Informationen zur wiederkehrenden Geräteprüfung

Informationen zur wiederkehrenden Geräteprüfung

Steigern Sie Effizienz und Sicherheit mit bewährten Lösungen für Füllstandmessgeräte in sicherheitsgerichteten Systeminstrumentierungen 

Wiederkehrende Geräteprüfung leicht gemacht! 

Wiederkehrende Geräteprüfungen werden durchgeführt, um die Funktionalität von Geräten zu überprüfen, die innerhalb eines Sicherheitskreislaufs implementiert sind. Sie sind obligatorisch, um den internationalen Sicherheitsstandards zu entsprechen. Gefährliche unerkannte Ausfälle (Dangerous Undetected Failures, DU), d. h. Ausfälle, die durch die Gerätediagnose nicht erkannt werden, müssen beim Entwurf des Sicherheitskreislaufs berücksichtigt werden. Die Regelmäßigkeit von wiederkehrenden Geräteprüfungen basiert auf dem Sicherheitsintegritätsniveau des Sicherheitskreislaufs und der Wahrscheinlichkeit eines Geräteausfalls (Probability of a Device Failure, PFD). Um sicherzustellen, dass ein Gerät weiterhin die erforderliche Sicherheitsintegritätsstufe (Safety Integrity Level, SIL) erreicht, kann die PFD, die mit der Zeit zunimmt, durch umfassende wiederkehrende Geräteprüfungen auf fast das ursprüngliche Niveau reduziert werden. Bei Geräten mit wenigen DU kann dies auch mit partiellen wiederkehrenden Geräteprüfungen erreicht werden. Diese können aus der Ferne durchgeführt werden und sind weit weniger zeitaufwendig als umfassende Prüfungen.

Hier erfahren Sie mehr ...
Klicken Sie hier, um mit dem Lesen fortzufahren. Wiederkehrende Geräteprüfung leicht gemacht! 

Erfahren Sie mehr über funktionale Sicherheits- und wiederkehrende Geräteprüfungen

Wiederkehrende Geräteprüfungen werden in IEC 61508 definiert als eine „Periodische Prüfung, die durchgeführt wird, um gefährliche versteckte Fehler in einem sicherheitsbezogenen System aufzudecken, so dass, falls erforderlich, eine Reparatur das System wieder in einen „neuwertigen“ Zustand oder einen Zustand, der diesem Zustand so nahe wie möglich kommt, versetzen kann“. Eine wiederkehrende Geräteprüfung ist so konzipiert, dass eingebaute Geräteausfälle aufgedeckt werden, die von niemandem entdeckt werden. Sie ist ein wichtiger Teil des Sicherheitslebenszyklus und entscheidend dafür, dass ein System während des gesamten Sicherheitslebenszyklus die erforderliche SIL-Einstufung erreicht.


Sicherheitslebenszyklus

Die Norm IEC 61511 empfiehlt die Verwendung eines funktionalen Sicherheitslebenszyklus, um: 

  1. Situationen zu analysieren und Sicherheitsanforderungen zu dokumentieren
  2. Anforderungen in einen dokumentierten Entwurf eines Sicherheitssystems unter Verwendung geeigneter Software und Hardware und einer Entwurfsmethodik zu übersetzen
  3. Das System anhand der erforderlichen Integritäts- und Zuverlässigkeitsspezifikationen zu evaluieren und bei Bedarf zu modifizieren
  4. Das System nach anerkannten Verfahren zu betreiben und zu warten sowie die Ergebnisse zu dokumentieren, um sicherzustellen, dass die Leistung während des gesamten Lebenszyklus erhalten bleibt


Wie werden Ausfälle definiert?

  • Sicher unerkannt (Safe Undetected, SU): Eine falsche (vorzeitige) Aktivierung einer Komponente, wenn dies nicht angefordert wird  
  • Sicher erkannt (Safe Detected, SD): Ein durch das Gerät ausgelöster unkritischer Alarm 
  • Gefährlich erkannt (Dangerous Detected, DD): Ein gemeldeter kritischer Diagnosealarm, der verhindert, dass die Sicherheitsfunktion ausgeführt wird, wenn der Ausfall nicht korrigiert wird 
  • Gefährlich unerkannt (Dangerous Undetected, DU): Ein kritischer gefährlicher Fehler, der von der Gerätediagnose nicht erkannt wird. Bleibt bis zur nächsten Prüfungs- oder Sicherheitsfunktionsaktivierung verborgen. Die Auswahl eines Geräts mit hohem Diagnosedeckungsgrad minimiert die DU und verbessert die Sicherheit 


Wie erhält ein Messgerät eine SIL-Einstufung?

IEC 61508 weist darauf hin, dass die systematische Fähigkeit, die baulichen Einschränkungen und die Ausfallwahrscheinlichkeit eines Produkts bewertet werden müssen. Ein unabhängiges Prüfungsunternehmen wie Exida kann eine Zertifizierung anbieten, die alle drei Kriterien abdeckt, die für die angestrebte SIL-Einstufung erforderlich sind:

  • Die systematische Fähigkeit erfordert eine Bewertung des Qualitätsmanagementsystems des Geräteherstellers, um sicherzustellen, dass Verfahren zur Verhinderung systematischer Konstruktionsfehler eingehalten werden.
  • Es wird eine Fehlermöglichkeits- und -einflussanalyse sowie diagnostische Analyse (Failure Mode Effects and Diagnostic Analysis, FMEDA) durchgeführt, um die baulichen Einschränkungen zu bewerten 
  • Die Ausfallwahrscheinlichkeit wird durch Berechnung der durchschnittlichen Zufallswahrscheinlichkeit eines Ausfalls bewertet 


Wahrscheinlichkeit eines Ausfalls bei Anforderung (Probability of Failure on Demand, PFD) 

Das Risiko, dass ein Gerät seine Sicherheitsfunktion bei Bedarf nicht erfüllt. IEC 61511 besagt, dass das Intervall zwischen den Abnahmeprüfungen auf der Grundlage der mittleren PFD (PFDavg) berechnet werden soll. Für die Berechnung der PFDavg werden die individuellen Ausfallraten, der Diagnosedeckungsgrad und der Sicherheitsfunktionsfaktor verwendet. Ein niedrigerer Wert der einzelnen Instrumente trägt zur Verbesserung der Gesamtzuverlässigkeit bei. 

Risikominderungsfaktor (Risk Reduction Factor, RRF)  

Der Risikominderungsfaktor (RRF) ist der Kehrwert der geforderten Ausfallwahrscheinlichkeit. Beispielsweise entspricht ein erforderlicher Ausfallwahrscheinlichkeitswert von 0,001 einer RRF von 1000, was einen gefährlichen Ausfall alle 1000 Jahre bedeutet.


Eine umfassende wiederkehrende Geräteprüfung verifiziert alle drei Funktionselemente eines Geräts – Ausgangsschaltung, Messelektronik und Sensorelement. Eine partielle wiederkehrende Geräteprüfung verifiziert ein oder zwei davon. Eine partielle wiederkehrende Geräteprüfung wird durchgeführt, um sicherzustellen, dass ein Gerät keine internen Probleme hat. Sie bringt die PFD eines Geräts wieder auf einen Prozentsatz des ursprünglichen Niveaus und stellt sicher, dass es die spezifizierte SIL-Anforderung erfüllt.

Eine Kombination von partiellen wiederkehrenden Geräteprüfungen, die alle drei Funktionselemente abdeckt, gilt als umfassende wiederkehrende Geräteprüfung.


Zusätzlich zu den Messdaten bieten moderne Füllstandmessgeräte auch Zugang zu Diagnosefunktionen und unterstützen wiederkehrende Geräteprüfungen aus der Leitwarte. Ausfälle werden in Echtzeit erkannt. Der Diagnosedeckungsgrad (Diagnostic Coverage, DC) beschreibt die Fähigkeit des Geräts, gefährliche Ausfälle zu erkennen. Der Deckungsgrad der wiederkehrenden Geräteprüfung ist ein Maß dafür, wie viele unentdeckte gefährliche Ausfälle, die nicht durch die Diagnose eines Geräts ermittelt wurden, durch wiederkehrende Geräteprüfungen erkannt werden können. Dies ist definiert als der Deckungsfaktor der wiederkehrenden Geräteprüfung (Proof-Test Coverage Factor, PTC-Faktor), der einen möglichst hohen Prozentsatz (idealerweise 100 % für einen vollständigen Test) betragen sollte.


Bitte aktivieren Sie JavaScript für diese Webseite.