Diagnosemaßnahmen und erreichbarer DC
Die Norm benennt konkrete Diagnosemaßnahmen und deren höchstens erreichbaren DC. Als Hilfestellung sind die benannten Diagnosemaßnahmen in der IEC61508-7 etwas detaillierter beschrieben. Da die Wirksamkeit der Diagnosemaßnahme nachzuweisen ist, kann es in der Praxis ratsam sein, nicht pauschal immer den maximal erreichbaren DC zu beanspruchen.
Ausfallgrenzwerte für eine Sicherheitsfunktion in der Betriebsart High Demand/Continuous Mode
In Abhängigkeit vom zu erreichenden SIL sind konkrete Grenzwerte für die Rate der gefährlichen Ausfälle einzuhalten. Im Falle der Betriebsart High Demand/Continuous Mode ist deren Bezeichnung die PFH (Probability of dangerous failure per hour – mittlere Häufigkeit eines gefahrbringenden Ausfalls der Sicherheitsfunktion pro Stunde). Anmerkung: Für Produkte/Subsysteme wird in der Regel die Erreichung eines bestimmten prozentualen Anteils der PFH vorgegeben.
Zusammenhänge und Ablauf in der Praxis
Die Vielfalt und die gegenseitige Abhängigkeit der Einflussfaktoren erschweren gerade Neueinsteigern die Anwendung und führen bei falscher Anwendung oft zu sub-optimalen Ergebnissen. Typische negative Folgen in der Praxis sind die Notwendigkeit von Anpassentwicklungen, die erst spät im Entwicklungszyklus erkannt werden, aber auch Over-Engineering von Sicherheitsmaßnahmen, die zu Lasten der Verfügbarkeit des Produkts gehen und das Produkt unnötig verteuern. Die System-FMEA sollte als Hilfsmittel betrachtet werden, das bereits zu einem frühen Zeitpunkt in der Entwicklungsphase zum Einsatz kommt. Es empfiehlt sich folgender Ablauf:
