VDI VDE 3527-2002 Design criteria serving to ensure independence of I & C safety functions.pdf

1、VEREIN DEUTSCHERINGENIEUREVERBAND DERELEKTROTECHNIKELEKTRONIKINFORMATIONSTECHNIKKriterien zur Gewhrleistung der Unabhngigkeit von Sicherheitsfunktionen bei der Leittechnik-AuslegungDesign criteria serving to ensure independence of I 33.040.20Juli 2002July 2002Inhalt g54g72g76g87g72Vo r b e m erkunge

2、n. . . . . . . . . . . . . . . . . . . 31Zweck und Geltungsbereich . . . . . . . . . . 42Begriffserluterungen . . . . . . . . . . . . . 42.1 Abweichung . . . . . . . . . . . . . . . . 52.2 Ausfall . . . . . . . . . . . . . . . . . . . 52.3 Ausfalltoleranz. . . . . . . . . . . . . . . 52.4 Betriebser

3、fahrung . . . . . . . . . . . . . 52.5 Common-cause-bedingtes Versagen (CCF: Common Cause Failure) . . . . . . 62.6 Defence-in-Depth (DiD). . . . . . . . . . 62.7 Deterministisches Systemverhalten . . . . 62.8 Diversitt. . . . . . . . . . . . . . . . . . 72.9 Einzel-Ausfall-Kriterium(Single Failure

4、Criterion) . . . . . . . . . 72.10 Entwurfsfehler . . . . . . . . . . . . . . . 82.11 Fail-safe-Auslegung . . . . . . . . . . . . 82.12 Fehler . . . . . . . . . . . . . . . . . . . 82.13 Fehlervermeidung . . . . . . . . . . . . . 92.14 Funktionale Sicherheit . . . . . . . . . . . 92.15 Gertefamilie

5、System-Plattform) . . . . . 92.16 Irrtum . . . . . . . . . . . . . . . . . . . 102.17 Redundanz . . . . . . . . . . . . . . . . . 102.18 Security. . . . . . . . . . . . . . . . . . . 102.19 Security Zone . . . . . . . . . . . . . . . 102.20 Signal-Trajektorie . . . . . . . . . . . . . 102.21 System

6、 . . . . . . . . . . . . . . . . . . . 112.22 Systematisches Versagen . . . . . . . . . 122.23 Validierung . . . . . . . . . . . . . . . . . 122.24 Verifizierung . . . . . . . . . . . . . . . . 122.25 Versagen . . . . . . . . . . . . . . . . . . 132.26 Zufallsausfall. . . . . . . . . . . . . . . . 1

7、3Contents g51g68g74g72Preliminary note . . . . . . . . . . . . . . . . . . . 31Objective and scope. . . . . . . . . . . . . . . 42Terms and definitions . . . . . . . . . . . . . . 42.1 Error . . . . . . . . . . . . . . . . . . . . 52.2 Fault . . . . . . . . . . . . . . . . . . . . 52.3 Fault toleran

8、ce . . . . . . . . . . . . . . . 52.4 Operational experience . . . . . . . . . . . 52.5 Common cause failure (CCF) . . . . . . . 62.6 Defence in depth (DiD) . . . . . . . . . . 62.7 Deterministic system response . . . . . . . 62.8 Diversity . . . . . . . . . . . . . . . . . . 72.9 Single-failure cri

9、terion . . . . . . . . . . . 72.10 Design fault. . . . . . . . . . . . . . . . . 82.11 Fail-safe design . . . . . . . . . . . . . . . 82.12 Fault . . . . . . . . . . . . . . . . . . . . 82.13 Fault avoidance . . . . . . . . . . . . . . . 92.14 Functional safety . . . . . . . . . . . . . . 92.15 Equi

10、pment family (system platform) . . . 92.16 Mistake, human error. . . . . . . . . . . . 102.17 Redundancy. . . . . . . . . . . . . . . . . 102.18 Security . . . . . . . . . . . . . . . . . . . 102.19 Security zone . . . . . . . . . . . . . . . . 102.20 Signal trajectory . . . . . . . . . . . . . . 10

11、2.21 System . . . . . . . . . . . . . . . . . . . 112.22 Systematic failure. . . . . . . . . . . . . . 122.23 Validation . . . . . . . . . . . . . . . . . . 122.24 Verification . . . . . . . . . . . . . . . . . 122.25 Failure . . . . . . . . . . . . . . . . . . . 132.26 Random fault . . . . . . . .

12、 . . . . . . . 13Die deutsche Version dieser Richtlinie ist verbindlich. The German version of this guideline shall be taken as authorita-tive. No guarantee can be given with respect to the English trans-lation. FrhereAusgaben:4.01Entwurd, deutschFormeredition:4/01draft, inGermanonlyB55EB1B3E14C221

13、09E918E8EA43EDB30F09DCCB7EF86D9NormCD - Stand 2012-08All rights reserved Verein Deutscher Ingenieure, Dsseldorf 20022 VDI/VDE 3527g54g72g76g87g723Fehlermodelle bei Auslegung der Leittechnik . . . . . . . . . . . . . . . . . . . . 143.1 Einzel-Ausfall-Kriterium . . . . . . . . . 143.2 Defence-in-Dept

14、h Prinzip in der Leittechnik . . . . . . . . . . . . . . . . . 143.3 Common-cause-bedingtes Versagen . . . 143.4 Barrieren gegen die Versagens-ausbreitung. . . . . . . . . . . . . . . . . 163.4.1 Funktionale Barrieren . . . . . . . 173.4.2 Gertetechnische Barrieren. . . . . 173.4.3 Datentechnische B

15、arrieren . . . . . 183.5 Schutz vor unzulssigen Zugriffen . . . . 193.6 nderungs- und Konfigurations-Management . . . . . . . . . . . . . . . . 204Versagensmechanismen und Versagens-modelleg17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g

16、3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3g17g3g3 g21g214.1 Fehler aus der Aufgabenstellung fr Leittechnik . . . . . . . . . . . . . . . . . 234.2 Fehler in der Leittechnik-Auslegung . . . 244.3 Versagen durch Umwelteinflsse . . . . . 244.4 Fehler bei Instandhaltung und nderungen im Betrieb . . . . . . .

17、 . . 254.5 Versagen auf Grund von unzulssigen Eingriffen . . . . . . . . . . . . . . . . . 255Auslegungsempfehlungen zur Gewhr-leistung der Unabhngigkeit. . . . . . . . . . 265.1 Auslegungsfehler aus der Aufgaben-stellung fr die Leittechnik . . . . . . . . 265.2 Fehler in der Leittechnik-Auslegung

18、 . . 265.3 Versagen durch Umwelteinflsse . . . . . 285.4 Fehler bei Instandhaltung und nderungen im Betrieb . . . . . . . . . . 305.5 Versagen auf Grund von unzulssigen Eingriffen . . . . . . . . . . . . . . . . . 326Erluterung zu den Auslegungs-Empfehlungen. . . . . . . . . . . . . . . . . . 326.1

19、 Auslegungsfehler aus der Aufgaben-stellung fr die Leittechnik . . . . . . . . 326.1.1 Fehlerhafte Spezifikation fr dieSoll-Funktionen der Leittechnik . 326.2 Fehler in der Leittechnik-Auslegung . . . 376.2.1 Fehlerhaft erstellte Anwender-software auf Grund von Fehlern im Engineeringprozess . . . .

20、 . . 386.2.2 Fehlerhaft erstellte Anwender-software auf Grund von fehler-haften Algorithmen. . . . . . . . . 396.2.3 Fehlerhafte Ausbreitung von Einzelfehlern ber Kommunika-tionswege . . . . . . . . . . . . . . 40g51g68g74g723Fault models used in designingI d.h. vom in-takten Zustand in den defekte

21、n Zustand bergeht.IEC 61 513/60 880-2: Fault: A defect in a hard-ware, software or system component. Faults aresubdivided in random faults, that result from hard-ware degradation due to ageing, and systematicfaults which results from design errors.Note A fault (notably a design fault) may remainunde

22、tected in a system until specific conditions aresuch that the produced result does not conform tothe intended function, i.e. a failure occurs.IEC 61 508: Fault: Abnormal condition that maycause a reduction, or loss of, the capability of afunctional unit to perform a required function2.3 Ausfalltoler

23、anzEigenschaft eines Systems, die es ermglicht, die er-wartete Funktion trotz der Anwesenheit von Ausfl-len von oder in Teilsystemen auszufhrenIEC 61 508: Fault tolerance: Ability of a func-tional unit to perform a required function in thepresence of faults or errors2.4 BetriebserfahrungErfassen und

24、 Dokumentieren des Verhaltens vonSystemen im Betrieb. Zur Betriebserfahrung gehrendie Anzahl der eingesetzten Systeme, Einsatzzeit-raum, Einsatzbedingungen/Umgebungsbedingun-gen, Ausflle, Ausfallursachen und deren Bewertungund die korrigierenden Manahmen.Anmerkung: Als betriebsbewhrt gilt ein System

25、 dann, wenn es imWesentlichen unverndert ber einen ausreichenden Zeitraum inzahlreichen verschiedenen Anwendungen betrieben wurde und da-bei keine oder nur unwesentliche Ausflle auftraten.2.1 ErrorSystem response deviating from the specified re-sponse. An error may be the consequence of a fault,or o

26、f faulty design, manufacture, or servicing.IEC 61 513/60 880-2: Error: A discrepancy be-tween a computed, observed or measured value orcondition and the true, specified or theoreticalvalue or conditionIEC 61 508: Error: A discrepancy between acomputed, observed or measured value or condi-tion and th

27、e true, specified or theoretical value orcondition2.2 FaultChange in the condition of a device in such a waythat, as a consequence of physical or chemical mech-anisms, it loses a required property, i.e. that its condi-tion changes from functional to defective.IEC 61 513/60 880-2: Fault: A defect in

28、a hard-ware, software or system component. Faults aresubdivided in random faults, that result from hard-ware degradation due to ageing, and systematicfaults which results from design errors.Note A fault (notably a design fault) may remainundetected in a system until specific conditions aresuch that

29、the produced result does not conform tothe intended function, i.e. a failure occurs.IEC 61 508: Fault: Abnormal condition that maycause a reduction, or loss of, the capability of afunctional unit to perform a required function2.3 Fault toleranceAbility of a system to perform its intended functiondes

30、pite existing faults of, or in, subsystemsIEC 61 508: Fault tolerance: Ability of a func-tional unit to perform a required function in thepresence of faults or errors2.4 Operational experienceRecord and documentation of the response of sys-tems during operation. Operational experience in-cludes the

31、number of systems used, their servicelives, conditions of use/environmental conditions,faults, causes of faults and their evaluation, and cor-rective action.Note: A system is considered proven in operation when it has beenused essentially unchanged in numerous different applications overa sufficient

32、ly long period and without, or with only insignificant,faults.B55EB1B3E14C22109E918E8EA43EDB30F09DCCB7EF86D9NormCD - Stand 2012-08All rights reserved Verein Deutscher Ingenieure, Dsseldorf 20026 VDI/VDE 35272.5 Common-cause-bedingtes Versagen(CCF: Common Cause Failure)Versagen eines Systems, beruhen

33、d auf einem latentenEntwurfs- oder Fertigungs-Fehler mit dem Potenzial,dass durch ein system-internes oder -externes Ereig-nis das zeitlich korrelierte Versagen von gleichenKomponenten oder Systemfunktionen getriggertwerden kann. Dies kann dazu fhren, dass redun-dante Systeme in zwei oder mehreren s

34、eparatenKanlen die gewnschte Funktion im Anforderungs-fall nicht ausfhren.IEC 61 513/61 508/60 880-2: Common causefailure (CCF): Failure, which is the result of oneor more events causing coincident failures of twoor more separate channels in a multiple channelsystem, leading to system (s) failureIAE

35、A SSS Design: The failure of a number of de-vices or components to perform their functions as aresult of a single specific event or causeAnmerkung: In dieser Richtlinie wird der Begriff common-cause-bedingtes Versagen in der gleichen Bedeutung wieCCF genutzt.2.6 Defence-in-Depth (DiD)System-Konzept

36、mit gestaffelten Verteidigungsli-nien, so dass die sicherheitstechnisch wesentlichenAuslegungskriterien bzw. Schutzziele auch erflltwerden bei Versagen einzelner Systeme. Defence-in-Depth kann eines oder mehrere Elemente der fol-gend aufgefhrten umfassen:Das Vorhandensein mehrerer Gruppen vonSicherh

37、eitsfunktionen derart, dass die Aus-legungsziele durch jede der Gruppen alternativgewhrleistet werden.Vorhandensein von passiv wirksamer Systemaus-legung und aktiven SicherheitssystemenVorhandensein von Sicherheitssystemen und be-trieblichen Systemen, falls diese unabhngigvoneinander in einem Anford

38、erungsfall gleichsin-nig wirken.2.7 Deterministisches SystemverhaltenEigenschaft einer Gertefamilie, die sicherstellt, dassdas resultierende Verhalten von realisierten Systemen(z.B. eines Schutz- oder Begrenzungssystems) invorhersagbarer Weise allein durch die Projektierungbestimmt (determiniert) wi

39、rdAnmerkung: Wesentliche Eigenschaften einer Gertefamilie alsVo raussetzung zur Gewhrleistung des deterministischen Verhal-tens von realisierten Systemen sind:strikt zyklische Bearbeitung aller Systemfunktionenstatische Speicherzuordnung fr Programme und Datenkeine Interrupts mit Abhngigkeit vom ver

40、fahrenstechnischenAnlagenprozess2.5 Common cause failure (CCF)Failure of a system as a consequence of an undetectedfault in its design or manufacture, which may triggerthe temporally correlated failure of identical compo-nents or system functions as a consequence of an in-ternal or external event. T

41、his may lead to redundantsystems in two or more separate channels not per-forming the desired function on demand.IEC 61 513/61 508/60 880-2: Common causefailure (CCF): Failure, which is the result of oneor more events causing coincident failures of twoor more separate channels in a multiple channels

42、ystem, leading to system (s) failureIAEA SSS Design: The failure of a number of de-vices or components to perform their functions as aresult of a single specific event or causeNote: This note is only relevant to the German version.2.6 Defence in depth (DiD)Concept of a system, involving staggered de

43、fence pe-rimeters so as to ensure the fulfilling of the safety-rel-evant design specifications, or the intended protec-tion even in case of failures of individual systems.Defence in depth may involve one or several of thefollowing elements:The existence of several groups of safety func-tions in such

44、 a way that each individual group en-sures compliance with the design specifications.The existence of passive system design and activesafety systems.The existence of safety systems and operationalsystems, if these are mutually independent andtheir actions are cumulative in case of a request.2.7 Dete

45、rministic system responseProperty of an equipment family, which ensures thatthe resulting response of implemented systems (suchas protective or limiting systems) is predictable, anddetermined solely by project planningNote: The following are essential features of an equipment familywhich are prerequ

46、isite to the deterministic response of implementedsystems:strictly cyclic processing of all system functionsstatic memory allocation for programs and data no process-dependent interruptsB55EB1B3E14C22109E918E8EA43EDB30F09DCCB7EF86D9NormCD - Stand 2012-08Alle Rechte vorbehalten Verein Deutscher Ingen

47、ieure, Dsseldorf 2002 VDI/VDE 3527 7 Invarianz des Bearbeitungszyklus mit konstanter Bearbeitungs-last aller Prozessoren gegenber beliebigen Trajektorien der Ein-gangsdaten aus dem verfahrenstechnischen Anlagenprozessfeste Kommunikationsbelastung, unabhngig von Transientendes verfahrenstechnischen A

48、nlagenprozessesfeste Reaktionszeiten, unabhngig von verfahrenstechnischenSignal-Trajektorien aus dem AnlagenprozessWerkzeuge zum Berechnen der Systembelastungen sind zwarkeine Systemeigenschaft, sind jedoch in der Regel erforderlich,um die Umsetzung der zuvor genannten Systemeigenschaftennachzuweise

49、n.2.8 DiversittVo r h a n d e nsein unterschiedlicher Manahmen bzw.Eigenschaften von Systemen, um die Zielsetzung wiez.B. die Sicherstellung eines erforderlichen Schutz-ziels auf mehreren unabhngigen Wegen zu erreichenIEC 61 513/61 226/60 880-2: The existence of twoor more different ways or means of achieving aspecific objective. Diversity is specifically pro-vided as a defence against common mode failure.It may be achieved by providing systems that arephysically different from each othe