1、VEREINDEUTSCHERINGENIEUREVERBAND DERELEKTROTECHNIKELEKTRONIKINFORMATIONSTECHNIKSicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik (PLT)Nachweis der Hardwaresicherheitsintegritteiner PLT-SchutzeinrichtungSafeguarding of industrial process plantsby means of process control
2、engineeringVerification of the hardware safety integrityof safety instrumented systemsVDI/VDE 2180Blatt 4 / Part 4Ausg. deutsch/englischIssue German/EnglishVDI/VDE-Handbuch AutomatisierungstechnikVDI-Handbuch Fabrikplanung und -betrieb, Band 1: Betriebsberwachung/InstandhaltungVDI-Handbuch Verfahren
3、stechnik und Chemieingenieurwesen, Band 3: Verfgbarkeit/SchadensanalyseVDI-Handbuch ZuverlssigkeitVDI/VDE-RICHTLINIENICS 25.040.40, 35.240.50Juli 2010July 2010Vervielfltigung auchfr innerbetriebliche Zwecke nicht gestattet/ReproductionevenforinternalusenotpermittedDie deutsche Version dieser Richtli
4、nie ist verbindlich. The German version of this guideline shall be taken as authorita-tive. No guarantee can be given with respect to the English trans-lation.Frhere Ausgaben: 04.07; 04.09 Entwurf,deutschFormer editions: 04/07; 04/09 Draft, in German onlyZu beziehen durch / Available at Beuth Verlag
5、GmbH, 10772 Berlin Alle Rechte vorbehalten/AllrightsreservedVereinDeutscherIngenieuree.V.,Dsseldorf2010VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA)Fachbereich Engineering und Betrieb automatisierter AnlagenInhalt SeiteVorbemerkung . . . . . . . . . . . . . . . . . . . 2Einleitung. .
6、. . . . . . . . . . . . . . . . . . . . 21 Anwendungsbereich . . . . . . . . . . . . . . 32 Formelzeichen und Abkrzungen . . . . . . . 33Begriffe . . . . . . . . . . . . . . . . . . . . . 44 Strukturen . . . . . . . . . . . . . . . . . . . . 45 Strukturelle Eignung Anforderungen an die Hardwarefehle
7、rtoleranz . . . . . . . . . 56 Sicherheitsbezogene Ausfallwahrscheinlich-keit im Anforderungsfall PFD . . . . . . . . . 76.1 Voraussetzungen und Grundlagen . . . . . 76.2 Allgemeine Vorgehensweise zurPFD-Berechnung . . . . . . . . . . . . . . 96.3 Nherungsformeln zur PFD-Berechnungbei homogenen Syst
8、emen . . . . . . . . . . 117 Beschaffung von Zuverlssigkeitskenndatenfr Gerte . . . . . . . . . . . . . . . . . . . . 127.1 Herstellerangaben . . . . . . . . . . . . . . 137.2 Datenbanken aus Feldeinsatz . . . . . . . . 138 Typische Strukturen fr PLT-Schutzeinrichtungen. . . . . . . . . . . . 14Cont
9、ents PagePreliminary note . . . . . . . . . . . . . . . . . . 2Introduction . . . . . . . . . . . . . . . . . . . . 21Scope . . . . . . . . . . . . . . . . . . . . . . 32 Symbols and abbreviations . . . . . . . . . . 33 Terms and definitions . . . . . . . . . . . . . 44Structures. . . . . . . . . .
10、. . . . . . . . . . 45 Structural suitability demands onhardware fault tolerance . . . . . . . . . . . . 56 Safety related probability of failure ondemand PFD . . . . . . . . . . . . . . . . . . 76.1 Preconditions and basics . . . . . . . . . . 76.2 General procedure for determining PFD . . 96.3 Pro
11、ximity formulae for PFD calculationin homogeneous systems . . . . . . . . . . 117 Determining the reliability characteristicsof devices . . . . . . . . . . . . . . . . . . . . 127.1 Manufacturers data. . . . . . . . . . . . . 137.2 Data bases from field use . . . . . . . . . . 138 Typical structures
12、 for SIS . . . . . . . . . . . . . . . . . . . . . . 14B55EB1B3E14C22109E918E8EA43EDB30F09DCCB7EF8AD9NormCD - Stand 2012-04Alle Rechte vorbehalten Verein Deutscher Ingenieure e.V., Dsseldorf 2010 2 VDI/VDE 2180 Blatt 4 / Part 4Seite9 Hardwaresicherheitsintegritt fr Beispielstrukturen . . . . . . . .
13、 . . . . . . . 159.1 Nachweis fr eine Struktur mit2oo3-Sensor- und 1oo2-Aktorgruppe unterVerwendung betriebsbewhrter Feldgerte . 159.2 Nachweis fr eine Struktur mit1oo3-Sensor- und zwei 1oo2-Aktor-gruppen unter Verwendung betriebs-bewhrter Feldgerte . . . . . . . . . . . . 169.3 Nachweis fr eine Str
14、uktur mit1oo2-Sensor- und 1oo2-Aktorgruppe unter Verwendung betriebsbewhrter und SIL-bescheinigter/-zertifizierter Feldgerte 20Schrifttum . . . . . . . . . . . . . . . . . . . . . 23VorbemerkungDer Inhalt dieser Richtlinie ist entstanden unter Be-achtung der Vorgaben und Empfehlungen der Richt-linie
15、 VDI 1000.Alle Rechte, insbesondere das des Nachdrucks, derFotokopie, der elektronischen Verwendung und derbersetzung, jeweils auszugsweise oder vollstndig,sind vorbehalten.Die Nutzung dieser VDI-Richtlinie ist unter Wahrungdes Urheberrechtes und unter Beachtung der Lizenz-bedingungen (www.vdi-richt
16、linien.de), die in denVDI-Merkblttern geregelt sind, mglich.Allen, die ehrenamtlich an der Erarbeitung dieserVDI-Richtlinie mitgewirkt haben, sei gedankt.Eine Liste der aktuell verfgbaren Bltter dieserRichtlinienreihe ist im Internet abrufbar unterwww.vdi.de/2180.EinleitungDie Richtlinienreihe VDI/V
17、DE 2180 besteht aus fol-genden Blttern:Blatt 1 Einfhrung, Begriffe, KonzeptionBlatt 2 ManagementsystemBlatt 3 Anlagenplanung, -errichtung und -betriebBlatt 4 Nachweis der Hardwaresicherheits-integritt einer PLT-SchutzeinrichtungBlatt 5 Empfehlungen zur Umsetzung in die PraxisPage9 Hardware safety in
18、tegrity for specimen structures. . . . . . . . . . . . . . 159.1 Verification for a structure with a2oo3 sensor and 1oo2 actuator groupusing proven-in-use field devices . . . . . 159.2 Verification for a structure with a1oo3 sensor and two 1oo2 actuator groups using proven-in-use field devices . 169
19、.3 Verification for a structure with a 1oo2 sensor and 1oo2 actuator groupusing proven-in-use and SIL-confirmed/-certified field devices . . . . . . . . . . . 20Bibliography . . . . . . . . . . . . . . . . . . . . 23Preliminary noteThe content of this guideline has been developed instrict accordance
20、 with the requirements and recom-mendations of the guideline VDI 1000.All rights are reserved, including those of reprinting,reproduction (photocopying, micro copying), storagein data processing systems and translation, either ofthe full text or of extracts.The use of this guideline without infringe
21、ment of copy-right is permitted subject to the licensing conditionsspecified in the VDI notices (www.vdi-richtlinien.de).We wish to express our gratitude to all honorary con-tributors to this guideline.A catalogue of all available parts of this guide-line series can be accessed on the internet atwww
22、.vdi.de/2180.IntroductionThe VDI/VDE 2180 series of guidelines consists ofthe following parts:Part 1 Introduction, terms, conceptPart 2 Management systemPart 3 Plant engineering, realization and operationPart 4 Verification of the hardware safety integrityof safety instrumented systemsPart 5 Recomme
23、ndations for practical useB55EB1B3E14C22109E918E8EA43EDB30F09DCCB7EF8AD9NormCD - Stand 2012-04All rights reserved Verein Deutscher Ingenieure e.V., Dsseldorf 2010 VDI/VDE 2180 Blatt 4 / Part 4 3 1 AnwendungsbereichDie vorliegende Richtlinie gilt nur in Verbindung mitder gesamten Richtlinienreihe VDI
24、/VDE 2180. Diebeschriebenen Methoden dienen dazu, den fr einePLT-Schutzeinrichtung geforderten Sicherheitsinteg-rittslevel (SIL) fr die Hardware nachzuweisen.Dieser Nachweis besteht aus zwei Teilen. Einerseitsist eine Bewertung der strukturellen Eignung erfor-derlich. Andererseits hngt die SIL-Quali
25、fikation freine PLT-Schutzeinrichtung von ihrer sicherheits-technischen Ausfallwahrscheinlichkeit (PFD) ab.Folgende Faktoren beeinflussen dabei das Ergebnis:Gerteauswahl und -zuverlssigkeit,struktureller Aufbau undPrfabstand der PLT-Schutzeinrichtung.Anmerkung: Die Prozesse der Betriebsbewhrung und
26、der Bau-musterprfung haben beide das Ziel, systematische Fehler bei Ge-rten auszuschlieen. Beide Gerteklassen werden zudem im Rah-men der NE-93-Statistik bercksichtigt. Daraus ergibt sich, dassbetriebsbewhrte und baumustergeprfte Gerte in dieser Richt-linie hinsichtlich systematischer und zuflliger
27、Fehler gleich zu be-handeln sind.2 Formelzeichen und AbkrzungenIn dieser Richtlinie werden die nachfolgend aufge-fhrten Abkrzungen und Formelzeichen verwendet:FMEDA Ausfallarten- und AuswirkungsanalyseHFT HardwarefehlertoleranzMDT mittlere AusfallzeitMooN (M-aus-N)-Bewertung mit M N, vgl. VDI/VDE 21
28、80 Blatt 1, Abschnitt 2.3.7MTBF mittlerer AusfallabstandMTTD mittlere Fehlererkennungszeit MTTF mittlere Betriebszeit bis zum Auftreten eines Fehlers MTTR mittlere Wiederherstellungszeit PFD durchschnittliche Wahrscheinlichkeiteines Ausfalls bei AnforderungPFDFEPFD des Aktorteils derPLT-Schutzeinric
29、htung PFDLPFD des Logiksystems derPLT-Schutzeinrichtung PFDMooNPFD einer MooN-Gruppe in einem Teil-system einer PLT-SchutzeinrichtungPFDSPFD des Sensorteils der PLT-SchutzeinrichtungPFDTotalPFD der gesamtenPLT-SchutzeinrichtungSFF Anteil sicherer FehlerSIF SchutzfunktionSIL Sicherheitsintegrittsleve
30、l (vgl. VDI/ VDE 2180 Blatt 1, Abschnitt 2.1.19)1ScopeThe present guideline is only valid in conjunctionwith the complete guideline VDI/VDE 2180. Themethods described are used to verify the requiredSafety Integrity Level (SIL) of the hardware for thesafety instrumented system (SIS).This verification
31、 consists of two parts. Firstly, there isthe evaluation of structural suitability. Secondly, SILqualification of an SIS is dependent on its safety-re-lated probability of failure (PFD). The following fac-tors influence the outcome:choice and reliability of equipment,structural design andtest proof i
32、nterval of the SIS.Note: The processes of proven-in-use and type-testing both havethe aim of excluding systematic faults within devices. Both classesof device are also taken into consideration within the NE 93 statis-tics. That follows that proven-in-use and type-tested devices in thisguideline are
33、to be treated equally with respect to systematic andspurious faults.2 Symbols and abbreviationsThe following abbreviations and symbols are usedthroughout this guideline:FMEDA failure mode effect and diagnosticsanalysisHFT hardware fault toleranceMDT mean downtimeMooN (M-out-of-N) evaluation with M N
34、, see VDE/VDI 2180 Part 1, Section 2.3.7 MTBF mean time between failuresMTTD mean time to detectionMTTF mean time to failureMTTR mean time to restorationPFD probability of failure on demandPFDFEPFD of subsystem final elementPFDLPFD of subsystem logic solverPFDMooNPFD of MooN group in a subsystem of
35、an SISPFDSPFD of subsystem sensorPFDTotalPFD of complete SISSFF safe failure fractionSIF safety instrumented functionSIL safety integrity level (seeVDE/VDI 2180 Part 1, Section 2.1.19)B55EB1B3E14C22109E918E8EA43EDB30F09DCCB7EF8AD9NormCD - Stand 2012-04Alle Rechte vorbehalten Verein Deutscher Ingenie
36、ure e.V., Dsseldorf 2010 4 VDI/VDE 2180 Blatt 4 / Part 4Anmerkung: Fr das Krzel PLT“ werden hufig auch die KrzelMSR“ (fr Mess-, Steuer- und Regeleinrichtungen) oder EMR“(fr Elektro-, Mess- und Regeleinrichtungen) als Synonyme ver-wendet.3BegriffeFr die Anwendung dieser Richtlinie gilt der fol-gende
37、Begriff:FehlertoleranzFhigkeit einer Funktionseinheit (hier: Komponenteoder Teilsystem), eine geforderte Funktion bei Beste-hen von Fehlern oder Abweichungen weiter auszu-fhren. nach DIN EN 61511-14 StrukturenEine PLT-Schutzeinrichtung besteht aus drei wesent-lichen Teilen (siehe Bild 1):Sensorteil,
38、Logikteil undAktorteil.Sensor- und Aktorteile knnen wiederum aus mehre-ren Sensor- und Aktorgruppen bestehen.Jede dieser MooN-Gruppen besteht aus N Kanlen,wobei M davon zur Erfllung der Schutzfunkion aus-reichend sind.Anmerkung: In der Regel bestehen Sensor- und Aktorteil bei einerPLT-Schutzeinricht
39、ung aus jeweils einer Gruppe.SSPS sicherheitsgerichtete speicherprogram-mierbare SteuerungVPS verdrahtungsprogrammierbare SteuerungT1Prfintervall Anteil der unerkannten passiven Fehler gemeinsamer Ursache Rate aller (aktiven und passiven) FehlerDRate der passiven Fehler DDRate der erkannten passiven
40、 FehlerDURate der unerkannten passiven FehlerSRate der aktiven FehlerNote: In addition to the abbreviation PCE (process control engi-neering), MC (measurement and control) and EMC (electrical,measurement and control devices) are also frequently used as ab-breviations.3 Terms and definitionsFor the p
41、urposes of this guideline, the following termand definition apply:Fault toleranceAbility of a functional unit (in this case a device orsubsystem) to continue to perform a required func-tion in the presence of faults or errors. according toDIN EN 61511-14 StructuresAn SIS consists of three main subsy
42、stems (seeFigure 1):sensor,logic andactuator subsystem.Sensor and actuator subsystems may in turn compriseseveral sensor and actuator groups.Each of these MooN groups comprises N channels,where M channels are required to fulfill the safetyfunction.Note: Normally the sensor and actuator part of an SI
43、S comprisesone group each.SPLC Safety related programmable logiccontrollerHPC hard-wired programmed controllerT1test proof interval proportion of undetected passive faults with a common cause rate of all (active and passive) faultsDrate of passive faults (dangerous)DDrate of detected passive faults(
44、dangerous detected)DUrate of undetected passive faults(dangerous undetected)Srate of active faults (safe)B55EB1B3E14C22109E918E8EA43EDB30F09DCCB7EF8AD9NormCD - Stand 2012-04All rights reserved Verein Deutscher Ingenieure e.V., Dsseldorf 2010 VDI/VDE 2180 Blatt 4 / Part 4 5 5 Strukturelle Eignung Anf
45、orderungen an die HardwarefehlertoleranzDie strukturelle Eignung einer PLT-Schutzeinrich-tung ist an den Begriff der Hardwarefehlertoleranzgekoppelt (vgl. Abschnitt 3).5 Structural suitability demands on hardware fault toleranceThe structural suitability of an SIS is coupled to theconcept of hardwar
46、e fault tolerance (HFT) (see Sec-tion 3)Bild 1. Strukturbersicht einer PLT-SchutzeinrichtungFigure 1. Structural overview of an SISB55EB1B3E14C22109E918E8EA43EDB30F09DCCB7EF8AD9NormCD - Stand 2012-04Alle Rechte vorbehalten Verein Deutscher Ingenieure e.V., Dsseldorf 2010 6 VDI/VDE 2180 Blatt 4 / Par
47、t 4Gem dieser Definition bezieht sich der BegriffHardwarefehlertoleranz“ (HFT) nur auf die entspre-chende Fhigkeit der Hardware.Sensoren, Logiksysteme und Aktoren von PLT-Schutzeinrichtungen mssen eine Mindest-HFT auf-weisen (DIN EN 61511-1, Abschnitt 11.4.1).Anmerkung 1: Die HFT ist die Fhigkeit ei
48、ner Komponente odereines Teilsystems, trotz Vorliegens eines oder mehrerer gefahrbrin-gender Hardwarefehler die geforderte sicherheitstechnische Funk-tion auszufhren. Eine HFT von 1 bedeutet, dass beispielsweisezwei Gerte vorhanden und so angeordnet sind, dass ein gefahrbrin-gender Ausfall eines der
49、 Gerte oder Teilsysteme die Durchfhrungder Sicherheitsmanahme nicht verhindert.Anmerkung 2: Die HFT wurde festgelegt, um mgliche Versum-nisse bei der Festlegung der sicherheitstechnischen Funktionen auf-grund der dem Entwurf der sicherheitstechnischen Funktion zu-grunde liegenden Annahmen und der Unsicherheit der Ausfallratenvon Komponenten oder Teilsystemen in unterschiedlichen Prozess-anwendungen auszugleichen.Anmerkung 3: Es ist wichtig