANMERKUNG 2 Zu den Beispielen zallen elektrische Systeme, elektronische Systeme, programmierbare elektronische Systeme, pneumatische Systeme, hycraulische Systeme, usw. Sensoren und Aktoren sind nicht Bestandtell des Logik systems, ANMERKUNG 3 Diese Definition weicht wegen in der Prozessindustrie varhandener Unterschiede von der Definition in TEC 61508-4 ab, 3.2.41 Instandhaltungs- und Engineering-Schnitistelle Die Instandhaltungs- und Engineering-Schnittstelle bezeichnet jenen Teil der Hardware und Software, der ur Instandhaltung eines programmierbaren elektronischen sichetheitstechnischen Systems vorgesehen ist. Sie kann auch Instruktionen oder Diagnosemittel einschlieBen, die als Software, Programmiergerdte, Diagnose- ‘werkzeuge, Anzeigen, Uberbriickungseinrichtungen, Prif- und Kalibriergerate vorliegen kénnen. ANMERKUNG Diese Definition ist spezitisch far die Prozessindustrie. 3.2.42 ‘Schadensbegrenzungsmatnahme MaGnahme zur Verringerung der Auswirkungen eines gefahrlichen Ereignisses: ANMERKUNG 1 Beispiele fr Schadensbegrenzungsmafinahmen sind Notentspannungssysteme fir den Brand: oder Leckagetall ANMERKUNG 2 Diese Definition ist spezifisch far die Prozessindustrie, 3.2.43 Betriebsart Art, in der eine sicherheitstechnische Funktion betrieben wird, um das geforderte verblelbende Risiko 2u erreichen. 3.2.43.1 sicherheitstechnische Funktion im Anforderungsmodus: in Fallen, in denen die festgelegte Handlung (z.B. das SchlieBen eines Ventils) als Antwort auf Prozesszustande oder andere Anforderungen eingeleitet wird, 3.2.43.2 sicherheitstechnische Funktion im ununterbrochenen Modus: in Fallen, in denen eine ununterbrochene Steuerung oder Regelung erforderlich ist oder bei einer sichetheitstechnischen Funktion im Anforderungsmodus, wobei die Anforderungsrate hoch ist im Vergleich zum Prifintervall (siehe Anmerkung 1). ANMERKUNG 1 Wenn die Anforderungsrate gréBer ist als zweimal die Haufigkeit der Wiederholungspritung, ist es ‘noglich und Kann besser sein, eine Sicherheits{unktion im Anforderungsmodus wie eine Sicherheitsfunktion im ununter- broshenen Modus 2u behandeln und Ihren Versagensgrenzwert in gefatrichen Ausfallen pro Stunde anzugeben (siéhe Tabelle 4). Die Ausfallrate kann in diesen Fallen geeigneter sein, weil es zunehmend wahrscheinlicher wird, dass imSeite 22 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 Falle eines Fehlers eine Anforderung vor der nachsten Profung kommt, wenn die Anforderungsrate signiikant noher ist als die Hautigkeit der Funktionsprifung ANMERKUNG 2 Der Versagensgrenzwert {ar SIS im Anforderungsmodus und im ununterbrochenem Modus wird in Tabelle 3 bzw. 4 definiert ANMERKUNG 8 Diese Definition ist spezitsch fur de Prozessindustrie 3.2.44 Modul ‘Abgeschlossene Einhelt aus Hardware-Komponenten zur Ausfiihrung einer bestimmten Hardware-Funktion (Z.B. digitales Eingangsmodul, analoges Ausgangsmodul, etc.) oder wiederverwendbarer Anwendungscode {innerhalb eines Programms oder einer Menge von Programmen), der eine bestimmte Funktion ausfihrt; zum Beispiol Teil eines Computerprogramms, das eine bestimmte Funktion ausfuhrt. In der IEC 6131-3 ist ein Software-Modul eine Funktion oder ein Funktionsbaustein ANMERKUNG Diese Definition weicht wegen in der Prozessindustrie vorhandener Unterschlede von der Definition in TEC 61508-4 ab. 3.2.45 notwendige Risikominderung Risikoreduzierung, um sicherzustellen, dass das vertretbare Risiko (Grenzrisiko) nicht Gberschritten wird, 3.2.46 nicht programmierbares System Ein nicht auf Computertechnologie (z. B. ohne Software) beruhendes Hardware-System (d.h. ein nicht aut programmierbarer Elektronik (PE) beruhendes System). ANMERKUNG 1 Zu den Belspielen gehren festverdrahtete elektrische oder elektronische Systeme, mechanische, hydraulische oder pneumatische Systeme, etc [ANMERKUNG 2. Diese Definition ist spezifish for die Prozessindustrie 3.2.47 Bediener-Schnittstelle ‘Als Bediener-Schnittstelle werden jene Einrichtungen bezeichnet (z. 8. Bildschirme, Leuchtanzeigen, Drucktaster, Hupen, Alarm, etc), die dazu dienen, Informationen zwischen dem Bediener und dem SIS aus- zutauschen. Die Bediener-Schnitistelle wird auch als Mensch-Maschine-Kommunikation bezeichnet. ANMERKUNG Diese Definition ist spezifisch far de Prozessindustrie 3.2.48 icherheitssystem anderer Technologie Sicherheitssystem, das nicht auf elektrischer/elektronischerlprogrammierbar elektronischer Technologie basiert. ANMERKUNG — Ein Sicherheitsventil ist ein Sicherhaitssystem anderer Technologie. Weitere Beispiele finden sich im Bereich hydraulischer und pneumatischer Systeme. 3.2.49 ‘Ausgangstunktion Funktion, die den Prozess und die zugehdrigen Einrichtungen gemaB der durch die logische Funktion vorge- gebenen Stelisignale steuert. ANMERKUNG Diese Definition ist spezifisch far die Prozessindustrie. 3.2.50 Phase Zeitraum im Sicherheitslebenszyklus, wahrend dessen in dieser Norm beschriebene Tatigkeiten stattfinden. ANMERKUNG Diese Definition ist spezifisch fir dle Prozessindustrie, 3.2.61 ‘SchutzmaBnahme MaBnahme zur Verringerung der Wahrscheinlichkeit des Auftretens eines gefaihrlichen Ereignisses. ANMERKUNG Diese Definition ist spezitisch far dle Prozessindustrie,Seite 23 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 3.2.52 Vertahrenstechnisches Risiko Risiko, das sich aus Prozesszusténden ergibt, die durch auBergewdhnliche Ereignisse verursacht werden (inschlieBlich Fehifunktionen des BPCS). ANMERKUNG 1 In diesem Zusammenhang ist das mit einem bestimmten gefahrichen Ereignis verknipite Risiko ge maint, gegen das ein SIS verwendet wird, um die notwencige Risikoreduzierung zu erreichen (4. h. das mit der funktio- halen Sicherhelt verkniptte Risiko), ANMERKUNG 2 Das verfahrenstechnische Risiko wird in IEC 61511-9 behandelt. Die Hauptaufgabe bei der Bestim- mung des veriahrenstechnisonen Risikos besteht darin, einen Bezugspunkt fur das Risiko ohne Berucksichtigung der Schutzebenen zu ermittein. [ANMERKUNG 3. Die Bewertung dieses Risikos sollte auch damit zusammenhngende Fragen menschlichen Verhaltens sinschlieBen ANMERKUNG 4 Diese Definition weicht wegen in der Prozessindustrie vorhandener Unterschiede von der Definition in TEC 61808-4 ab. 3.2.53 programmierbare Elektronik Elektronische Komponente oder Gerat in einem PES, die (das) aut Computertechnologie basiert. Der Aus- druck umfasst Hardware, Software, Eingangs- und Ausgangsgerate. ANMERKUNG 1 Der Begriff erstreckt sich auf mikroolektronische Gerate mit einer oder mehreren Zentraleinheiten (CPU), zugehdrigem Speicher, ete. Beispiele fOr elektronische Komponenten aus der Prozessindustrie sind Sensoren mit ikroprazessor(,Smart-Sensoren’); = Programmierbare elektronische logische Systeme, wie: = programmierbare Regler; - programmierbare Steuerungen (SPS), siehe Bild 5; Prozessleiteystem (PLS); + Regler, = Aktoren mit Mikroprozessor. ANMERKUNG 2 Diese Definition weicht wegen in der Prozessindustrie vorhandener Unterschiede von der Definition in TEC 61508-4 ab.Seite 24 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 Andere Systeme Funktionen dor Mensch-Maschine- Kommunikation ‘Kommunikations- Funitionen Programmier-Debug- und Test-Funktionen ‘Signalverarbeltende a Funktionen Baiebssystem Funktionen ‘Strom New: versor- Teil ung Funke tenen ‘Ausfuhrung des Speicher for |Anwendungs- Anwendungs- Programms Programm ‘Daten: Speicher- Funktionen ‘Sohrittstellan- Funktionen 2u Sensoren und Aktoren Maschine / Prozess. Bild 5 - Struktur und Funktionen einer SPS (aus IEC 61131) 3.2.54 programmierbares elektronisches System (PES) System zur Steuerung, zum Schutz oder zur Uberwachung, basierend auf einem oder mehreren progran: Fletbaren elektronischen Geraten, cinschlieBlich aller Elemente des Systems wie 2.B. Energioversor- gungen, Sensoren und anderen Eingabegeraten, Datenverbindungen und anderen Kommunikationswegen Sowie Aktoren und anderen Ausgabeeinrichtungen (siehe Bild 6). |ANMERKUNG _ Die Struktur eines PES zeigt Bild 6 a). Bild 6 b) zeigt ein PES mit der programmierbaren Elektron Gnvgestall als Einhett, getrennt von den Sensoren und Aktoren und ihren Schnittstellan; die programmierbare Elektronis parerfedach an mehroren Stellen im PES vorkommen. Bild 6 c) zeigt ein PES mit zwei getrennten Einhelten prograr ta eet Cloktronik. Bild 6 d) zeigt ein PES mit zwelfacher programmierbarer Elektronik (d. h. zweikenalig), aber mit reepeteinkanaligen Sensor und einem einkanaligen Aktor. Bild 6 e) zeigt ein System mit nichtprogrammierbarer HardwareSeite 25 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 nang os PES oorsinaa | ‘oom f -Aucaangzacnittoton ‘ ee a Wane aH progrierbare faronk (PE) 4 ene Armen Engengsgrito Aunganegeritessiatgoder ‘Sonore) caren (2) cenderutur Pes ve vet (@yeraches PES (©) acs PES it ntacresPESa auc! (6) Ehlocesnichpro amit eoronPe” —Gigeinfanetes, | Palgeriuaren Soren Syrtom(¢5clekrecveteniscy (entarsigePES) —Fleigenta'Senar tnd «nation (ane Pes | Preueech [ropanmerbarer Kontrol) bestenend aus sel PE-Kanen) ANMERKUNG Di Abbidung zi co prograzrertare Eten zwar an zeter Ste, odoch stauch ‘Shtasrenbae Anonung sfguel au aver Selon ema dos PES meen Bild 6 — Programmierbares Elektronisches System (PES), Struktur und Begritfe 3.2.55 Programmierung Entwurf, Erstellung und Test einer Relhe von Programmbefehlen zur Losung einer Aufgabe oder zur Daten verarbeitung. ANMERKUNG 1 In dieser Norm wird Programmierung normalerweise im Zusammenhang mit programmierbarer Elektro- rik verwendet, ANMERKUNG 2 Diese Definition ist spezifisch far die Prozessindustrie. 3.2.56 Wiederholungspriiftung Prifung zur Aufdeckung verdeckter Fehler in einem sicherheitstechnischen System, so dass das System, wenn nétig, wieder in den Zustand gebracht werden, dass es seine geplante Funktion erfallen kann. 3.2.57 Schutzebenen ‘Jede unabhangige MaBnahme, die das Risiko durch Regelung oder Steuerung, Schutz- oder Schadens- begrenzungsmafinahmen reduziert. ANMERKUNG 1 Dazu gehéren auch verfanrenstechnische MaBnahmen wie die GroSe von Behaltern mit gefahriichen Ghemikalion, usw.. Vorrichtungen der_mechanischen Vertahrenstechnik wie Sicherheitsventila, ein sicherhelts- Teohmlsches System, oder organisatorische MaGnahmen wie ein Alarmpian gegen eine drohende Gefahe. Diese MaG- hahmen kénnen automatisch oder durch menschiichen Eingrff ausgelést werden. |ANMERKUNG 2 Diese Definition weicht wegen In dar Prozessindustrie vorhandener Unterschiede von der Definition in IEC 61508-4 ab. 3.2.58 betriebsbewahrt Eine Komponente ist dann betriebsbewahrt, wenn eine Untersuchung mit entsprechender Dokumentation ergeben hat, dass gecignete Nachweise aus friheren Einsdtzen belegen, dass die Komponente fir den Ein- ‘salz in einem sicherheitstechnischen System geeignet ist (siehe Absohnitt 11.5.3)Seite 26 EDINIEC 61511-1 (VDE 0810 Teil 1):2001-05 3.2.59 Qualitat Quai nschatten ener Einhet, le 2u rer Fahigkelt befragen, auegesProcrene oder erwartete Anspriiche zu erfillen. ANMERKUNG 1 Diese Definition entsprict ISO 8402, Abschritt 2.1, auBer dass die Anmerkungen weggelassen gAtgen. Siehe ISO 402 far weitere Einzelheiten. ANMERKUNG 2 Diese Defintion weicht wegen in dr Prozessindustrie vorhandencr Unterschiede von der Definition in IEC 61508-4 ab. zufalliger Hardware-Ausfall aut Seta au elnem zufaligen Zeltpunkt auf und der aus einem oder metre mglichen Mechanismen Austal Srdware resulient, die 2u einer Verschiechterung der Eigenschaften von Bauleilen fahren. ANMERKUNG 1 Es gibt viele mit unterschiedicher Haufigkeit in verserieert Bauteilen auftratende Mechanismen, ANMERK Cpenachatton dieser Bautelle verechlechtem onnen. Aulgrind Yor Fertiguagstoleranzen teten Austalle dieser we ict curgrund dieser Mechanismen nach unterschiedlichen Betnebsie 0 Sut Austalle von Elnrichtungen, die viele Bautel ose enthaen, ereignen sich deshalb mit einer vornersagbaren Haufigkeit aber zu unbestimmten (dh. zufalligen) Zeiten. ANMERKUNG 2 Ein wichtiges Unterscheldungsmerkmal zwischen z4{iger, Hardware-Austallen und systematischen ANMERKUNGhe 5.2.85) tot, case Systemausiaraten (oder andere, ancerec oi iKenngroBen), die durch zutallige Austaion (ers gntstehen, mit vemuntiger GenauigKek vorausgesagi Warten ikénnen, systematische Austalle aber Hardware hist aus riot genau vorausgesaat werden kGnnan, Das nell cose ‘gystermaustatiraten, die durch zufalige schon von ala entatehon, mit vernanfiger Genauigkelt quantfiziert verde Tee ‘aber diejenigen, die durch syste~ Harcware-Aistale entetehen, statistsch nicht genau quantizer werden Kennan, wail die Ereignisse, die zu diesen {unton, nicht leicht vorausgesaat werden konnen. 3.2.61 Redundanz Redundanz _.rererElamente oder Systeme zur Durcfahrung der gleichen Parker Redundanz kann mit identischen Elementen (homogene Redundanz) oder mit unterschiedlichen Elementen (Diversitat) realisiert werden. ANMERKUNG 1 Doppelte Funktionskomponenten und das Hinzufagen von Profs (Paritatsbits) sind beides Beispiele ‘von Redundanz. ANMERKUNG 2 Redundanz wird hauptsdciich verwendet, um dle Zuverssighelt ot \Vertgbarkeit 2u verbessern. ANMERKUNG 9. Ole Definition in IEV 191-15-01 ist weniger volstandig[ISONEC 12982-14-10-41], ANMERKUNG 4 Diese Defintton welcht wagen in der Prozessindustrie vornandener Unterschlede von der Definition in TEC 61508-4 ab. 3.2.62 Risiko paatSnation der Wahrscheinlchkeit eines Schadensereignisses und der ‘Schwere des Schadens ANMERKUNG For le weitere Darstelung dlases Konzept, sione Abschnit 8 [ISONEC Guide 61:1990] 3.2.63 ungefahrlicher Ausfall wrafall ohne das Potential, das sicherheitstechnische System in einen gefahrlichen oder funktionsunféhigen Zustand zu setzen. |ANMERKUNG Andere Ausditicke fir “Ungetahrcher Ausfal” sind Fehtausiosung oder aktiver Fehler. 3.2.63.1 ‘Anteil ungethrlicher Ausfélle ‘Antell der gesamten Ausfallrate eines Gerats, der entweder einen ungetéhrlichen Ausfall oder einen er- kannten gefahrlichen Ausfall zur Folge hat. 3.2.64 sicherer Zustand Zustand des Prozesses, in dem Sicherheit erreicht istSeite 27 E DIN IEC 6151-1 (VDE 0810 Teil 1):2001-05 ANMEAKUNG 1 Beim Obergang von einem potentiell gefahlchen Zustand in dea, enagirge sicheren Zustand kann ANMERKUNG 1 Joo0 dor Prozess eine Rie sicherer Zwischenzustande uremia 7 Crit Fallen kann der sichere 95 Yoram er. jauotm, solange der Prozess Kontiuletich geregelt wird. Sch eine Kontinuierliche Regelung Kann far dine kurze Zeit oder einen unbestimmten Zeitraum andauern. ANMERKUNG 2 Diese Definition weicht wegen in der Prozessindustrie vorhandener Unierschiede von der Definition in TEC 61508-4 ab. 3.2.65 Sicherheit Freiheit von nicht akzeptierbarem Risiko [ISONEC Guide 51 zwelte Ausgabe (Entwurt 1987)] 3.2.66 Sicherheitsfunktion aiclton. die von einem SIS, einem sichetheitsbezogenen Systom andefer Technologie oder von externen Eumcitungen 2ur isikoreduzierung ausgefuhrt wird, und deren Avigabe sent besieht, den Prozess im er nat ain fesigelegtes unerwinschtes Ereignis in den sicheren Zustand zu bringer ‘oder dort zu halten |ANMERKUNG Diese Definition weicht wegen In der Prozessindusire vorhandener Unterschiede von der Definition in IEC 61508-4 ab. cherheitstechnische Regelfunktion aacerrton ant vorgegeboner Sicherheitsintegrtatsstufe (SIL) in ununterbrocheret Modus, welche zur Sent eines getahrichen Zustand und/oder 2ur Begrenzung seiner Auswicungon bendtigt wird. ANMERKUNG Diese Definition ist spezifich far dle Prozessindusire. 3.2.68 ‘sicherheitstechnisches Regelsystem System zur Ausfahrung einer oder mehrerer sicherheitstechnischer Regelfunktionen. ANMERKUNG 1 Sicnethetstechniche Regelsystame Komen in der Prozessincvaite gelten vor. Wenn soiche S¥S- ANMEFICUNG tS eresen ale als Spezalall benandalt und individuell gpplant werden, or ‘ie Anforderungan dieser teme vorkommgn te tore Analysen nolwendig sin, um nachzuweisen, dass das System In dor ‘Lage ist, die gestell- ten Sicherheitsanforderungen zu erfallen. |ANMERKUNG 2. Diese Definition ist spezifisoh far die Prozessindustre. 3.2.69 sicherheitstechnische Funktion (SIF) Funktion mit vorgegebener Sicherheitsintegritatsstufe (SIL), die 2urt Erreichen der funktionalen Sicherheit Fotwendig ist. Eine sicherheitstechnische Funition kann entweder eine sicherheitstechnische Schutzfunktion oder eine sicherheltstechnische Regetfunktion sein. ANMERKUNG Diese Definition ist spezifisch far die Prozessindustie 3.2.70 ‘sicherheltstechnisches System (SIS) System zur AusfGhrung einer oder mehrerer sicherheltstechnischer Funktionen. Ein SIS besteht aus Sen- sor(en), logischer Steuerung und Aktoren(n) (siehe Bild 7). ANMERKUNG 1 Das System Kann entweder_sicherhltsechnische Regetunkionen odor sichetheitstechnische ‘Schutziunktionen oder beides umfassen. ANMERKUNG 2 Hersteller und Lieferanten von SI6-Gerdton siehe Abschnitt 12a) und 120) und Bild 2a und Bild 2b. 'ANMERKUNG 2 Ein sicherheltstechnisches System kann Software elnschileBen. |ANMERKUNG 4 Slehe Anhang A, Abschnitt A.2.Seite 28 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 Bild 7 - SIS-Architektur 3.2.71 Sicherheitsintegritat Wahrscheinlichkeit, dass ein sicherheitsbezogenes System die geforderten Sicherheitstunktionen unter allen festgelegten Bedingungen innerhalb eines fesigelegten Zeitraumes anforderungsgemaB ausfiht ANMERKUNG 1 Je héher der Sicherheitsintegrtatsievel der sicherheltsbezogenen Systeme Ist, um so geringer ist dio Wahrecheinlichket, dase sicherheilsbezogene Systeme die geforderten Sicherneltstunktionen nicht ausfubren kénnen. ANMERKUNG 2 Es gibt vier Stufen der Sicherheitsintegritat far Systeme (siehe 9.2.72) ANMERKUNG 3 Fir die Bestimmung der Sicherheitsintegritat solten alle Ursachen von Austéllen (sowoht zufalige ‘Nrdware-Ausfale als auch systematische Ausfale), die zu einem nicht sicheren Zustand fahren kennen, berdoksichtgt Helden, insbesondere Hardware-Ausfalle, Ausfala durch Software und Ausfalle Infolge elektrischer Stérbeeinflussung ifige loser Ausfallarn, insbesondere zutalige Harduare-Ausfalle, Konnen unter Verwendung der Ausfaliatan fir g>- falmiche Avstallarton oder der Austallwahrscheinichkeit einer sichetheltstechnischen Funktion bei Anforderung quantif- sient werdon. Dio ‘Sicherheitsintegitat ciner Funktion hangt jedoch auch von vielen Faktoren ab, cie nicht genau {uanttiziert, sondem nur qualitativ betrachtet werden Kénnen ANMERKUNG 4 Die Sicherhoitsintegritat beinhalet die Sicherheitsintegrtat der Hardware (siehe 8.2.20) und die syste mmatische Sicherheitsintogritat(siehe 3.2.88). 3.2.72 Sichérheitsintegritatstevel (SIL) Eine von vier diskreten Stufen zur Spezifikation der Anforderungen far die Sicherheitsintegritat der Sicher- heitstunktionen, die dem sicherheitstechnischen System zugeordnet werden, wobsi der Sicherheits- integritatslevel 4 den héchsten Grad der Sicherheitsintegrtat, der Sicherheitsintegritatslevel 1 den niedrigsten darstellt. [ANMERKUNG 1 Die Versagensgrenzwerte far die Sicherheltsintegritétslevel werden in den Tabellen 3 und 4 festgelegt ANMERKUNG 2 Mehrere Systeme niecriger Sicherheitsintegritat KOnnen dazu verwendet werden, eine Funktion fhaherer Sicherheitsintegritat 2u realisieren (2. 8. Verwendung eines SIL 2- und eines SIL 1-Systems fir eine SIL 3 Funktion). Siehe IEC 6111-2 far Hinwaise zur Anwandung dieses Prinzips. ANMERKUNG 3. Diese Definition weicht wegen in der Prozessindustrie vorhandener Unterschiede von der Definition in EC 61508- ab. 3.2.73 ‘Spezifikation der Anforderungen an die Sicherheitsintegritat ‘Spezifikation, in der die Anforderungen an die Integritét der sicherheitstechnischen Funktionen des/cer sicherheitstechnischen System(e) festgelegt sind ANMERKUNG 1 Diese Spezifkation ist ein Teil der Spezifkation der Sichetheitsanforderungen (der Tell der Sicher heitsintegrtat, siene 3.2.77). 'ANMERKUNG 2 Diese Definition weicht wegen in der Prozessindustrie vorhandener Unterschiede von der Definition in TEC 61508-4 ab, 3.2.74 Sicherheitsiebenszyklus Notwendige Aktivitéten im Rahmen der Realisierung von sicherheitstechnischen Funktionen wahrend eines Zeitraumas, der mit der Konzeptphase eines Projektes beginnt und endet, wenn alle sicherheitstechnischen Funktionen nicht mehr far die Verwendung verfgbar sind.Seite 29 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 ANMERKUNG 1 Der Begriff *funktionaler Sichemeltslebenszyklus" ist strenggenommen genauer, aber das Adjektiv “unktional" witd in diesem Fall innerhalb dieser Norm als nicht notwendig betrachtet. |ANMERKUNG 2 Die in der IEC 61511 verwendeten Modelle fur den Sichorheltslebenszykius werden in Bild 8 besohrieben 3.2.75 Sicherheitshandbuch Das Sicherheitshandouch beschreibt die sichere Anwendung eines programmierbaren elektronischen Gerats 3.2.76 sicherheitsbezogene Software Software zur Durchfuhrung von sicherheitstechnischen Funktionen in einem sicherheitstechnischen System. ANMERKUNG Diese Definition weicht wegen in dor Prozessindusire vornandener Unterschiede von der Definition in TEC 615084 ab, 3.2.77 Spezitikation der Sicherheltsanforderungen Spezifikation, die alle Anforderungen an die sicherheitstechnischen Funktionen beinhaltet, die vom sicher- heitstechnischen System ausgefiihrt werden herheltssoftware ‘em sichetheitstechnischen System mit Anwendungs-, System- oder Hilfssoftware. ANMERKUNG Diese Definition ist speztisch far die Prozessindustrie 3.2.79 ‘Sensor Gerat oder Gerdtekombination, die eine Zustandsgr6Be des Prozesses erfassen (z. B. Messumformer, Ubertrager, Grenzwerischalter, Endschalter, etc). ANMERKUNG — Diese Definition ist spezifisch for die Prozessindustrie, 3.2.80 Software Intellektuelles Erzeugnis, bestehend aus Programmen, Ablaufen, Daten, Regeln und der zugehdrigen Doku- mentation, die sich auf den Betrieb eines EDV-Systems beziehen. ANMERKUNG 1 Software ist unabhangig vor Autzeichnungsmedium. ANMERKUNG 2. Diese Definition ohne Anmerkung 1 unterscheids lunterscheidet sich von ISO 9000-8, durch das hinzugetuste Wort 3.2.80.1 Softwaresprachen in SIS-Teilsystemen sich von ISO 2382-1, und die vollstandige Definition ten”. 32.80.11 feste Programmiersprache (FPL) Zu diesem Sprachtyp gehéren die vielen proprietdiren, far eine bestimmte Funktion vorgesehenen Systeme, dio der Prozessindustrie als Standardprodukte zur Verfagung stehen. Die funktionale Spezifikation dieser FPL muss entweder in den Datenblattern des Lieferanten, in Benutzer- handbiichern oder in ahnlicher Form vorliegen. Der Benutzer dart nicht imstande sein, die Funktionen des Produktes abzuandem, sondern nur einige wenige Parameter einzustellen (2. B. den Messbereich eines Drucktransmitters). ANMERKUNG Typische Beispiele fur Systeme mit FPL: Sensoren mit Mikroprozessor (z. 8. Drucktransmitter, Erst- Nort-Maldesyetem, spezielle Alarmgeber mit Mikroprazassor, kleine Datenautzeichnungssysteme.Seite 30 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 3,2.80.1.2 Sprachen begrenzter Variabilitat (LVL) Dabei handelt es sich um flexiblere Sprachen, die es dem Benutzer in beschranktem Umfang erlauben, sie aut seine spezifischen Belange anzupassen. Die sicherheitstechnischen Funktionen werden in der Regel mittels einer anwendungsbezogenen Sprache Konfiguriert, ohne dass dazu die speziellen Fertigkeiten eines Computer-Programmierers notwendig waren. Zur Dokumentation der LVL gehdrt eine verstandliche Spezifikation, die die grundlegenden funktionalen Komponenten und die Arbeitsweise beschreibt, wie daraus ein System erstelit wird. Zusatalich zum Hand- buch miissen ein Engineering-Werkzeug und eine Bibliothek anwendungsspezifischer Funktionen ausge- liefert werden. Der Benutzer muss in der Lage sein, dle geforderten Anwendungsfunktionen gema® dem funktionalen Spe- zifikation selber zu konfigurieren/programmieren. ANMERKUNG 1 Typische Beispiele far LVL werden in der JEC 6191-3 aufgefdhrt. Sie umfassen unter anderem Ab- faufdiagramme, Boolesche Algebra, Funktionsbausteine, AWL-Listen. ANMERKUNG 2 Typisches Beispiel {Ur ein LVL-Sytem: standardmapige SPS (zB. programmierbare logische Steuerungen fir Brennersteuerungen) 3.2.80.1.3 Sprachen voller Variabilitat (FVL) Hierbei handelt es sich um eine Mehrawecksprache auf Computerbasis mit einem Betriebssystem, zu dem in der Regel eine Zuordnung von Systemressourcen sowie ein Echizeit-Multitasking-System gehoren. Das System wird von Computerspezialisten unter Verwendung hoherer Programmiersprachen auf eine besondere Anwendung zugeschnitten, Eine in FVL erstelite Anwendung ist oftmals einzigartig. Folglich sind die meisten Eigenschaften projekt: gebunden. ANMERKUNG 1 Typische Belspiele far FVL-Systeme sind: PCs (2, B. Prozess-Uberwachung, -Modellierung) ANMERKUNG 2 Inder Prozessindustrie finden sich FVL haufig in Firmware, selten in Anwendungssottware, ANMERKUNG 3 Zu den FVL-Sprachen gehdren: ADA, G, Pascal ANMERKUNG 4. Diese Definition ist spozitisch far die Prozessindustrie, 3,2.80.2 Softwaretypen 3,2.80.2.1 ‘Anwendungssoftware besondere Software fir eine Benutzer-Anwendung, bei der es sich um die in PES programmierte funktionale Beschreibung des SIS handelt, die der Spezifikation der Sicherheitsanforderungen entspricht (siene Ab- schnitt 9). Im Allgemeinen enthalt sie Schrittketten, Bedingungen, Grenawerte, Ausdriicke, etc., dle die ent: Sprechenden Eingénge, Ausgnge, Berechnungen, Entscheidungen besinflussen, um die Anforderungen an die sicherheitstechnischen Funktionen zu befriedigen. Siehe 3.2.80.1.1 und 3.2.80.1.2. 3.28022 eingebettete Software Software, die als Bestancteil des Systems mitgeliefert wird und durch den Endbenutzer nicht verandert wer- den kann. Eingebettete Software wird auch als Firmware oder System-Sottware bezelchnet, Siehe 3.2.80.1.3. Hilfssoftware Software-Werkzeuge fdr die Erstellung, Pflege und Dokumentation von Anwendungsprogrammen. Diese Software-Werkzeuge sind zum Betrieb des SIS nicht erfordertich ANMERKUNG Diese Definition ist spezifisch far die Prozessindustrie.Seite 31 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 3.2.81 Software-Lebenszyklus Altivitaten wahrend eines Zeitraumes, der mit der Software-Entwicklung beginnt und endet, wenn die Soft: ware dauerhaft nicht mehr verwendet wird. ANMERKUNG 1 Ein Sottware-Lebenszyklus schlieSt typischerweise die Anforderungsphase, Entwicklungsphase, Erprobungsphase, Integrationsphase, Installationsphase und die Mocifikationsphase, ein ANMERKUNG 2. Software lest sich nicht instandhalten, sondern wird modifier 3.2.82 Sicherheitsintegritat der Software MaB far die Wahrscheinlichkeit, dass die Software in einem programmierbaren elektronischen System thre sicherheltstechnischen Funktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeit- raums erfilt. 3.2.83 Teilsystem Siehe "System" 3.2.84 System Eine Menge von Elementen, die planmaaig zusammenarbeiten. Ein Element eines Systems kann wiederum in System sein, ein sogenanntes Teilsystem, das ein steuemdes System oder ein gesteuertes System sein Und aus Hardware, Software und menschlichen Eingriffen bestehen kann. ANMERKUNG 1 Eine Person kann Tell eines Systems sein ANMERKUNG 2 Diese Definition unterscheidet sich von IEV 351-01-01, 3.2.85 systematischer Austall ‘Ausfall, der sich auf deterministische Art auf eine bestimmte Ursache bezieht und der nur durch eine Modifi- kation des Entwurfs oder des Herstellungsverfahrens, der betrieblichen Verfahren, der Dokumentation oder anderer relevanter Faktoren beseitigt werden kann. ANMERKUNG 1 Instandhaltung ohne Modifikation beseitigt normalerweise die Ausfellursache nicht. ANMERKUNG 2 Ein systematischer Ausfall kann durch Simulieren der Ausfallursache ausgelést werden. ANMERKUNG 3 Diese Definition (bis einschl, ANMERKUNG 2) entspricht IEV 191-04-19. ANMERKUNG 4 Bolspiale von Ursachen fir systematische Austélle schliefen menschliches Versagen ein in + der Spezitikation der Sicherheitsanforderungen; dom Entwurt, der Herstellung, dem Einbau und dem Betrieb der Hardware; = dem Entwurt und der Implementierung, etc der Software. 3.2.86 systematische Sicherheitsintegritat Teil der Sicherheitsintegritét einer sichetheitstechnischen Funktion, der sich auf systematische Ausfalle (siehe Anmerkung 3 von 3.2.71) mit gefahriicher Ausfallart bezieht. ANMERKUNG 1 Systematische Sicherheitsintegritat kann Ublicherweise nicht quantifiziert werden (Im Unterschied zur Sicherheitsintegritat der Hardware, bel der dies dblicherweise mogiich ist. ANMERKUNG 2 Sieh auch 3.2.28. 3.2.87 Versagensgrenzwert angestrebte Wahrscheinlichkeit gefaricher Austille, die aufgrund der Anforderungen zur Sicherheits~ integrtat festgelegt wird als mitlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall (im Anfor- derungsmodus) oder Wahrscheinlichkelt eines gefahrlichen Ausfalls pro Stunde (im ununterbrochenen Modus). ANMERKUNG _ Die Zahlenwerte for den Versagensgrenzwert finden sich in den Tabellen 3 und 4Seite 32 E DINIEC 6111-1 (VDE 0810 Teil 1):2001-05 3.2.88 Baustein, Software-Baustein Ein strukturiertes, unspezifisches Teil der Anwendungssoftware, das sich unter Beibehaltung der urspring fienen Struktur leicht anpassen lasst, um spezifische Funktionen zu erfillen, beispielsweise eine interaktive Bildechitmvoriage. Dieser Baustein steuert die Reinenfolge der Anwendungsbilder, ist aber nicht fest aut die dargestelten Informationen eingestelt. Ein Programmierer verwendet dlesen generischen Baustein, um dar- ‘us in funktionsspezifischen Revisionen neue Bildschirmmasken fir die Bediener zu erzeugen. |ANMERKUNG 1 Der verwandte Begriff “Software-Baustein” wid manchmal verwendet. Er bezieht sich in der Regel aut Shen Algortthmus oder eine Sammlung von Algorithmen, die zur Ausfunrung einer gewtinschten Funktion baw. einer one aaa Funktionen so programmiert wurden, dass sie an vielen verschiedenen Stellen eingesetzt werden kénnen. im Fone Mnonhang mit der [EC 6111-3 handelt es sich dabei um ein Programm, das in vielen Anwendungen wieder- verwendet werden kann. ANMERKUNG 2 Diese Definition ist spezitisch fOr dle Prozessindusttie. vertretbares Risiko Fisiko, das in einem bestimmten Zusammenhang basierend auf aktuellen Werten einer Gesellschaft akzep- tiert wied ANMERKUNG — Sishe IEC 61811-3. [ISOMEC Guide 51: 1990) 3.2.90 nicht erkannt, verdeckt In Verbindung mit Hardware und Software, nicht erkannt durch Diagnosetests oder den normalen Betrieb. |ANMERKUNG 1 Z. 8. Inspektion und Prafungen oder normalen Betrieb ANMERKUNG 2. Diese Adjektive werden in den Begritten verdeckter Fehler und verdeckter Austall verwendet ANMERKUNG 3. Anmerkung des Ubersetzers: zusatzliche englische Synonyme wurden nicht Ubersetzt, ANMERKUNG 4 Dlese Definition weicht wegen in der Prozessindustrie vornandener Unterschiede von der Definition in TEC 61508-4 ab. 3.2.91 Validierung Nachwois, dass das betrachtete sicherheitstechnische System nach der Montage in jeder Hinsicht die Spe- zifikation der Sicherheltsanforderungen erflt ANMERKUNG Diese Definition ist spezifisch tor die Prozessindustrie. 3.2.92 Verifikation “Theoretischer oder praktischer Nachweis fiir jede Phase des zutreffenden Lebenszyklus, dass for bestimmte EingangsgroGen die Ergebnisse in jeder Hinsicht dle Ziele und Anforderungen der betreffenden Phase er- fallen. |ANMERKUNG 1 Zu den Tatigkeiten der Verification gehéren beispielsweise: Nachprifungen der Ergebnisse (Dokumente aus allen Phasen des Sicherheitslebenszyklus), um unter Boric, centigung der jeweiigen Eingangsgr6fen der Phase die Ubereinstimmung mit den Zielen und Anforderungen der Phase sicherzustellen; Entwurfspriftungen; Prafungen an den entworfenen Produkten, um sicherzustellen, dass sie gema@ ihrer Spezifikation arbeiten; ‘Ausfahrung von Integrationsprafungen, wobei unterschiedliche Tella eines Systems Schritt fOr Schritt zusam: ongosetat werden und Prufungen unter Umgebungsbedingungen durchgeflhrt werden, um sicherzustelien, dass file Teile in der spezifizierten Art zusammenarbeiten. ANMERKUNG 2 Diese Definition ist spezifisch fr die Prozessindustre. 3.2.93 Watchdog Kombination von Diagnose und Ausgabegerat (Iypisch ein Schalter), welche die einwandfreie Arbeitsweise der programmierbaren Elektronik (PE) Gberwacht und im Falle fehlerhatter Arbeltsweise eine MaGnahme einleitetSeite 33 DIN IEC 61511-1 (VDE 0810 Tell 1):2001-05, ANMERKUNG 1 Der Watchdog stellt sicher, dass das Software-Systam einwandire arbeitt, dadurch dass ef Gere ANMERKUNG + oer meGyateme ein elekronisches,Walchdog-Zeigieg) durch einen softwaregesteverten Ausgeng egelmaig rickgesetzt wird UNMERKUNG 2 Der Watchdog kann bel Erkenrung ines gofahrichen Austals sine Gruppe yon Schorhee, ANMERKUNG 2 soles ecalton (von der Fifsenergie tren), um den Prozese in einen slcheren Zuslane 21 Par Ausgingen enerioes Setenoung dee Online-Diaghose-Deckungsgrads bei einem lelschen System siehe 62-18 und 3.2.40). ANMERKUNG 3 Diese Definition st spezifsch far dle Prozessindustre. 3.2.94 MvN System eee yetstechnisches System oder Teil davon, das aus ,N" unabhangigen Kandlen besten. fe detit mite See rn sit, daa jawols Me Kandle gondgen, um clo sicherhelstechnieche Funktion einwandfrel auszufuhren. |ANMERKUNG Diese Definition st spezifisch fur dio Prozessindustrie, 4 Ubereinstimmung mit dieser internationalen Norm For die Konformitat mit dieser intermationalen Norm 1EG 61511 muss gezeist werdon, dass ale I) den Ab- ca serine 17 autgestelien Anforderungen gemaB den festgelegten Kriterian erful werden und damit die Zielsetzung dieser Abschnitte erreicht wird. 5 Management der funktionalen Sicherheit 5.1 Ziel as Zie! der Anforderungen in diesem Abschnitt ist es, die erforderlichen Managementaktivitaten 22 be- os ett denen sichergstellt wird, dass die funktionalen Sicherheitsziele erreicht werden AANMERKUNG In diesem Abschnit werden nur die MaBhnahmen betrachtet, die zur Erelchung und Airecricra fers ANMERKUNG iuneinel sines sichermeltstezischen Systems notwendlg sind, ohne doch andere algemeing Mes oe ah sur Erhaltung der Gesundheit und der Sicherhelt am Arbeitsplatz 2u beruhren. 5.2 Anforderungen 5.2.1 Allgemeines 5.2.1.1 Mit der Methode und dem Vorgehen 2ur Erreichung der, Sicherheit muss gleichzeitig ein BewertungsmaBstab festgelegt und in der Organisation verotfentlcht werden. 52.1.2 Durch die Einvichtung eines Sichetheitsmanagements soll sichergestelR, werdn, dass die 5.2.17 elitechnischen Systeme in der Lage sind, die verfahrenstechnische Anlage in den sicheren Zustand zu versetzen und dort 2u halten. 5.2.2 Organisation und Mitel 5.2.2.1 _ Diejenigen Personen, Abtelungen, Organisationen oder andore Einhelten, in deren Aulgeoet: 5.2.24 5 oueentanrung und Ubenvachung von MaBnahmen aus einer der Phasen des Sicherhovis\iterr bersich TypscheAictung des tomationsusses | eine detatiaten Anerdeungan aus car Norm ANMERKUNGEN: 2, Ale Verwose [J] seen en ee tema ‘Shion 1b elnsciobch 5 wardan im Abeohit 62618 diner eh ut Tel wan ih auedekich art, Bild 8 ~ Phasen des Lebenszyklus und Stufen der Sicherheitsbetrachtungen 5.2.6.1.4 Mindestens eine Beurtellung der funktionalen werden, Diese Beurtellung muss sicherstellen, dass jede Gefahr Anlage und den eingesetzten Betriebsmittein ausgehen kann, ‘ahrdungen Gberhaupt eintreten konnen, muss das Beurteilung: eine Gefahrdungs- und Risikoanalyse wurde durchgefihrt die sich aus der Gefahrdungs- und Risikoanalyse org technische System wurden berlicksichtigt; die Empfehlungen aus der vorhergehenden Beurteilung de tigt; das sicherheitstechnische System _ stimmt die das sicherheitstechnische System betretfenden Instandhaltungsvorschriften und Alarmpline liegen vor, reich durchgefuhrt; in Entwurf, Ausfihrung Sicherheitsspezifikation dberein, etwaige Abweichungen missen erkannt und bereinigt worden sel Sicherheit muss zum Zeitpunkt 3 durchgefahrt ‘dung, die von der verfahrenstechnischen | unter Kontrolle bleibt. Bevor absehbare Ge- 's-Team folgende Punkte bestatigen???: (siehe 9.1); jebenden Empfehlungen flr das_sicherheits- fer funktionalen Sicherheit wurden beriicksich- und Montage mit der Sicherheitsvorschriften, Betriebsvorsohriften, die Prifvorschriften fur das sicherheltstechnische System liegen vor und die Prifungen wurden erfolg-Seite 37 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 - die Ausbildung der Mitarbeiter wurde abgeschlossen, das Instandhaltungspersonal und das Betriebs- personal wurden anhand einer geeigneten Dokumentation mit dem sicherheitstechnischen System vertraut gemacht; - Plane oder Vorgehensweisen fir die Durchfahrung weiterer Beurteilungen der funktionalen Sicherheit liegen vor. 5.2.6.1.5 ‘Soweit Entwicklungs- oder Produktionswerkzeuge wahrend des Sicherheitsiebenszyklus ein: gesetzt werden, missen sie auch einer Beurteilung ihrer funktionalen Sicherheit unterworten werden. ANMERKUNG 1 Der Grad, bis zu dem solohe Werkzouge untersucht werden miissen, ergibt sich aus ihrer Bedeutung for die Sicherhett der Anlage, [ANMERKUNG 2 Bolspiele solcher Entwicklungs- oder Produktionswerkzeuge sind Simulationswerkzeuge und -modelle, Messgerate, Testgerate, Instandhaltungsgerate und Konfigurationswerkzeuge. ANMERKUNG 3 Die Beurteilung der {unktionalen Sicherheit von Werkzeugen kann beispielsweise die Ruckverfolgung aut Kallbrierstandards, Einsatz-Historia, Fehlerlisten usw. beinhalten 5.2.6.1.6 Die Ergebnisse einer durchgefihrten Beurteilung der funktionalen Sicherheit sowie alle Empfehlungen, die sich aus dieser Beurtellung ergeben haben, missen verfugbar sein. 5.2.6.1.7 Alle far die funktionale Sicherheit relevanten Unterlagen massen dem Beurteilungs-Team auf Anfrage zur Verfiigung gestellt werden. 5.2.6.2 Auditierung und Revision 5.26.24 \Vorgehensweisen fr die Auditierung missen festgelegt und durchgefuhrt werden, insbeson: dere: die Haufigkeit der Audits; = der Grad der Unabhangigkeit zwischen denjenigen Personen, der Abteilung, der Organisation oder an- derer Einheiten, die eine Arbeit ausfihren, und denjenigen, die Audits durchfunren; die Aufzeichnung und die Aufarbeitung der Ergebnisse der Auditierung. 5.2.62.2 Das Vorgehen bei Aniagendnderungen muss festgelegt werden, also wie Anderungen am Sioherheitstechnischen System (ausgenommen der Austausch identischer Telle) aut den Weg gebracht, dokumentier, gepritt, ausgetthrt und abgenommen werden 5.2.7 Management der SIS-Konfiguration 5.27.1 Anforderungen 527A Vorschriften far das Management der SIS-Konfiguration wahrend der Phasen des allgemei- nen, des SIS und des Software-Sicherheltslebenszyklus missen vorliegen; diese sollten im Einzelnen fol- gendes enthalten: = der Zeitpunkt, zu dem eine formale Uberpritung der Konfiguration stattfindet; - die fUr eine eindeutige Identifizierung aller zugehérigen Teile einer Einheit notwendigen zu beachtenden \Vorgehensweisen (Hardware und Software); Vorgehensweisen, die eine Inbetriebsetzung von unbenatigten Komponenten verhindern, 6 Anforderungen an den Sicherheitslebenszyklus 6.1 Ziel Das Ziel dieses Abschnitts besteht darin, die Phasen des Sicherheitslebenszyklus festzulegen und die damit verbundenen Anforderungen aufzustellen ANMERKUNG Der allgemeine Ansatz dieser Norm wird in Bild 8 und Bild 11 dargestellt. Es muss betont werden, dass dieser Ansatz nur zur Veranschaulichung dient und die typischen Schritte im Sicherheltslebenszyklus vom antanglichen Konzept bis hin zur spateren AuSorbetriebnahme aufzeigen sol.Seite 38 E DIN IEC 61511-1 (VDE 0810 Teil 1):2001-05 6.2 Aufbau und Planung des Sicherheitslebenszyklus 624 Ziel 6.2.1.1 Die in diesem Abschnitt enthaltenen Anforderungen dienen dazu, _ dle Gesamtheit der technischen MaGnahmen in einen organisierten Ablauf, den Sicherheltslebenszyklus zusammenzufassen, _ daraut hinzuwirken, dass eine zweckentsprechende Planung vorhanden ist oder entwickelt wird. und Gadurch sicherzustellen, dass das sicherheitstechnische System die Sicherheitsanforderungen erful 62.2 Anforderungen 6.2.2.1 In der Sicherheitsplanung muss ein Sicherheitslebenszyklus festgelegt werden, der die Anfor- derungen dieser Norm beinhaltet. 6.2.2.2 Jede Phase des Sicherheltslebenszyklus muss unter Angabe der notwendigen Voraus- Sausungen, der erwarteten Arbeitsergebnisse und der zu vollziehenden Prifungen beschrieben werden (siehe Tabelle 2)Seite 39 E DIN IEC 6151-1 (VDE 0810 Teil 1):2001-05 Tabelle 2 - Ubersicht Uber den Sicherheitslebenszyklus eines SIS ‘Phase des Sicherheits- Ziele ‘Antorde- lebenszyklus oder rungen “Tatigkeit Kas- Titel Abschnitt ten in Bila 8 Vorgaben Ergebnisse 1 [Risikoanalyse lund Entwurf der /Schutzebonen FFestiegung von Getahrdungen @ lund gelanrichen Ereignissen [gurch den Prozess bzw. die zuge- hérigen Einrichtungen, der Ereig- isketton, aia zu getahrlichen Ereigniseen fuhren kénnen, des Jdamit verbundenen Prozess- isikos, der MaBnahmen zur Fisikoreauaierung und ie sicherheltstechnischen Funktionen, aie zur notwendigen Risikoreduzierung bendtigt werden IVeriaheenstech- ischer Entwur, JAuslegung, parso- fnalie MaBnahmen Eine Beschreibung der bend- tigten sicherheitstechnischen Funitionen einschlieBlich der JAnforderungan an die Sicher heitsintegriat. 2 |Zuordnung der sicnerneits- technischen Funktionen zu |Schutzebenen uaranung der sichereitstech- @ ischen Funktionen zu den lontsprechenden Schutzobenen lund far jade sicherheltstechnisene Funktion der zugehdrigen Sicher heltsintegrttslevel (SIL) Eine Beschreibung Ider benotigten Isicherhettstecn- rischen Funktionen leinschlieBlich der JAnforderungen an lsia Sicherneits- intogriat. Eine Beschreibung der [Zuordaung von Sicherhaitsanforderungen siene 8) 3 | Spezifikation fr das sicherhelts- FFestiegung der Anforderungen an | 10 jedes SIS in Form der notwendi- [Beschreibung der JZuoranung der JAnforderungen an das sicher eitstechniscne System und an fecmische |gen sichernetstocinisohen Funk- Sichereltoantor ‘cher Syetom (Sis) flonen und der zugensrigon aorungen (siehe 9) Sicheetsintegtstatvel zur Erelchung der ertorderiohen funtonalen Sichrhot 7 [Eww des SiS [Planung einoa SIS, das don [17 und 124]Anforderungen an_|Auslagung des SIS in Ubereie- Jantordorangen bozogien dor accccheratt” |stimmung ot den iChormotechnischen Funk: technische System |Sicherhetsanforderungen: toner nd der an a ae Pianuns ds sistgrtons J ]eiSirortage und| neuron und Ptung des SIS. | 128, [SIS-Avslegung; [ol unktonierendes, de Inbetiebrahme | ta Pianung ervoprechende SIS: Inoetebnahme lorprtung, case cas SiS mt | }42, [Planing SIS. lergabrisse dor negations eeerauienicheretstoch- | 4 |integratonstests lot ficenan Funktionen un deren i Sicherheitsintegrtat in jeder Hinsicht die gestelten Sicherneltsanforderungen erful Sicherheitsanforde unger: Planung der Sicherheits- Validierung des sis Volistandig validiertes SIS; [Ergebnisse der Sicherheits- \Validlorungepratungen des SIS 6 [sig-Batrieb und Instandhaltung [Sicherstellen, dass die funktionale| 15 Sicherheit dee SIS auch im [Betrieb und bei Instanchaltungs- Jarbeiten erhalten bleibt S1S-Antorderun- gen: sIS-Auslogung sis-Betrieb und Instandhaltung, [S1S-Betried und Instandhaltung 7 |Anderungen am SIS [burohfuhrung von Korrekturen, 18a \Verbesserungen oder |Anpassungen des SIS, so dass der erforderiche Sichereits integrtatslevel erricht und erhalten wird revidiene SIS- Sicnerneitsanfor- jderungen Ergebnisse der SIS-AnderungenSeite 40 E DIN IEC 6151-1 (VDE 0810 Teil 1):2001-05 ‘Tabelle 2 - Ubersicht Gber den Sicherheitslebenszyklus eines SIS (abgeschiossen) ‘Phase des Sicherheits- Ziele. ‘Anforde- | Vorgaben Ergebnisse Tebenszyklus oder rungen Tatigkeit Kas- Titel Abschnitt ten in Bild 8 @ [AuBerbetrieb- [Durch geeignete Prafung und B 76 JAnlagendokumen- |sicherheitstechni inahme Jachtung der Anlagensteuktur tation und Sicher- auBor Betried sicherstellen, dass nicht heitsanforderungen| etrotfene Funktionen in Betried (as built) bieiben ] |siS-Vevliziorung |Prafung und Bewertung der E- | 7,127 |Phasen-epezit- [Ergebnisse der SIS-Veriize |gebnisse einer Paso aut Richtig- sche Planvorgaben |rung far jede Phase keit und Konsistenz beziglich der zur Veriizierung Produkte und der Normen, die als des SIS Voraussetzung dieser Phase jgsten. To |eiSNachweis [Untersuchung und Bewertung der | 5 [Plan zur Prifung [Ergebnis der Prfung der funk: der lunktionalan |funktionalen Sicherheit des SIS Jder funktionalan __|tionalen Sicherheit des SIS. [Sicherheit Sicherheit des SIS sis-Sicherneits lantorderungen 6.2.2.3 __In|eder Phase des Sicherheitslebenszyklus muss eine Sicherheitsplanung stattfinden, in der die Kriterien, Arbeitstechniken, MaGnahmen und Vorgehensweisen fir folgende Punkte festgelegt werden: _ Nachweis, dass die funktionalen Sicherheitsziele und die Zielwerte der Sicherheitsintegritatslevel in jeder relevanten Betriebsart des Prozesses erreicht werden; Sicherstellen einer einwandtrelen Montage und Inbetriebnahme des sicherheitstechnischen Systems; _ Sicherstellen der Sicherheltsintegritat der sicherheitstechnischen Funktionen nach der Montage; Autrechterhalten der Sicherheitsintegritét whrend des Betriebs (z. B. Wiederholungsprifungen, Analyse yon Ausfallen, etc.); Beherrschen mdglicher Gefahrdungen durch den Prozess wahrend der Durchfilhrung von Instandhaltungsarbeiten am sicherheitstechnischen System. 7 Verifikation 7A Ziel Dieser Abschnitt befasst sich mit dem Nachweis durch Review, Analyse und/oder Prifung, dass die ‘Arbeitsergebnisse der jowelligen Stufe des Sicherheitslebenszyklus (Bild 8) den Vorgaben des \Verifikationsplans entsprechen TAA Anforderungen 74.4.4 Im Verifkationsplan miissen alle Tatigkeiten der _jeweiligen Stufe (Bild8) des Sicherheitslebenszyklus festgelegt werden, In Ubereinstimmung mit dieser Norm muss der Plan folgende Punkte vorsehen: - eine Aufzthlung der Verifikationstatigkeiten; die bei der Verifikation anzuwendenden Vorgehensweisen, MaGnahmen und Arbeitstechniken tinschlieBlich der Umsetzung und Einarbeitung von Empfehlungen, die sich im Verlauf der Verifikation ergeben; der jewellige Zeitpunkt fir die beschriebenen Tatigkeiten; _ die far diese Tatigkeiten verantwortlichen Personen, Abteilungen und Organisationen, sowie der jeweilige Grad ihrer Unabhiingigkeit; auBerdem Untersuchungen und Hilfsmittel; - eine Liste der zu verifizierenden Einrichtungen;