Die vorliegende Erfindung betrifft die Berechnung eines Zeitpunkts t, zu welchem ein nächster Proof- Test -Funktionstest außerhalb des Messbetriebs- bei zumindest einer der Komponenten eines Sicherheitssystems mit mindestens einer Sicherheitsfunktion durchzuführen ist, wobei die

Sicherheitsfunktion aus einer oder mehreren Teilfunktionen zusammengesetzt ist, welche eine oder mehrere Komponenten des Sicherheitssystems betreffen und wobei das Sicherheitssystem zumindest aus einem Messgerät zur Bestimmung einer Prozessgröße, einem Aktor und einer Logikeinheit, welche den Aktor steuert, besteht. Der Aktor ist beispielsweise ein Relais oder ein Ventil.

Das Sicherheitssystem ist beispielsweise in oder an einem Behälter angebracht und besteht beispielsweise aus einem Füllstandsmessgerät, einer Logikeinheit und einem Ventil oder einer Schiebevorrichtung, um den Zu-/Ablauf des Behälters zu schließen. Das Sicherheitssystem stellt somit eine Überfüllsicherung oder einen Trockenlaufschutz dar, wobei der Schutz vor Überfüllen oder Trockenlaufen des Behälters durch Betätigung des Ventils oder der Schiebevorrichtung die Sicherheitsfunktion ist. Messgerät und Logikeinheit für ein derartiges Sicherheitssystem zur

Überwachung des Füllstands von Flüssigkeiten werden von der Anmelderin unter dem Namen Liquiphant FailSafe und Nivotester angeboten und vertrieben.

Obgleich die Sicherheitsfunktion immer das komplette Sicherheitssystem betrifft, kann die

Sicherheitsfunktion aus mehreren Teilfunktionen bestehen, welche jeweils nur eine Komponente oder einen Teil der Komponenten betreffen.

Unter einem Sicherheitssystem ist ein System zu verstehen, welches bestimmten

Sicherheitsbestimmungen genügt. Beispielsweise ist dies eine SIL-Stufe gemäß der Norm IEC 61508 oder IEC 62061 oder ein bestimmter Performance Level (PL) gemäß der Norm ISO 13849. Ein Sicherheitssystem besteht für gewöhnlich aus einem Messgerät, welches eine Prozessgröße bestimmt, aus einer Logikeinheit und aus einem Aktor, welcher von der Logikeinheit gesteuert wird. Die Logikeinheit ist sozusagen der Mittler zwischen Messgerät und Aktor. Solch ein

Sicherheitssystem enthält eine oder mehrere Sicherheitsfunktionen, welche beispielsweise das Öffnen eines Ventils— der Aktor— im Falle eines zu hohen Drucks in einem Behälter zur

Vermeidung einer Explosion sein kann. Würde die Sicherheitsfunktion ausfallen, käme es in diesem Beispiel zur Explosion. Sicherheitsfunktionen von Systemen sollen Gefahren und Risiken mindern, welche in Zusammenhang mit dem System oder der Anlage, in welche das System installiert ist, auftreten können. Je größer die Gefahr ist, die beim Ausfall der Sicherheitsfunktion entstehen kann, desto höher sollte auch die Sicherheitsstufe sein, welche das System erfüllen muss. Die jeweilige Sicherheitsstufe gibt hierbei an, wie hoch die maximale Ausfallwahrscheinlichkeit der

Sicherheitsfunktion bei deren Anforderung sein darf. Je niedriger die Sicherheitsstufe ist, desto höher ist die Ausfallwahrscheinlichkeit der Sicherheitsfunktion und desto unsicherer ist das System oder die Anlage.

Um die Sicherheit eines Systems zu erhöhen gibt es beispielsweise die Möglichkeit, die

Sicherheitsfunktion redundant auszuführen. Das heißt, dass alle sicherheitsrelevanten Elemente - das sind alle Elemente in der Sicherheitskette, welche zur Ausführung der Sicherheitsfunktion beitragen, - mindestens zweimal vorhanden sind, sodass im Falle eines Ausfalls eines Elements in der Kette ein Ersatzelement dessen Funktion übernimmt und somit eine Unterbrechung der Kette verhindert wird. Ein sicherheitsrelevantes Element ist z.B. ein Speicherelement oder ein Schalter. Es ist weiterhin möglich, eine zweite Kette aus Elementen aufzubauen, welche sich von den

Elementen der ersten Kette unterscheiden, sodass kein Element jeweils in beiden Ketten vorhanden ist. Auf diese Weise kann das gleichzeitige Auftreten eines systematischen Fehlers eines Elements in beiden Ketten vermieden werden.

Neben dem Sicherheitssystem als ganzes kann auch jede Komponente des Sicherheitssystems eine oder mehrere Sicherheitsfunktionen aufweisen. Dies kann beispielsweise ein selbstständiges Ausschalten des Messgeräts bei Überhitzung sein.

Um zu gewährleisten, dass die Sicherheitsfunktion im Falle einer Anforderung funktioniert, werden die einzelnen Elemente der Kette, welche zur Ausführung der Sicherheitsfunktion dienen, regelmäßig auf ihre Funktionsfähigkeit überprüft. Hierbei sind zwei Arten von Funktionstests zu unterscheiden: der Online-Diagnose-Test, welcher online, also während des Betriebs des

Sicherheitssystems der jeweiligen Komponente, und automatisch in definierten zeitlichen Abständen wiederholt durchgeführt wird, und der Proof-Test, welcher vom Anwender manuell eingeleitet wird und nicht während des Betriebs des Sicherheitssystems durchgeführt werden kann. Proof-Tests werden deshalb so selten wie nötig durchgeführt, wobei während dieses Tests der Fokus auf diejenigen Elemente fällt, welche nicht vom Online-Diagnose-Test abgedeckt werden können. Der Proof-Test, der übrigens auch Wiederholungsprüfung genannt wird, dient zum Erkennen von gefährlichen unerkannten Ausfällen, wobei sich„unerkannt" auf die Online-Diagnose bezieht. Die Rate an gefährlichen unerkannten Ausfällen wird mit λ _ου bezeichnet. Das Ziel solcher Tests ist hierbei, das System möglichst nahe an den Zustand zurückzuführen, welchen es bei der

Inbetriebnahme hatte.

Das Intervall der Durchführung der Online-Diagnose-Tests hängt von der Häufigkeit der Anforderung der Sicherheitsfunktion ab, welche durch den Test überprüft wird und beträgt ca. eine

Größenordnung weniger als diese Anforderung. Bei einer Anforderung im Jahr sollte daher mindestens einmal pro Monat der Online-Diagnose-Test komplett durchgeführt werden.

Während Online-Diagnose-Tests automatisch und in der Regel vom Benutzer unbemerkt erfolgen, müssen Proof-Tests manuell eingeleitet werden. Hierzu ist die Berechnung des Zeitpunkts, zu welchem der nächste Proof-Test durchgeführt werden sollte, notwendig. Dieser berechnet sich im Wesentlichen aus der für die Sicherheitsstufe des Sicherheitssystems maximal zulässigen mittleren Ausfallwahrscheinlichkeit der Sicherheitsfunktion. In Abhängigkeit der Anforderungsrate wird diese Ausfallwahrscheinlichkeit in Form der PFD _av (average Probability of Failure on Demand) oder PFH (Probability of Failure per Hour) angegeben. Im„low demand' -Betrieb, d.h. bei maximal einer

Anforderung der Sicherheitsfunktion pro Jahr, wird die dimensionslose PFD _av verwendet, im„high demand" Betrieb die auf eine Stunde bezogene PFH. Hierbei gilt: PFH = PFD _av (t) / 1. Im Folgenden wird der Übersichtlichkeit halber meist von der PFD _av gesprochen, es sei aber darauf hingewiesen, dass die Überlegungen gleichermaßen für die PFH gelten.

Diese Werte hängen wiederum von den Raten der gefährlichen Ausfälle λ ₀ der einzelnen Bauteile, welche zur Ausführung der Sicherheitsfunktion beitragen, ab. Unter gefährlichem Ausfall ist hierbei ein Ausfall des Bauteiles mit gefährlichen Folgen, wie dem Ausfall der kompletten

Sicherheitsfunktion, zu verstehen. Im Gegensatz hierzu treten mit einer Rate λ _δ sichere Ausfälle auf, welche keine gefährlichen Konsequenzen nach sich ziehen, sondern zu einem sicheren

Systemzustand führen.

Die Berechnung des Zeitpunkts, zu welchem ein nächster Proof-Test durchgeführt werden sollte, kann sich in Abhängigkeit des jeweils vorliegenden Sicherheitssystems relativ aufwendig und zeitintensiv gestalten. Sollte die Berechnung vergessen werden und die Durchführung eines Proof- Tests ausbleiben, kann dies schwerwiegende Folgen mit sich tragen, da die Sicherheitsstufe des Sicherheitssystems ab einem bestimmten Zeitpunkt verlassen wird und nicht gewährleistet ist, dass die Sicherheitsfunktion im Falle einer Anforderung erfüllt wird.

Die Aufgabe der Erfindung besteht daher darin, ein Verfahren zur automatischen Berechnung und Ausgabe des Zeitpunkts des nächsten Proof-Tests eines Sicherheitssystems oder einer

Komponente eines Sicherheitssystems bereit zu stellen. Des Weiteren soll eine Vorrichtung bereitgestellt werden, in welcher dieses Verfahren zur Anwendung kommt.

Die Aufgabe wird gelöst durch ein Verfahren zur automatischen Berechnung eines Zeitpunkts t, zu welchem ein nächster Proof-Test durchzuführen ist, mit den Schritten:

einmaliges Abspeichern der folgenden Daten:

• für das Sicherheitssystem erforderliche Sicherheitsstufe

und der Sicherheitsstufe entsprechende maximal zulässige Ausfallwahrscheinlichkeit der Sicherheitsfunktion - PFD _av -Wert bzw. PFH-Wert - wobei bei deren Erreichen der Proof-Test durchzuführen ist;

oder prozentualer Anteil mindestens einer der Komponenten des Sicherheitssystems am gesamten PFD _av - Wert bzw. PFH-Wert des Sicherheitssystems • gefährliche Ausfallrate λ ₀ von mindestens einem in den Komponenten des

Sicherheitssystems vorhandenen sicherheitsrelevanten Element

• Formel zur Berechnung des Zeitpunkts t des nächsten Proof-Tests in Abhängigkeit des PFD _av -Wertes bzw. PFH-Wertes, wobei dieser von der gefährlichen Ausfallrate λ ₀ abhängt

Zählen der Betriebsstunden des Sicherheitssystems

Berechnung des Zeitpunkts t des nächsten Proof-Tests gemäß der abgespeicherten Formel

Ausgabe des Zeitpunkts t, zu welchem der nächste Proof-Test durchzuführen ist.

Neben den Raten der gefährlichen Ausfälle λ ₀ spielt die Zeit eine wichtige Rolle für die Angabe der Ausfallwahrscheinlichkeit PFD _av bzw. PFH. Je länger der letzte Funktionstest zurück liegt, desto höher wird der Wert der PFD _av bzw. der PFH.

Der Zeitpunkt t, zu welchem der Proof-Test spätestens stattfinden muss, ist daher derjenige, zu welchem der PFD _av -Wert den für die Sicherheitsstufe maximal zulässigen Wert annimmt. Erfolgt der Proof-Test zu einem späteren Zeitpunkt, wird die Sicherheitsstufe verlassen.

Im Falle eines einkanaligen Systems, also ohne redundanten Aufbau der Sicherheitsfunktion, berechnet sich der Zeitpunkt t-ι des nächsten Proof-Tests wie folgt:

PFD(t) = 1 - e ^~ '

Unter der Annahme, dass 1 _D t « 1 gilt, lässt sich die Gleichung vereinfachen zu:

PFD(t) = _D -t

Durch Integration über t : PFD{t _y ) ^■ dt

folgt ohne Diagnose: PFD _av (t _] ) = ^- _D -t _l

Zur Berechnung der PFD _av wird bevorzugt die vereinfachte Formel verwendet. Die Verwendung der genauen Formel ist ebenfalls möglich. Dies ist in der Regel jedoch nicht notwendig, da eine präzise Festlegung des Zeitpunkts des nächsten Proof-Tests für die Praxis von untergeordneter Rolle ist.

Falls die Sicherheitsfunktion aus zwei redundanten Kanälen aufgebaut ist und eine Diagnose stattfindet, spielen für die Berechnung des PFD _av -Wertes noch weitere Faktoren eine Rolle. Dies sind unter anderem die Wahrscheinlichkeiten dafür, dass ein gefährlicher systematischer Fehler gleichzeitig in beiden Kanälen auftritt. Die Berechnung des Zeitpunkts des nächsten Proof-Tests ist entsprechend aufwendiger als im einkanaligen Fall, weshalb an dieser Stelle nicht weiter auf diese eingegangen wird. Der PFD _av -Wert bezieht sich immer auf das komplette Sicherheitssystem, also auf das System aus Messgerät, Logikeinheit und Aktor. In einigen Fällen ist es sinnvoll, zu unterscheiden, welchen Anteil am gesamten PFD _av -Wert die jeweiligen Komponenten besitzen. Der Zeitpunkt t des nächsten Proof-Tests kann dann basierend auf dem Anteil einer Komponente berechnet werden. Fallen beispielsweise 35% des PFD _av -Wertes auf das Messgerät, ist der Zeitpunkt des nächsten Proof- Test erreicht, wenn der PFD _av -Wert des Messgeräts auf 35% des maximal zulässigen PFD _av - Wertes für das gesamte Sicherheitssystem erreicht ist.

Bevorzugt erfolgt die Berechnung des Zeitpunkts t des nächsten Proof-Tests sowie das Zählen der Betriebsstunden in einem Mikrocontroller. Die Betriebsstunden bilden die zeitliche Basis der Berechnung des Zeitpunkts t, zu welchem der nächste Proof-Test durchzuführen ist.

Entweder ist in nur einer Komponente des Sicherheitssystems eine für die Berechnung des

Zeitpunkts des nächsten Proof-Tests verwendete Elektronikeinheit enthalten, in deren

Speicherelement alle relevanten Daten gespeichert sind, oder die einzelnen Komponenten verfügen über eigene Elektronikeinheiten mit Speicherelementen, in welchen die für die jeweilige Komponente relevanten Daten, insbesondere die Ausfallwahrscheinlichkeiten, gespeichert sind. Die Berechnung des Zeitpunkts t findet in einer zentralen Elektronikeinheit statt, welche mit einer der

Elektronikeinheiten der einzelnen Komponenten identisch sein kann. In einer vorteilhaften Ausgestaltung werden die maximal erlaubten Ausfallwahrscheinlichkeiten der einzelnen Komponenten jeweils separat in der jeweiligen Komponente berechnet und diese Werte zur Berechnung des Zeitpunkts t des nächsten Proof-Tests in der zentralen Elektronikeinheit zusammengefügt.

Ein Vorteil bei der Berechnung des Zeitpunkts t auf der Basis der in den jeweiligen Komponenten separat bestimmten PFD _av -Werte der einzelnen Komponenten ist, dass die eventuell

unterschiedlichen Ausgestaltungen der Komponenten bei der Berechnung der PFD der jeweiligen

Komponente berücksichtigt werden können, ohne dass die gesamten Informationen über die jeweilige Ausgestaltung zu einer zentralen Elektronikeinheit übertragen werden müssen.

Beispielsweise unterscheiden sich die Komponenten in der Hardware-Fehlertoleranz, in der maximal zulässigen Ausfallwahrscheinlichkeit oder der Anzahl an redundanten Ausführungen von

sicherheitsrelevanten Elementen. Des Weiteren ist es möglich, dass nur ein Teil der Komponenten des Sicherheitssystems über eine Diagnosefunktion verfügt.

Die Berechnung des Zeitpunkts t des nächsten Proof-Tests der das komplette Sicherheitssystem betreffenden Sicherheitsfunktion kann auf der Basis der Ausfallwahrscheinlichkeit für das komplette Sicherheitssystem oder der Ausfallwahrscheinlichkeiten für eine oder mehrere Komponenten desselben erfolgen. Ein Vorteil bei der Berechnung des Zeitpunkts t, zu welchem der nächste Proof-Test erfolgen sollte, auf der Basis der Werte einer einzigen Komponente ist, dass auf Grund der geringeren Anzahl an Parametern, welche durch die geringere Anzahl an beteiligten sicherheitsrelevanten Elementen und daher einer geringeren Anzahl an gefährlichen Ausfallraten λ ₀ , welche zu berücksichtigen sind, der Rechenaufwand geringer ist, als für den Fall, dass die Daten aller sicherheitsrelevanten Elemente in die Berechnung einfließen würden. Bevorzugt wird der Zeitpunkt t des nächsten Proof-Tests auf der Basis der Werte des Messgeräts berechnet. Die relevanten Werte sind hierbei der Anteil des Messgeräts am PFD _av -Wert bei low demand bzw. am PFH-Wert bei high demand, sowie die gefährlichen Ausfallraten der sicherheitsrelevanten Elemente im Messgerät.

Die Berechnung des Zeitpunkts t des nächsten Proof-Tests geschieht in einer Elektronikeinheit, welche sich an einem beliebigen Ort befinden kann. Bevorzugt ist sie in die Logikeinheit oder das Messgerät integriert. Die Elektronikeinheit ist bevorzugt als Mikrocontroller ausgestaltet.

Ein Vorteil des erfindungsgemäßen Verfahrens ist, dass die Berechnung des Zeitpunkts des nächsten Proof-Tests wiederholt erfolgen kann, und der Zeitpunkt entsprechend aktualisiert wird. Dies ist insbesondere dann von Vorteil, wenn das Auftreten einer Anforderung der

Sicherheitsfunktion erfasst oder protokolliert wird. Ist die Sicherheitsfunktion angefordert worden und hat sie ihre Funktion erfüllt, so ist aktuell kein Proof-Test zu deren Überprüfung bzw. zur

Überprüfung der an der Ausführung der Sicherheitsfunktion beteiligten sicherheitsrelevanten Elemente notwendig. Der Zeitpunkt des nächsten Proof-Tests kann somit auf der Zeitskala nach hinten verschoben werden, sodass der Betrieb des Sicherheitssystems erst zu einem späteren Zeitpunkt zu Gunsten des Proof-Tests unterbrochen werden muss.

Gemäß einer ersten Ausgestaltung werden für den Fall, dass das Sicherheitssystem einen Online- Diagnose-Test zur Fehlererkennung während des Messbetriebs durchführt, die Raten gefährlicher detektierter Ausfälle A _DD und die Raten gefährlicher nicht detektierter Ausfälle λ _ου abgespeichert und fließen in die Berechnung des PFD _av -Wertes bzw. PFH-Wertes ein.

Bei der Rate gefährlicher Ausfälle λ ₀ ist zwischen detektierten und nicht-detektierten gefährlichen Ausfällen zu unterscheiden, wobei detektierte gefährliche Ausfälle diejenigen sind, welche während des Online-Diagnose-Tests aufgedeckt werden. Die Rate der detektierten gefährlichen Ausfälle A _DD (DD: Dangerous Detected) ist vom so genannten Diagnosedeckungsgrad DC abhängig, wobei ein höherer Diagnosedeckungsgrad neben einer niedrigeren Rate an gefährlichen nicht-detektierten Ausfällen λ _ου (DU: Dangerous Undetected) auch mit einem höheren Diagnoseaufwand verbunden ist. Die Werte der gefährlichen Ausfallraten λ ₀ , bzw. der Anteil an nicht-detektierten gefährlichen

Ausfällen λ _ου , hängen von der jeweiligen Schaltung in welche die Bauteile integriert werden und von den Diagnosemaßnahmen ab. Die allgemeine Ausfallrate λ wird vom Hersteller durch die so genannte„Failure In Time" (FIT) angegeben, wobei 1 FIT mit einer Ausfallrate von 1 in 10 ⁹ Stunden gleichbedeutend ist.

Der Anteil an sicheren, detektierten unsicheren, und nicht detektierten unsicheren Ausfällen an der gesamten Ausfallrate hat Einfluss die SIL-Stufe oder den Performance Level eines Gerätes.

Der Safe-Failure-Fraction (SFF) repräsentiert den Anteil derjenigen Ausfälle, welche entweder zu einem sicheren Systemzustand führen oder durch Diagnosemaßnahmen erkannt werden und zu einer definierten Sicherheitsgerichteten Systemreaktion führen. Es gilt daher:

SFF = (As + ADD) Agesamt

Dieser Anteil ist für die Einordnung des Gerätes in eine SIL- oder PL- Kategorie maßgebend. Bei komplexen Systemen wie beispielsweise Mikrocontrollern, für den Fall, dass keine

Herstellerangaben vorhanden sind, oder falls eine Analyse der Ausfallart nicht möglich ist, kann vereinfachend angenommen werden, dass der Safe-Failure-Fraction 50% beträgt. Für die Formel zur Berechnung der PFD _av zum Zeitpunkt t-ι des nächsten Proof-Tests, aus welcher sich der Zeitpunkt t-ι ergibt, folgt im einkanaligen Fall mit Diagnose analog zum Fall ohne Diagnose:

In einer weiteren Ausgestaltung der Erfindung ist vorgesehen, dass eine Temperatur T an einem Ort zumindest einer Komponente des Sicherheitssystems bestimmt wird, und zumindest die zu der Komponente, an deren Ort die Temperatur bestimmt wird, gehörigen Werte der gefährlichen Ausfallraten λ ₀ bzw. A _DD und λ _ου gemäß der bestimmten Temperatur T oder gemäß einem über einen bestimmten Zeitraum gemittelten Temperaturwert T korrigiert werden. Beispielsweise wird in dem Speicherelement eine Tabelle mit Abgleichfaktoren zur

Temperaturkompensation der Werte der gefährlichen Ausfallraten λ ₀ gespeichert und zumindest die zu der Komponente, an deren Ort die Temperatur bestimmt wird, gehörigen Werte der gefährlichen Ausfallraten λ ₀ mit dem zu der bestimmten Temperatur T gehörigen Abgleichfaktor aus der abgespeicherten Tabelle multipliziert.

Ein Vorteil des beschriebenen Verfahrens zur automatischen Berechnung des Zeitpunkts des nächsten Proof-Tests ist, dass im Gegensatz zur manuellen Berechnung eine größere Anzahl an Parametern mit in die Berechung einbezogen werden können.

Einer dieser Parameter ist die Temperatur. Die Werte der gefährlichen Ausfallraten sind auf eine bestimmte Temperatur bezogen, welche als am Ort des Sicherheitssystems vorherrschende

Durchschnittstemperatur angenommen wird. Meist sind dies etwa 40°C. Für die Logikeinheit, welche beispielsweise in einer Leitwarte oder in einer Produktionshalle angebracht ist, ist dies ein realistischer Wert. Es ist jedoch ebenfalls möglich, dass die tatsächliche Temperatur stark von diesem Mittelwert abweicht. Insbesondere ist dies für das Messgerät denkbar, welches direkt am Prozess platziert ist. Prozesstemperaturen übersteigen die durchschnittliche Umgebungstemperatur häufig wesentlich. In diesem Fall sind die Werte der gefährlichen Ausfallraten λ ₀ der sich im

Messgerät befindenden sicherheitsrelevanten Elemente nicht mehr korrekt. Um eine genauere Berechnung des Zeitpunkts des nächsten Proof-Tests durchführen zu können, ist daher eine

Temperaturkompensation notwendig. Hierzu werden die Werte der gefährlichen Ausfallraten λ ₀ beispielsweise mit einem der vorherrschenden Temperatur zugehörigen Abgleichfaktor multipliziert, welcher Tabellen entnommen werden kann.

Bevorzugt ist in jede der Komponenten des Sicherheitssystems ein Temperatursensor integriert. Sind die Komponenten über ein Bussystem miteinander verbunden, können die für die einzelnen Komponenten jeweils bestimmten Werte der Temperatur zu derjenigen Komponente weitergeleitet werden, in welcher die Berechnung des Zeitpunkts des nächsten Proof-Tests ausgeführt wird und dort entsprechend verarbeitet werden.

In einer vorteilhaften Ausführung wird aus den über einen bestimmten Zeitraum gemessenen Werten der Temperatur T ein mittlerer Temperaturwert T berechnet und die Werte der gefährlichen Ausfallraten λ ₀ bzw. A _DD und λ _ου gemäß der mittleren Temperatur T korrigiert. Treten starke

Temperaturschwankungen auf, so ist es nicht sinnvoll, anhand der zu einem bestimmten Zeitpunkt gemessenen Temperatur die Berechnung des nächsten Proof-Tests durchzuführen. Daher wird vorgeschlagen, über ein bestimmtes Zeitintervall, dessen Länge an den Prozess anzupassen ist, die Temperatur wiederholt zu messen und den Mittelwert zu bilden. Hierbei ist es möglich, dass nicht für alle Komponenten des Sicherheitssystems gleich verfahren wird. Beispielsweise kann die

Prozesstemperatur stark variieren, sodass für die am Messgerät bestimmte Temperatur ein

Mittelwert gebildet wird, während die Logikeinheit in einer Leitwarte angebracht ist, wo eine ungefähr konstante Temperatur herrscht, sodass hier auf die Bildung eines Mittelwerts verzichtet werden kann.

Gemäß einer Ausgestaltung der Erfindung wird ein Zeitpunkt eines vorangehenden Proof-Tests und/oder Online- Tests abrufbar abgespeichert. Dieser Zeitpunkt bildet den Ausgangspunkt für den nachfolgenden Proof-Test bzw. Online-Test.

Bei einer weiteren Weiterbildung der Erfindung wird eine Anforderung der Sicherheitsfunktion detektiert und bei der Berechnung des Zeitpunkts t des nächsten Proof-Tests berücksichtigt und/oder das Intervall der Online-Diagnose-Tests wird entsprechend angepasst.

Beispielsweise wird die Anzahl der Anforderungen der Sicherheitsfunktion in einem MikroController gezählt, indem eine entsprechend angelegte Variable bei einer Anforderung der Sicherheitsfunktion jeweils um eins erhöht wird.

Das Intervall der Online-Diagnose-Tests hängt von der Zahl der Anforderungen der

Sicherheitsfunktion ab. Die Online-Diagnose sollte immer um eine Größenordnung häufiger erfolgen als die Zahl der Anforderungen ist. Das anfangs eingestellte Intervall beruht hierbei meist auf einer Abschätzung. Durch das Zählen der tatsächlichen Anforderungen kann das Intervall entsprechend korrigiert werden, vorzugsweise in dem Fall, dass die Online-Diagnosen weniger häufig durchgeführt werden müssen als angenommen. Der Proof-Test kann sogar komplett entfallen, wenn durch die Anforderung alle sicherheitsrelevanten Elemente auf ihre Funktionsfähigkeit getestet wurden. Dies hängt allerdings vom Zeitpunkt der Anforderung ab. Wird beispielsweise berechnet, dass zum Zeitpunkt t ₂ der nächste Proof-Test fällig ist, und wird die Sicherheitsfunktion zum Zeitpunkt t-ι = 1 1 ₂ angefordert, dann verschiebt sich der Zeitpunkt des nächsten Proof-Tests um 14 t ₂ nach hinten.

Werden bei einer Anforderung jedoch nicht alle möglichen Fehler aufgedeckt, sollte ein Proof-Test zu einem früheren Zeitpunkt durchgeführt werden.

Eine Weiterbildung des erfindungsgemäßen Verfahrens ist darin zu sehen, dass für diejenigen sicherheitsrelevanten Elemente, bei welchen es sich um Relais handelt, eine Anzahl an

durchgeführten Schaltspielen protokolliert und die zu dem jeweiligen sicherheitsrelevanten Element gehörige gefährliche Ausfallrate λ ₀ bzw. A _DD und/oder λ _ου an die Anzahl an durchgeführten

Schaltspielen angepasst wird.

Die Ausfallraten λ einiger Bauteile, wie beispielsweise Relais, sind von der Anzahl an Schaltspielen abhängig. Wird diese Anzahl in der Elektronikeinheit protokolliert, kann die Ausfallrate an die gemessene Anzahl angepasst werden. Die Abhängigkeiten der Ausfallraten λ können beispielsweise über die Multiplikation der Ausfallraten λ mit entsprechenden Abgleichfaktoren berücksichtigt werden, welche Tabellen entnehmbar sind. Beispielsweise sei hier auf das Military Handbook 217f verwiesen.

Weitere Ausgestaltungen sind denkbar, wo der Zeitpunkt t des nächsten Proof-Tests, das Erreichen des Zeitpunkts t des nächsten Proof-Tests und/oder der aktuelle PFD _av -Wert bzw. PFH-Wert auf einem Display oder mittels einer Leuchtdiode angezeigt wird und/oder über eine digitale oder analoge Schnittstelle ausgegeben wird. Beispielsweise wird der Zeitpunkt t des nächsten Proof- Tests über einen Feldbus an eine Leitwarte übertragen. Ebenfalls denkbar ist eine mehrstufige Anzeige mittels Leuchtdioden, wobei z.B. ein grünes

Leuchten bedeutet, dass der Zeitpunkt t des nächsten Proof-Test bald, z.B. innerhalb des nächsten Monats, erreicht ist und ein rotes Leuchten bedeutet, dass der Zeitpunkt t erreicht oder bereits verstrichen ist und das Durchführen eines Proof-Tests dringend erforderlich ist. Eine Weiterbildung der erfindungsgemäßen Lösung besteht darin, dass mindestens zwei

redundante Kanäle zur Erfüllung der Sicherheitsfunktion vorhanden sind, wobei die

Wahrscheinlichkeit ß eines nicht detektierten Common-Cause-Fehlers - systematischer Fehler, der in beiden Kanälen auftritt - und im Fall eines Sicherheitssystems mit Online-Diagnosefunktion auch die Wahrscheinlichkeit ß _D eines detektierten Common-Cause-Fehlers gespeichert werden und in die Berechnung des Zeitpunkts t des nächsten Proof-Tests mit einfließen.

Beispielsweise sind zwei identische Messgeräte vorhanden, sodass der das Messgerät betreffende Teil der Sicherheitsfunktion redundant ausgestaltet ist. Zur Bestimmung des PFD _av -Wertes bzw. PFH-Wertes des gesamten Sicherheitssystems werden die PFD _av -Werte bzw. PFH-Werte der Messgeräte multipliziert und zu den PFD _av -Werten bzw. PFH-Werten der übrigen Komponenten addiert. Ein weiterer Summand berücksichtigt die Wahrscheinlichkeit eines Common-Cause-Fehlers und gegebenenfalls die Wahrscheinlichkeit eines detektierten Common-Cause-Fehlers. In einer weiteren Ausgestaltung wird bei Erreichen des berechneten Zeitpunkts t für den nächsten Proof-Test überprüf, ob die Durchführung des Proof-Tests im aktuellen Zustand des

Sicherheitssystems möglich ist.

Da für einen Proof-Test der Messbetrieb für kurze Zeit unterbrochen werden muss, ist die

Durchführung eines Proof-Tests nur dann möglich, wenn sich das Sicherheitssystem in einem sicheren Zustand befindet bzw. wenn die Situation im Messbetrieb eine Unterbrechung der

Bestimmung der Prozessgröße erlaubt.

Gemäß einer weiteren Ausgestaltung wird bei positivem Ergebnis der Prüfung, ob der Proof-Test im aktuellen Zustand möglich ist, der Proof-Test automatisch durchgeführt, wobei überprüft wird, ob der Proof-Test erfolgreich war und wobei eine entsprechende Rückmeldung an die getestete

Komponente, das Sicherheitssystem oder einen Bediener erfolgt.

Ist das Sicherheitssystem mit einer Funktion ausgestattet, welche es ermöglicht eine Aussage darüber zu treffen, ob der Zeitpunkt zur Durchführung eines Proof-Tests geeignet ist, kann der Proof-Test automatisch durchgeführt werden. Im einfachsten Fall wird hierdurch die

Sicherheitsfunktion angefordert und über eine Rückmeldevorrichtung geprüft, ob das

Sicherheitssystem hierdurch in einen definierten sicheren Zustand überführt wurde.

Die Aufgabe wird weiterhin gelöst durch ein Sicherheitssystem, bestehend aus den Komponenten Messgerät zur Bestimmung einer Prozessgröße, Aktor, und Logikeinheit zur Steuerung des Aktors, mit mindestens einer Elektronikeinheit, welche ein Speicherelement und ein Rechenelement umfasst, wobei mindestens eine Elektronikeinheit ein Betriebsstundenzählelement umfasst, und mit einer Ausgabeeinheit, wobei mindestens eine Sicherheitsfunktion vorhanden ist, welche aus einer oder mehreren Teilfunktionen zusammengesetzt ist, wobei die Durchführung von Proof-Tests vorgesehen ist, wobei folgende Daten jeweils in mindestens einer Elektronikeinheit abgespeichert sind:

- für das Sicherheitssystem erforderliche Sicherheitsstufe und der Sicherheitsstufe

entsprechende maximal zulässige Ausfallwahrscheinlichkeit der Sicherheitsfunktion— PFD _av -Wert bzw. PFH-Wert— bei deren Erreichen ein Proof-Test durchzuführen ist, oder prozentualer Anteil mindestens einer der Komponenten des Sicherheitssystems am gesamten PFD _av - Wert bzw. PFH-Wert des Sicherheitssystems

- Werte gefährliche Ausfallrate λ ₀ von mindestens einem in den Komponenten des

Sicherheitssystems vorhandenen sicherheitsrelevanten Element

- Formel zur Berechnung des Zeitpunkts t des nächsten Proof-Tests in Abhängigkeit des

PFD _av -Wertes bzw. PFH-Wertes, wobei dieser von der gefährlichen Ausfallrate λ ₀ abhängt

wobei das Betriebsstundenzählelement die Betriebsstunden des Sicherheitssystems zählt, wobei das Rechenelement der mindestens einen Elektronikeinheit den Zeitpunkt t des nächsten Proof- Tests berechnet und an die Ausgabeeinheit weiterleitet und wobei die Ausgabeeinheit den berechneten Zeitpunkt t des nächsten Proof-Tests ausgibt.

Bei dem Messgerät handelt es sich insbesondere um ein Messgerät zur Bestimmung und/oder Überwachung des Füllstands, der Dichte, der Viskosität, des Drucks, oder des Durchflusses eines Mediums.

Für den Fall, dass das Sicherheitssystem eine Online-Diagnose durchführt, ist bei der gefährlichen Ausfallrate λ ₀ zwischen detektierten und nicht detektieren Ausfällen zu unterscheiden.

Die Betriebsstunden werden gezählt, um eine Zeitbasis für die Angabe des Zeitpunkts des nächsten Proof-Tests zu schaffen. Im einfachsten Fall ist das Betriebsstundenzählelement lediglich eine Variable, welche kontinuierlich erhöht wird.

Besonders vorteilhaft besteht die Elektronikeinheit im Wesentlichen aus einem Mikrocontroller, in welchen das Betriebsstundenzählelement, das Speicherelement und das Rechenelement integriert sind. Die Elektronikeinheit ist hierbei Teil einer der Komponenten des Sicherheitssystems.

Gegebenenfalls sind weitere Elektronikeinheiten in die übrigen Komponenten eingebracht, sodass nicht die vollständige Berechnung des Zeitpunkts t des nächsten Proof-Tests in einer Komponente erfolgen muss, sondern vorbereitende Rechnungen auch in den übrigen Komponenten durchgeführt werden können. Beispielsweise werden die aktuellen PFD _av -Werte bzw. PFH-Werte der

Komponenten in der jeweiligen Komponente berechnet. Es können aber auch alle zur Berechnung notwendigen Daten in einer einzigen Elektronikeinheit gespeichert sein und die Berechung vollständig in dieser Elektronikeinheit durchgeführt werden.

Die Ausgabeeinheit ist beispielsweise eine analoge oder digitale Schnittstelle, ein Display oder eine Leuchtdiode. Eine vorteilhafte Ausgestaltung des Sicherheitssystems zeichnet sich dadurch aus, dass für mindestens eine der Komponenten des Sicherheitssystems ein Temperatursensor vorgesehen ist, welcher eine Temperatur T der Komponente bestimmt, und die Elektronikeinheit zumindest die zu der Komponente, deren Temperatur T bestimmt wird, gehörigen Werte der gefährlichen Ausfallraten λ ₀ gemäß der bestimmten Temperatur T oder gemäß eines über einen bestimmten Zeitraum gemittelten Temperaturwertes T korrigiert.

Es können nur ein Temperatursensor oder mehrere Temperatursensoren, auf die verschiedenen Komponenten verteilt, vorliegen. Dies hängt vom individuellen Aufbau des Sicherheitssystems ab. Ist beispielsweise zu erwarten, dass die Temperatur am Ort einer Komponente der üblicherweise angenommenen Durchschnittstemperatur entspricht oder dieses nicht überschreitet, kann auf die Bestimmung der Temperatur am Ort dieser Komponente verzichtet werden, da deren Bestimmung keinen Einfluss auf die gefährlichen Ausfallraten und somit auf die Berechnung des Zeitpunkts des nächsten Proof-Tests hätte. Ist zu erwarten, dass die am Ort einer Komponente vorherrschende Temperatur einen üblicherweise angenommenen Durchschnittswert übersteigt ist die Überwachung der Temperatur für diese Komponente sinnvoll. Bei starken Temperaturschwankungen sind die Berechnung eines Mittelwerts T der über einen bestimmten Zeitraum gemessenen Temperaturwerte und eine Korrektur der gefährlichen Ausfallraten λ ₀ gemäß diesem Mittelwert T vorteilhaft. Gemäß einer vorteilhaften Ausgestaltung ist ein Anforderungszählelement vorgesehen ist, welches eine Anforderung der Sicherheitsfunktion detektiert, und die Elektronikeinheit passt den Zeitpunkt t des nächsten Proof-Tests und/oder das Intervall von Online-Diagnose-Tests an die

Anforderungsrate an. Eine weitere Weiterbildung der Erfindung ist darin zu sehen, dass mindestens zwei redundante

Kanäle zur Ausführung der Sicherheitsfunktion vorhanden sind, dass die Wahrscheinlichkeit ß eines nicht detektierten Common-Cause-Fehlers und für ein Sicherheitssystems mit Online- Diagnosefunktion auch die Wahrscheinlichkeit ß _D eines detektierten Common-Cause-Fehlers im Speicherelement gespeichert sind

und dass das Rechenelement die Wahrscheinlichkeit ß bzw. ß und ßo in die Berechnung des Zeitpunkts t des nächsten Proof-Tests mit einbezieht.

Gemäß einem Ausführungsbeispiel weisen das Sicherheitssystem und/oder die Komponenten des Sicherheitssystems eine Schnittstelle an ein Bussystem zum Austausch sicherheitsrelevanter Informationen zwischen den Komponenten des Sicherheitssystems oder zwischen mehreren Sicherheitssystemen auf.

Eine sicherheitsrelevante Information ist beispielsweise der aktuelle PFD _av -Wert einer Komponente oder ein anderer zur Berechnung des Zeitpunkts t des nächsten Proof-Test notwendiger Wert. Es ist beispielsweise denkbar, dass das komplette Sicherheitssystem redundant aufgebaut ist, also aus je zwei Messgeräten, Logikeinheiten und Aktoren besteht. Über eine Schnittstelle können die beiden Sicherheitssysteme beispielsweise die Ergebnisse von Proof- oder Diagnose-Tests austauschen oder der Zeitpunkt t des nächsten Proof-Tests wird in einem der beiden

Sicherheitssysteme berechnet und an das jeweils andere Sicherheitssystem weitergegeben. Die Komponenten eines Sicherheitssystems können beispielsweise über ein Bussystem Daten austauschen, welche zur Berechnung des Zeitpunkts t des nächsten Proof-Tests erforderlich sind, z.B. die am Ort der Komponenten jeweils bestimmte Temperatur. Weitere vorteilhafte Merkmale des Sicherheitssystems wurden bei der Beschreibung des in dem Sicherheitssystem zur Anwendung kommenden Verfahrens erläutert.

Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert.

Fig. 1 zeigt ein Diagramm zur Verdeutlichung des Zusammenhangs von PFD _av , SIL und Zeit;

Fig. 2 zeigt ein Flussdiagramm der Arbeitsschritte der Elektronikeinheit zur Berechnung des

Zeitpunkts t des nächsten Proof-Tests.

In Fig. 1 ist die mittlere Ausfallwahrscheinlichkeit PFD _av einer Sicherheitsfunktion bei deren

Anforderung über der Zeit x aufgetragen. Der PFD _av -Wert wächst linear mit der Zeit x an, wie durch die Gerade g angedeutet ist. Die Sicherheitsbereiche oder SIL-Stufen nehmen jeweils einen Bereich zwischen einem minimalen PFD _av -Wert und einem maximalen PFD _av -Wert an. Beispielsweise gehört ein Gerät oder ein System mit einer mittleren Ausfallwahrscheinlichkeit zwischen 10 ^"3 und 10 ^"4 SIL 3 an. Der Bereich zwischen 10 ^"2 und 10 ^"3 ist SIL 2 zugeordnet. Ein Gerät, welches zum Zeitpunkt seiner Inbetriebnahme SIL 3 angehört, wird nach einer bestimmten Zeit der nächst niedrigeren Stufe SIL 2 angehören, da sein PFD _av -Wert wie beschrieben mit der Zeit x anwächst.

Um ein Herabstufen des Geräts zu verhindern, wird vor Verlassen der für das Gerät gewünschten Sicherheitsstufe ein Proof-Test durchgeführt. Bei diesem wird die Sicherheitsfunktion angefordert und somit auf Funktionsfähigkeit überprüft. Ist die Überprüfung erfolgreich, behält das Gerät seine Sicherheitsstufe bei. Der Zeitpunkt t, zu welchem der Proof-Tests durchgeführt werden sollte, entspricht hierbei dem Zeitpunkt, zu welchem der PFD _av -Wert die Grenze zwischen zwei

Sicherheitsstufen erreicht. Für ein Gerät mit SIL 3 ist dies ein PFD _av -Wert von 10 ^"3 .

Wenn mehrere Komponenten zu einem System gehören, welches einer bestimmten Sicherheitsstufe angehört, entfallen bestimmte prozentuale Anteile des PFD _av -Wertes auf die jeweiligen

Komponenten. Diese Anteile werden den Komponenten aus Abschätzungen oder Richtlinien zugeordnet. Gemäß einer bestehenden beispielhaften Richtlinie entfallen bei einem System, welches aus Messgerät, Logikeinheit und Aktor besteht, 35% auf das Messgerät, 15% auf die

Logikeinheit und 50% auf den Aktor. Ein anderes Beispiel ist ein System, in welchem das Messgerät der von der Anmelderin angebotene und vertriebene Grenzstandschalter für Flüssigkeiten,

Liquiphant, ist. Auf diesen entfallen 25% des PFD _av -Wertes des gesamten Systems. Dies bedeutet, dass der Zeitpunkt t, zu welchem der nächste Proof-Test ausgeführt werden sollte um SIL 3 beizubehalten, dann erreicht ist, wenn der PFD _av -Wert auf 25% von 10 ^"3 , also auf 2,5 -10 ^"4 gestiegen ist.

In dem Diagramm ist der Schnittpunkt der Geraden g, welche den zeitlichen Verlauf des PFD _av - Wertes anzeigt, mit dieser Grenze gezeigt. Der auf die Abszisse gerichtete Pfeil verdeutlicht den hierdurch ermittelten Zeitpunkt t des nächsten Proof-Tests.

Fig. 2 offenbart ein Flussdiagramm zur Berechnung des Zeitpunkts t des nächsten Proof-Tests.

Dieses ist als mögliches Ausführungsbeispiel zu verstehen; es versteht sich von selbst, dass die Reihenfolge und Art und Weise der Abfragen variieren kann. In einem Speicherelement der

Elektronikeinheit sind die für die Berechnung notwendigen Daten abgespeichert. Während des Betriebs veränderliche sowie gemessene Daten werden hierbei aktualisiert. Als Beispiel hierfür sind die Temperatur und die Zahl der Anforderungen der Sicherheitsfunktion zu nennen. In einem ersten Schritt wird abgefragt, welche Sicherheitsstufe das Sicherheitssystem zu erfüllen hat. Beispielsweise ist dies„PL e" oder„SIL3". Entsprechend der abgespeicherten Angabe wird die der Sicherheitsstufe entsprechende maximale mittlere Ausfallwahrscheinlichkeit PFD _av der

Sicherheitsfunktion bei Anforderung ermittelt, welche ebenfalls im Speicherelement hinterlegt ist. Für SIL3 sind dies 10 ^"3 . Fakultativ wird abgerufen, welchen prozentualen Anteil am gesamten Wert der PFD _av die jeweiligen Komponenten des Sicherheitssystems besitzen und der diesem Prozentsatz entsprechende Wert der PFD _av bestimmt. Beispielsweise sind dies 25% für ein Messgerät, sodass der maximal zulässige Wert der PFD _av bei 25% von 10 ^"3 , also bei 2,5 -10 ^"4 liegt. Dieser maximal zulässige PFD _av -Wert ist für die Berechnung des Zeitpunkts t der Durchführung des nächsten Proof-Tests maßgeblich.

In einem nächsten Schritt wird die Ausgestaltung der Sicherheitsfunktion abgefragt. Unter

Ausgestaltung der Sicherheitsfunktion ist zu verstehen, ob die Sicherheitsfunktion auf mehrere alternative Wege ausgeführt werden kann, d.h. ob mehrere gleichwertige Sicherheitsketten vorhanden sind, wobei unterschieden wird, ob die Sicherheitsketten redundant (identische sicherheitsrelevante Elemente) oder diversitär (in der Funktion gleiche sicherheitsrelevante

Elemente) aufgebaut sind, und ob eine Online-Diagnose zur Fehlererkennung während des Betriebs des Sicherheitssystems durchgeführt wird. Für den Fall, dass Online-Diagnosen durchgeführt werden, sind die gefährlichen Ausfälle in detektierte und nicht-detektierte gefährliche Ausfälle unterteilt. Die Raten der detektierten und nicht-detektierten gefährlichen Ausfälle können hierbei gleich sein. Dies ist jedoch nicht zwingend der Fall.

Für den Fall, dass die Sicherheitsfunktion redundant ausgeführt ist, ist der so genannte Common- Cause-Faktor ß zu bestimmen bzw. auszulesen, welcher die Wahrscheinlichkeit dafür angibt, dass ein systematischer Fehler in den redundanten Sicherheitsketten gleichzeitig auftritt. Dieser Faktor liegt in der Regel bei einigen Prozent. Auch beim Common-Cause-Faktor ß kann bei Vorhandensein von Online-Diagnosen zwischen einem Faktor ß für nicht detektierte und einem Faktor ß _D für detektierte Fehler unterschieden werden. Durch die Anzahl an alternativen Sicherheitsketten, welche zur Ausführung der Sicherheitsfunktion vorhanden sind, und die Information, ob Online-Diagnosen durchgeführt werden, ist die Formel zur Berechnung des Zeitpunkts t des nächsten Proof-Tests festgelegt.

Beispielsweise sind im einfachsten Fall eines einkanaligen Systems ohne Diagnose - d.h. nur eine einzige Sicherheitskette ist vorhanden, wobei während des Betriebs des Sicherheitssystems keine Fehler erkannt werden - die gefährlichen Ausfallraten λ ₀ der sicherheitsrelevanten Elemente aufzusummieren und der Kehrwert der erhaltenen Summe mit dem doppelten Wert der maximal zulässigen Ausfallwahrscheinlichkeit zu multiplizieren. Die Formel zur Berechnung wurde bereits im beschreibenden Teil dieser Anmeldung angegeben.

Für den Fall eines zweikanaligen redundanten Systems mit Diagnose enthält die Formel eine größere Vielzahl an Parametern. So sind unter anderem die Common-Cause-Faktoren, sowie der Zeitpunkt der Durchführung der Online-Diagnose zu berücksichtigen.

Der nächste Schritt sieht vor, die gefährlichen Ausfallraten der sicherheitsrelevanten Elemente zu bestimmen bzw. diese aus dem Speicherelement auszulesen. Werden Online-Diagnosen durchgeführt, ist hierbei zwischen der Rate A _DD an gefährlichen detektierten und der Rate λ _ου an gefährlichen nicht detektierten Ausfällen zu unterscheiden. Der Einfachheit halber wird im Folgenden zur allgemeinen Gültigkeit nur von der gefährlichen Ausfallrate λ ₀ gesprochen.

Die gefährlichen Ausfallraten λ ₀ werden zur Vereinfachung der Berechnung des Zeitpunkts t des nächsten Proof-Tests als zeitunabhängig angenommen, was in Anbetracht der langen Proof-Test- Intervalle eine gute Näherung darstellt. Es sei jedoch bemerkt, dass dies nur im zeitlichen Rahmen der vom Hersteller angegebenen maximalen Laufzeit des Sicherheitssystems bzw. der darin enthaltenen Bauteile der Fall ist. Ist diese überschritten, steigen die Werte der gefährlichen

Ausfallraten λ ₀ stark an. Laut der Norm IEC61508 ist dies nach etwa 8-12 Jahren der Fall.

Im Allgemeinen hängen die gefährlichen Ausfallraten λ ₀ von im Wesentlichen zwei Parametern ab. Der erste Parameter spielt nur für bestimmte Bauteile, insbesondere Relais, eine Rolle. Die

Ausfallrate dieser Bauteile hängt davon ob, wie oft sie schalten. Durch Protokollieren der Anzahl durchgeführter Schaltspiele kann dieser Parameter mit berücksichtigt werden. Beispielsweise sind Tabellen bekannt, in welchen die Abhängigkeit der Ausfallraten von der Anzahl an Schaltspielen aufgeführt ist.

Der zweite Parameter ist die Umgebungstemperatur des sicherheitsrelevanten Elementes. In der Regel werden die gefährlichen Ausfallraten λ ₀ für eine mittlere Umgebungstemperatur von 40°C angegeben. Liegt die tatsächliche Temperatur darunter oder nur wenig darüber, stellt auch dies eine gute Näherung dar. Übersteigt die tatsächlich vorherrschende Temperatur diese mittlere Umgebungstemperatur jedoch wesentlich, ist es sinnvoll die Raten der gefährlichen Ausfälle gemäß der bestimmten Temperatur abzugleichen und die temperaturkompensierten Werte zur Berechnung des Zeitpunkts t des nächsten Proof-Tests zu verwenden. In einem weiteren Schritt wird hierzu jeweils die Temperatur am Ort der sicherheitsrelevanten

Elemente bzw. am Ort der jeweiligen Komponente, welcher diese zugeordnet sind, bestimmt. Die zu den bestimmten Temperaturen gehörigen Abgleichfaktoren werden im Speicherelement hinterlegten Tabellen entnommen. Wird für jede Komponente separat die Temperatur bestimmt, erhält jede Komponente einen der bestimmten Temperatur entsprechenden Abgleichfaktor, mit welchem die der jeweiligen Komponente zuzuordnenden gefährlichen Ausfallraten λ ₀ multipliziert werden.

Es ist jedoch nicht zwingend erforderlich, eine Temperaturkompensation durchzuführen. Ist davon auszugehen, dass die tatsächliche Durchschnittstemperatur der üblicherweise angenommenen Durchschnittstemperatur entspricht, kann auf die Temperaturmessung und die Berücksichtigung von Abgleichfaktoren verzichtet werden. Weiterhin ist es von der jeweiligen Anwendung abhängig, welche Komponenten des Sicherheitssystems mit einem Temperatursensor ausgestattet sind, wie bereits eingangs diskutiert wurde.

Sind alle Parameter bekannt, welche zu der Berechnung nötig sind, erfolgt die Berechnung des Zeitpunkts t des nächsten Proof-Tests und dessen Ausgabe oder Anzeige. Die Ausgabe kann hierbei in Form eines Signals über eine digitale oder analoge Schnittstelle erfolgen und zum

Beispiels an eine Leitwarte übertragen werden oder an einer der Komponenten des

Sicherheitssystems direkt angezeigt werden. Beispielsweise ist die Anzeige auf einem Display des Messgeräts denkbar.

Bisher nicht berücksichtigt wurde der Fall, dass eine Anforderung der Sicherheitsfunktion außerhalb eines Proof-Tests oder Diagnose-Tests stattfindet. Erfolgt eine Anforderung und ist diese erfolgreich, d.h. die Sicherheitsfunktion wird erfüllt und es liegt kein gefährlicher Ausfall vor, so ist die

Durchführung eines Proof-Tests für einen bestimmten Zeitrang überflüssig. Durch die Anforderung fällt der PFD _av -Wert wieder auf einen geringeren Wert ab. Im Idealfall ist dies der Anfangswert, den das Sicherheitssystem bei dessen Inbetriebnahme aufwies. Im Realfall wird dieser Anfangswert nicht mehr erreicht. Eine Anforderung der Sicherheitsfunktion führt aber dazu, dass der Zeitpunkt t des nächsten Proof-Tests nach hinten verschoben wird, was einen längeren Betrieb des

Sicherheitssystems ohne Unterbrechung für einen Proof-Test ermöglicht. Bei der manuellen

Berechnung des Zeitpunkts t des nächsten Proof-Tests ist eine derartige Korrektur des Zeitpunkts t in der Regel nicht vorgesehen. Dies ist neben dem ersparten Zeit- und Rechenaufwand für den Anwender des Sicherheitssystems ein weiterer Vorteil.

Ist der berechnete Zeitpunkt t für den nächsten Proof-Test erreicht, kann beispielsweise ein automatischer Prüfvorgang eingeleitet werden, welcher ermittelt, ob ein Proof-Test zu dem aktuellen Zeitpunkt und Zustand des Messgeräts möglich ist. Das Ergebnis der Prüfung kann entweder an einen Bediener übermittelt werden, beispielsweise durch Anzeige auf einem Display, oder zu einer automatischen Einleitung des Proof-Tests führen, wobei vorteilhaft eine vorherige Mitteilung an den Bediener erfolgt. Bei der automatischen Durchführung des Proof-Tests ist es notwendig, das Ergebnis zu detektieren und an das Sicherheitssystem, eine der Komponenten oder eine Leitwarte zu übermitteln.

Eine vorteilhafte Handhabung des Ergebnisses des Proof-Tests beinhaltet, dass eine

Fehlermeldung ausgegeben wird, wenn sich die Funktion eines sicherheitsrelevanten Elements des Sicherheitssystems beim Proof-Test oder Online-Diagnose-Test als fehlerhaft erweist, wobei die Hardwaretoleranz HFT im Mikrocontroller abgespeichert wird und an Hand der HFT die Dringlichkeit der Behebung des Fehlers ermittelt und ausgegeben wird. Dies erhöht die Verfügbarkeit der Anlage und stellt somit einen großen Vorteil für den Anlagenbetreiber dar.

Sind beispielsweise zwei alternative Kanäle zur Ausführung der Sicherheitsfunktion vorhanden, kann der Ausfall eines sicherheitsrelevanten Elements in einem der beiden Kanäle ausgeglichen werden, indem der zweite Kanal die Sicherheitsfunktion ausführt. Der Austausch des sicherheitsrelevanten Elements ist daher nicht sofort nach Feststellen des Fehlers notwendig. Bei einer einkanaligen Ausführung der Sicherheitskette ist der Austausch hingegen sofort notwendig. Der Benutzer des Sicherheitssystems kann beispielsweise durch eine Kodierung, z.B. mit den Ziffern von 1 bis 3 auf die Dringlichkeit der Fehlerbehebung aufmerksam gemacht werden.

Die Fehlerausgabe kann jedoch auch ohne Angabe der Dringlichkeit der Behebung erfolgen.