EINER SICHERHEITSAPPLIKATION

Die Erfindung betrifft ein Verfahren zur Ermittlung einer Fehlerwahrscheinlichkeit einer Sicherheitsapplikation, welche einen Sensor, einen Aktor und ein Sicherheitsschaltgerät um- fasst .

Derartige Sicherheitsapplikation kommen insbesondere im Bereich der Automatisierungstechnik zum Einsatz. Eine Berechnung der Fehlerwahrscheinlichkeit einer Sicherheitsapplikati ^¬ on ist meist dann erforderlich, sobald eine Gefährdung an Mensch und/oder Maschine durch die Sicherheitsapplikation verursacht werden kann.

Eine Sicherheitsapplikation umfasst hierbei ein Sicherheits ^¬ schaltgerät, welches über seine entsprechenden Eingänge und/ oder Ausgänge mit mindestens einem Sensor und mindestens ei ^¬ nem Aktor verbunden ist.

Das Sicherheitsschaltgerät verarbeitet eingehende Signale si ^¬ cherheitsgerichtet (z.B. redundant) und steuert die Ausgänge entsprechend der in dem Sicherheitsschaltgerät hinterlegten Parametrierung an. Darüber hinaus überprüft das Sicherheits ^¬ schaltgerät die angeschlossenen Sensoren und Aktoren auf die korrekte Funktion und schaltet bei einem Erkennen eines Feh ^¬ lers entsprechend der Parametrierung sicherheitsgerichtet ab.

Die Sensoren und Aktoren können sowohl elektromechanische Ge ^¬ räte (z.B. ein Schalter, ein Schütz), andere Sicherheitsschaltgeräte oder intelligente sicherheitsgerichtete Geräte (z.B. ein Lichtgitter, ein sicherheitsgerichteter Motorstar- ter) sein.

An den Eingängen und Ausgängen des Sicherheitsschaltgerät sind Sensoren und/oder Aktoren angeschlossen. Die Senso- ren/Aktoren können somit Signale an das Sicherheitsschaltge ^¬ rät senden und/oder die vom Sicherheitsschaltgerät gesandten Signale verarbeiten.

Die Ein- und Ausgänge des Sicherheitsschaltgeräts können als Klemmen ausgebildet sein. Sie können aber auch durch einen Anschlussmittel für einen sicheren oder nicht sicheren Feld- bus ausgebildet sein.

Das Sicherheitsschaltgerät kann kompakt ausgebildet sein, d.h. die Ein- und Ausgänge sind bereits in dem Sicherheits ^¬ schaltgerät vorhanden. Alternativ hierzu kann das Sicherheitsschaltgerät auch modular aufgebaut sein. In diesem Fall umfasst es mindestens eine Logikbaugruppe und eine Erweite ^¬ rungsbaugruppe, welche Eingänge und oder Ausgänge aufweist. Die einzelnen modularen Baugruppen sind hierbei derart ausge bildet, dass sie zu einem Sicherheitsschaltgerät zusammenge ^¬ baut werden können.

Die Sicherheitsapplikation wird letztendlich durch das Zusam menspiel der am Sicherheitsschaltgerät angebundenen Sensoren und Aktoren und die im Sicherheitsschaltgerät hinterlegte Pa rametrierung gebildet. Möchte ein Anwender eine derartige Sicherheitsapplikation einsetzen, so muss er die Fehlerwahrscheinlichkeit der vor ^¬ liegenden Sicherheitsapplikation ermitteln.

Die Ermittlung der Fehlerwahrscheinlichkeit erfolgt bisher anhand der einzelnen PFH- und PFD-Werte der in der Sicherheitsapplikation verwendeten Komponenten. Komponenten der Sicherheitsapplikation sind insbesondere das Sicherheits ^¬ schaltgerät bzw. die betroffenen Baugruppen des Sicherheits ^¬ schaltgerätes sowie die Sensoren und Aktoren der Sicherheits- applikation, welche an den Eingängen oder Ausgängen des Sicherheitsschaltgerät angebundenen werden. Hierfür muss ein Anwender zunächst die Kette der Komponenten der Sicherheits ^¬ applikation (inklusiver der einzelnen Baugruppen des Sicher- heitsschaltgerätes , die in der Sicherheitsapplikation durchlaufen werden) skizzieren. Zur Ermittlung der Fehlerwahrscheinlichkeit muss der Anwender anhand der skizzierten Kette nun die jeweiligen PFH- und PFD-Werte der einzelnen Komponen- ten separat ermitteln. Hierfür muss der Anwender die jeweilige technische Dokumentation (z.B. Datenblätter, Handbücher) der betroffenen Komponenten studieren und die jeweiligen PFH- und PFD-Werte der Komponenten aus der entsprechenden Dokumentation ermitteln. Anhand der einzelnen PFH- und PFD-Werte der Komponenten der Sicherheitsapplikation kann nun die Fehlerwahrscheinlichkeit der Sicherheitsapplikation berechnet werden. Das Ermitteln der Kette der Sicherheitsapplikation, das Ermitteln der jeweiligen PFH- und PFD-Werte der Komponenten und das anschließende Berechnen der Fehlerwahrscheinlichkeit stellen einen großen Aufwand für den Anwender dar und bergen ein großes Fehlerrisiko. Es kann insbesondere zu Berechnungs ^¬ fehlern seitens des Anwenders kommen oder es können falsche PFH-/PFD Werte angenommen werden. Ferner wird oftmals bei komplexen Sensoren, Aktoren oder Sicherheitsschaltgeräten le- diglich vom worst-case PFH-/PFD-Wert ausgegangen, anstelle eine detaillierte Berechnung deren PFH-/PFD-Werte anhand de ^¬ ren beteiligter Komponenten durchzuführen. Dies führt unweigerlich zu einer Überdimensionierung des Systems und somit zu höheren Kosten.

Aufgabe der vorliegenden Erfindung ist es die Ermittlung einer Fehlerwahrscheinlichkeit einer Sicherheitsapplikation zu vereinfachen . Diese Aufgabe wird gelöst durch ein Verfahren gemäß Anspruch 1, d.h. durch ein computerimplementiertes Verfahren zur Ermittlung einer Fehlerwahrscheinlichkeit einer Sicherheitsap ^¬ plikation, welche einen Sensor, einen Aktor und ein Sicherheitsschaltgerät umfasst, mit folgenden Verfahrensschritten:

Projektieren des Sicherheitsschaltgerätes,

Definieren der Sicherheitsapplikation, Ermitteln der Fehlerwahrscheinlichkeit der definierten Si ^¬ eherheitsapplikation, sowie durch eine Vorrichtung gemäß Anspruch 11, d.h. durch ein Computerprogrammprodukt enthaltend Programmcodemittel zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 10, wenn besagtes Computerprogrammprodukt auf einem Datenver ^¬ arbeitungssystem ausgeführt wird. Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen 2 bis 10 angegeben.

Bei dem Ermitteln der Fehlerwahrscheinlichkeit der Sicher ^¬ heitsapplikation, werden die bereits durch das Projektieren und Definieren gewonnenen Informationen über die Sicherheitsapplikation genutzt, so dass die Ermittlung der Fehlerwahrscheinlichkeit automatisch erfolgen kann. Das Ermitteln der Fehlerwahrscheinlichkeit erfolgt vorzugsweise ohne zusätzli ^¬ che Eingabe eines sicherheitskritischen Kennwertes einer Kom- ponente der Sicherheitsapplikation durch einen Anwender, da die sicherheitskritischen Kennwertes der Komponenten der Sicherheitsapplikation bereites während der Definition bestimmt wurden . Bei dem Definieren der Sicherheitsapplikation und/oder bei der Ermittlung der Fehlerwahrscheinlichkeit einer Sicherheitsapplikation werden vorzugsweise lediglich die bei der Sicherheitsapplikation eingesetzten Komponenten betrachtet. Umfasst ein Sensor, Aktor oder ein Sicherheitsschaltgerät je- weils mehrere Baugruppen, so werden vorzugsweise lediglich die Baugruppen des Sensors, Aktors oder Sicherheitsschaltge ^¬ räts zur Definition und/oder Ermittlung berücksichtigt, welche auch bei der Sicherheitsapplikation verwendet werden. Andere Baugruppen der Sensoren, Aktoren und Sicherheitsschalt- geräte, welche nicht in der Sicherheitsapplikation zum Einsatz kommen, werden nicht berücksichtigt. Ist ein Sicherheitsschaltgerät beispielsweise modular ausgebildet, so wer ^¬ den vorzugsweise lediglich die Baugruppen (z.B. Logikbaugrup- pe, Erweiterungsbaugruppe) des Sicherheitsschaltgerätes be ^¬ rücksichtigt, welche auch bei der Sicherheitsapplikation verwendet werden. Die einzelnen Baugruppen werden somit als separate Komponente betrachtet.

Bei dem Definieren der Sicherheitsapplikation wird hinsichtlich der betroffenen Komponenten der Sicherheitsapplikation ein eindeutiger Bezug zu dem jeweiligen sicherheitskritischen Kennwert der einzelnen Komponente hergestellt. Dies erfolgt vorzugsweise entweder durch eine unmittelbare Eingabe des si ^¬ cherheitskritischen Kennwerts der betroffenen Komponente oder durch eine Angabe eines eindeutigen Komponentenmerkmals, so dass anhand dieses Komponentenmerkmals der sicherheitskriti ^¬ sche Kernwert ermittelbar ist.

Da während der Definition ein eindeutiger Bezug zu den einzelnen sicherheitskritischen Kennwerten der Komponenten der Sicherheitsapplikation hergestellt wird und durch das Projektieren die logische Verschaltung der Sicherheitsapplikation abgebildet wird, kann die Fehlerwahrscheinlichkeit der Si ^¬ cherheitsapplikation nach der Definition automatisch ermittelt werden. Dies erfolgt vorzugsweise ohne zusätzliche Ein ^¬ gabe eines sicherheitskritischen Kennwerts durch den Anwender .

Der mit der Erfindung erzielte Vorteil besteht darin, dass durch die automatische Ermittlung der Fehlerwahrscheinlichkeit durch das computerimplementierte Verfahren Berechnungs ^¬ fehler vermieden werden können. Ferner spart sich ein Anwen- der die Zeit, welche er üblicherweise für das Skizzieren der Kette der Sicherheitsapplikation, das Ermitteln der einzelnen sicherheitskritischen Kennwerte (z.B. PFH- und PFD Werte) der Komponenten der Sicherheitsapplikation und das Ausrechnen der Fehlerwahrscheinlichkeit der Sicherheitsapplikation benötigen würde. Ferner erfolgt eine exakte Ermittlung der Fehlerwahrscheinlichkeit der vorliegenden/geplanten Sicherheitsapplika ^¬ tion, so dass eine Überdimensionierung der Sicherheitsappli ^¬ kation bzw. deren Komponenten vermieden wird. In einer vorteilhaften Weiterbildung der vorliegenden Erfindung erfolgt bei dem Projektieren des Sicherheitsschaltgerä ^¬ tes ein Konfigurieren und Parametrieren des Sicherheits- schaltgerätes. Hierbei erfolgt eine Zuordnung der Aus- und Eingänge des Sicherheitsschaltgerätes hinsichtlich der ge ^¬ planten/verwendeten Sensoren und Aktoren. Vorzugsweise wird hierbei bereits die Art des Sensors und/oder Aktors festge ^¬ legt (z.B. Nothalt, Schütz). Ferner erfolgt eine logische Verknüpfung der Aus- und Eingänge des Sicherheitsschaltgerä ^¬ tes untereinander, so dass das Verhalten der Komponenten der Sicherheitsapplikation untereinander festgelegt wird.

Bei dem Konfigurieren erfolgt insbesondere eine Definition der Komponenten, die in die Sicherheitsapplikation einbezogen sind und an den Ein- und Ausgängen des Sicherheitsschaltgerä ^¬ tes angeschlossen werden. Während der Konfiguration wird üblicherweise zunächst lediglich die Art der am Eingang/Ausgang angeschlossenen Komponente bestimmt. Die genaue Bestimmung der verwendeten Komponente wird üblicherweise erst während der Definition festgelegt.

Unter den Begriff Komponenten werden vorzugsweise die in der Sicherheitsapplikation einbezogenen Sensoren und Aktoren, als auch das Sicherheitsschaltgerät bzw. dessen Bestandteile ge ^¬ meint .

Bei dem Parametrieren wird insbesondere das Verhalten der Komponenten der Sicherheitsapplikation untereinander und so- mit die Logik der Sicherheitsapplikation festgelegt. Die logische Auswertung und Steuerung der Sensoren und/oder Aktoren der Sicherheitsapplikation erfolgt hierbei insbesondere durch das Sicherheitsschaltgerät, so dass im Sicherheitsschaltgerät die Logik der Sicherheitsapplikation hinterlegt ist. Im Si- cherheitsschaltgerät wird somit während des Parametrierens die Logik zwischen den betroffenen einzelnen Eingängen und einzelnen Ausgängen des Sicherheitsschaltgeräts festgelegt. Während der Projektierung kann insbesondere die Anzahl der benötigten Eingänge und Ausgänge am Sicherheitsschaltgerät bestimmt werden. In einer weiteren vorteilhaften Weiterbildung der vorliegenden Erfindung wird bei dem Definieren der Sicherheitsapplikation jeweils ein sicherheitskritischer Kennwert des Sensors, Aktors und des Sicherheitsschaltgerätes eindeutig bestimmt. Vorzugsweise werden alle Komponenten der Sicherheitsapplika ^¬ tion separat berücksichtigt. Komponenten der Sicherheitsap ^¬ plikation sind insbesondere die am Sicherheitsschaltgerät an ^¬ gebundenen Sensoren und Aktoren, welche bei der Sicherheitsapplikation beteiligt sind, sowie das Sicherheitsschaltgerät selbst. Ist ein Sensor, Aktor und/oder ein Sicherheitsschalt ^¬ gerät modular aufgebaut, so werden vorzugsweise lediglich die einzelnen Baugruppen des Sensors, Aktors und/oder Sicherheitsschaltgerätes berücksichtigt, welche an der Sicherheits ^¬ applikation beteiligt sind. Jede einzelne Baugruppe bildet somit eine Komponente.

Bei dem Definieren der Sicherheitsapplikation werden insbesondere die hinsichtlich der Sicherheitsapplikation verwendeten Komponenten hinsichtlich ihres sicherheitskritischen Kennwertes (z.B. PFH- und PFD-Wert) eindeutig bestimmt. Der Kennwert kann hierbei durch einen einzelnen Wert aber auch durch mehrere Werte ausgebildet sein. Bei dem Definieren der Sicherheitsapplikation werden somit die am Sicherheitsschaltgerät angebundenen Sensoren und/oder Aktoren sowie das Si- cherheitsschaltgerät selbst eindeutig hinsichtlich ihres si ^¬ cherheitskritischen Kennwertes bestimmt. Besteht beispiels ^¬ weise das Sicherheitsschaltgerät selbst aus einzelnen Bau ^¬ gruppen, so werden vorzugsweise die für die Sicherheitsappli ^¬ kation verwendeten Baugruppen des Sicherheitsschaltgerätes (Logik- und Erweiterungsbaugruppe) eindeutig hinsichtlich ih ^¬ res sicherheitskritischen Kennwertes bestimmt. Das eindeutige Bestimmen des sicherheitskritischen Kennwerts der jeweiligen Komponenten kann auf unterschiedliche Weise erfolgen. Der sicherheitskritische Kennwert der jeweiligen Komponente kann entweder über ein Eingabemittel direkt manu ^¬ ell von einem Anwender eingegeben/ausgewählt werden oder der Anwender bestimmt die verwendete Komponente derart, dass ein Rückschluss auf den sicherheitskritischen Kennwert der Kompo ^¬ nenten gewonnen werden kann. Hierfür kann beispielsweise der Anwender mittels eines Bauteilkatalogs ein eindeutiges Kompo ^¬ nentenmerkmal (z.B. der Gerätename, die maschinenlesbare Fab ^¬ rikantenummer „MLFB", die Seriennummer, die Bestellnummer, die Produktbezeichnung) der Komponente (Sensor, Aktor, Sicherheitsschaltgerät bzw. deren Baugruppe) bestimmen. In ei ^¬ ner Datenbank sind mehrere eindeutige Komponentenmerkmale hinterlegt, sowie deren spezifischer sicherheitskritischer Kennwert. Mittels des computerimplementierten Verfahrens kann auf diese Datenbank zugegriffen werden. Anhand einer Bestimmung eines eindeutigen Komponentenmerkmals durch den Anwender kann nun mittels einer Abfrage mit der Datenbank der eindeutige sicherheitskritische Kennwert der jeweiligen Komponente bestimmt werden. Der Abgleich mit der Datenbank erfolgt vorzugsweise automatisch.

Der Anwendung muss somit nicht mehr mühsam den sicherheits ^¬ kritischen Kennwert der jeweiligen Komponente suchen und eingeben, sondern es genügt, wenn er die jeweilige Komponente anhand eines eindeutigen Komponentenmerkmals bestimmt, z.B. anhand der MLFB, so dass im weiteren vollautomatisch der entsprechende sicherheitskritische Kennwert der Komponente be ^¬ stimmt wird.

In einer weiteren vorteilhaften Ausführungsform der Erfindung kann das eindeutige Bestimmen des sicherheitskritischen Kennwerts mittels eines eindeutigen Komponentenmerkmals des Sen ^¬ sors, Aktors oder Sicherheitsschaltgerätes erfolgen, wobei hierfür zunächst das eindeutige Komponentenmerkmal des Sen ^¬ sors, Aktors oder Sicherheitsschaltgerätes bestimmt wird und daraufhin der sicherheitskritische Kennwert des Sensors, Ak- tors oder Sicherheitsschaltgerätes durch einen Abgleich des bestimmten eindeutigen Komponentenmerkmals mit einer Daten- bank ermittelt wird. Ist der Sensor, Aktor und/oder das Sicherheitsschaltgerät mo- dular aufgebaut, so kann vorzugsweise der sicherheitskriti ^¬ sche Kennwert jeder einzelnen Baugruppe des Sensors, Aktors und/oder Sicherheitsschaltgerätes durch ein eindeutiges Kom ^¬ ponentenmerkmal der entsprechenden Baugruppe bestimmt werden.

Das Auswählen des eindeutigen Komponentenmerkmals erfolgt insbesondere durch eine manuelle Eingabe eines Wertes oder durch eine Auswahl in einem Komponentenkatalog. Vorzugsweise kann die Auswahl mittels einer graphischen Benutzeroberfläche erfolgen.

In der Datenbank sind mehrere eindeutige Komponentenmerkmale von Sensoren, Aktoren, Sicherheitsschaltgeräten und/oder deren Baugruppen sowie deren zugehöriger spezifischer sicher- heitskritischer Kennwert hinterlegt.

In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das computerimplementiertes Verfahren sicherheitsgerich- tet ausgebildet.

In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das Sicherheitsschaltgerät dazu ausgebildet, einen Ver ^¬ braucher mittelbar und/oder unmittelbar sicher anzusteuern, so dass dieser mittels des Sicherheitsschaltgeräts abgeschal- tet werden kann.

Durch das Sicherheitsschaltgerät kann vorzugsweise eine Ver ^¬ sorgungsleitung zu einem Verbraucher geöffnet und/oder geschlossen werden. Dies kann entweder direkt durch dass Si- cherheitsschaltgerät erfolgen oder mittels eines mit dem Si ^¬ cherheitsschaltgerät verbundenen Schützes. Ebenso ist es denkbar, dass der Verbraucher sichere Eingänge hat, welche vom Sicherheitsschaltgerät angesteuert werden, so dass das Sicherheitsschaltgerät den Verbraucher hierüber absch

kann .

In einer weiteren vorteilhaften Ausführungsform der Erfindung umfasst das Sicherheitsschaltgerät mindestens eine Logikbau ^¬ gruppe und mindestens eine Erweiterungsbaugruppe.

Die Erweiterungsbaugruppe kann eine reine Eingangsbaugruppe mit Eingängen, eine Ausgangsbaugruppe mit Ausgängen oder eine gemischte Baugruppe mit Eingängen und Ausgängen sein. Das Si ^¬ cherheitsschaltgerät kann somit modular aufgebaut werden. Für die Ermittlung der Fehlerwahrscheinlichkeit der Sicherheits ^¬ applikation werden lediglich die Baugruppen des Sicherheitsschaltgerätes berücksichtigt, welche auch in der Sicherheits- applikation verwendet werden. Die einzelnen Baugruppen weisen jeweils einen sicherheitskritischen Kennwert auf.

Bei dem Projektieren des Sicherheitsschaltgerätes, dem Defi ^¬ nieren der Sicherheitsapplikation und dem Ermitteln der Feh- lerwahrscheinlichkeit der definierten Sicherheitsapplikation werden insbesondere die einzelnen Baugruppen des Sicherheits ^¬ schaltgerätes, welche an der Sicherheitsapplikation beteiligt sind, berücksichtigt. Es wird insbesondere der sicherheits ^¬ kritische Kennwert der einzelnen beteiligten Baugruppen des Sicherheitsschaltgerätes eindeutig bestimmt.

In einer weiteren vorteilhaften Ausführungsform der Erfindung wird die ermittelte Fehlerwahrscheinlichkeit der Sicherheits ^¬ applikation über ein Ausgabemittel ausgegeben.

Das Ausgeben kann beispielsweise durch Drucken oder mittels einer graphischen Anzeige erfolgen. Hierbei können beispielsweise die einzelnen Rechenschritte zur Ermittlung der Fehlerwahrscheinlichkeit der Sicherheitsapplikation, die beteilig- ten Komponenten der Sicherheitsapplikation und/oder die sicherheitskritischen Kennwerte in Bezug zu den einzelnen Komponenten der Sicherheitsapplikation ausgegeben werden. In einer weiteren vorteilhaften Ausführungsform der Erfindung werden die der Ermittlung zugrundeliegenden Rechenschritte zumindest teilweise über das Ausgabemittel ausgegeben. Insbesondere werden die der Ermittlung zugrundeliegenden die Fehlerwahrscheinlichkeit charakterisierenden sicherheitskritischen Kennwerte der einzelnen Sensoren, Aktoren und/oder Sicherheitsschaltgeräte in Bezug zu diesen ausgegeben. In einer weiteren vorteilhaften Ausführungsform der Erfindung wird die Fehlerwahrscheinlichkeit durch einen PFH und/oder PFD Wert angezeigt und/oder sofern vorhanden, ist der sicherheitskritische Kennwert ein PFH und/oder PFD Wert. Der Sensor, der Aktor, das Sicherheitsschaltgerät und/oder dessen Baugruppen weisen jeweils einen PFH und/oder PFD Wert auf. Die Fehlerwahrscheinlichkeit der Sicherheitsapplikation wird ebenso durch PFH und/oder PFD Wert definiert. Mittels der während der Definition gewonnenen einzelnen PFH-/PFD- Werte der Komponenten kann die Fehlerwahrscheinlichkeit der Sicherheitsapplikation gebildet werden.

PFH steht für "Probabilty of failure per hour" und PFD steht für "Probability of failure on demand" . Beide Werte charakte- risieren die Fehlerwahrscheinlichkeit eines Systems.

Vorzugsweise stellt die Sicherheitsapplikation ein sicher- heitsgerichtetes System dar, welches einer der Sicherheitsan- forderungsstufen 1 bis 4 gemäß IEC 61508 und IEC 13849 er- füllt.

Das computerimplementierte Verfahren wird insbesondere durch ein Computerprogrammprodukt (Engineering Tool) realisiert. Mittels des Computerprogrammprodukts kann ein Anwender insbe- sondere über eine graphische Bedienoberfläche das Parametrie- ren des Sicherheitsschaltgerätes und Definieren der Sicher ^¬ heitsapplikation steuern. Vorzugsweise wird die ermittelte Fehlerwahrscheinlichkeit über die graphische Bedienoberfläche angezeigt .

Vorzugsweise können mittels des computerimplementierten Ver- fahrens während des Parametrierens und Definierens gewonnene Daten an das Sicherheitsschaltgerät übertragen werden, so dass mittels des Sicherheitsschaltgerätes die Logik der Si ^¬ cherheitsapplikation abgebildet werden kann.

Ein Sicherheitsschaltgerät kann vorzugsweise mehrere Sicher- heitsapplikationen beinhalten, wobei für jede Sicherheitsapplikation die Fehlerwahrscheinlichkeit separat ermittelt wer ^¬ den muss. Dies kann durch das vorliegende Verfahren vorzugs ^¬ weise ebenso erfolgen. Das computerimplementierte Verfahren weist insbesondere eine Berechnungsfunktion auf, mittels welcher die Fehlerwahrscheinlichkeit der Sicherheitsapplikation anhand der sicherheitskritischen Kennwerte der beteiligten Komponenten berechnet werden kann.

Dank des computerimplementierten Verfahrens kann bereits während der Planungs- und Konzeptphase einer Anlage oder Maschi ^¬ ne die Fehlerwahrscheinlichkeit einfach ermittelt werden, so dass eine entsprechende Auslegung der Anlage/der Maschine er- folgen kann.

Im Folgenden werden die Erfindung und Ausgestaltungen der Erfindung anhand der in den Figuren dargestellten Ausführungsbeispiele näher beschrieben und erläutert. Es zeigen:

FIG 1 eine schematische Darstellung einer Sicherheits ^¬ applikation, und

FIG 2 eine schematische Darstellung einzelner Schritte des computerimplementiertes Verfahrens zur Er- mittlung einer Fehlerwahrscheinlichkeit einer Si ^¬ eherheitsapplikation . FIG 1 zeigt eine schematische Darstellung einer Sicherheits ^¬ applikation 6. Die Sicherheitsapplikation 6 umfasst hierbei ein Sicherheitsschaltgerät 1, drei Sensoren 2 und zwei Akto ^¬ ren 3. Die Sensoren 2 sind jeweils mittels einer Einzelver- drahtung mit einem Eingang 4 des Sicherheitsschaltgeräts 1 verbunden, so dass Signale zwischen den Sensoren 2 und dem Sicherheitsschaltgerät 1 ausgetauscht werden können. Die Ak ^¬ toren 3 sind ebenso jeweils mittels einer Einzelverdrahtung mit einem Ausgang 5 des Sicherheitsschaltgeräts 1 verbunden, so dass Signale zwischen den Aktoren 3 und dem Sicherheits ^¬ schaltgerät 1 ausgetauscht werden können. Innerhalb der Si ^¬ cherheitsapplikation 6 können alle Komponenten 1,2,3 zum Einsatz kommen, so dass zur Ermittlung der Fehlerwahrscheinlichkeit der Sicherheitsapplikation 6 die einzelnen sicherheits- kritischen Kennwerte der Komponenten (Sensoren 2, Aktoren 3 und Sicherheitsschaltgerät 1) ermittelt werden müssen. Mit ^¬ tels dieser Kennwerte kann die Fehlerwahrscheinlichkeit der Sicherheitsapplikation 6 bestimmt werden. Sofern ein Sicherheitsschaltgerät 1, ein Sensor 2 oder ein Aktor 3 modular ausgebildet ist, so müssen zur Ermittlung der Fehlerwahrscheinlichkeit der Sicherheitsapplikation 6 lediglich dessen Baugruppen berücksichtigt werden, welche innerhalb der Si ^¬ cherheitsapplikation 6 verwendet werden. Die betroffenen Baugruppen sind somit ebenso Komponenten der Sicherheitsapplika- tion 6, welche jeweils einen sicherheitskritischen Kennwert aufweisen .

FIG 2 zeigt eine schematische Darstellung einzelner Schritte des computerimplementiertes Verfahrens zur Ermittlung einer Fehlerwahrscheinlichkeit einer Sicherheitsapplikation, wie sie beispielsweise unter Figur 1 gezeigt wird. In einem ers ^¬ ten Schritt 7 wird das Sicherheitsschaltgerätes projektiert. In einem zweiten Schritt 8 wird die Sicherheitsapplikation definiert. In einem dritten Schritt 9 wird die Fehlerwahr- scheinlichkeit der definierten Sicherheitsapplikation ermittelt . Ein Anwender kann die einzelnen Schritte mittels eines Compu ^¬ ters, auf welchem das computerimplementierte Verfahren mit ^¬ tels eines Computerprogrammprodukts ausführbar ist, durchfüh ^¬ ren. Insbesondere der dritte Schritt 9 wird vollautomatisch durch das Computerprogrammprodukts durchgeführt. Das Compu ^¬ terprogrammprodukt kann ferner die ermittelte Fehlerwahr ^¬ scheinlichkeit und/oder die der Berechnung zugrundeliegenden Rechschritte der definierten Sicherheitsapplikation ausgeben, z.B. über eine graphische Benutzeroberfläche oder durch einen Druckbefehl.

Bei dem herkömmlichen Ermitteln der Fehlerwahrscheinlichkeit einer Sicherheitsapplikation wird bei komplexeren Komponenten (Sensor, Aktor, Sicherheitsschaltgerät) oftmals nur der worst-case sicherheitskritische Kennwert des gesamten Gerätes betrachtet, da Einzelberechnungen für den Anwender oft als zu kompliziert und fehlerträchtig betrachtet werden. Dies führt dazu, dass bei der Auslegung von Anlagen oder Maschinen immer der schlechteste sicherheitskritische Kennwert angenommen wird, um auf der sicheren Seite zu sein. Überdimensionierungen der Sicherheitsapplikation, mit erhöhten Kosten, ist die Folge. Bei dem computerimplementierten Verfahren kann dies hingegen vermieden werden, da bei dem Definieren der Sicherheitsapplikation ein eindeutiger Bezug zu dem sicherheitskri- tischen Kennwert der jeweiligen Komponente hergestellt wird. Dem Computerprogrammprodukt (z.B. ein Projektierungstool) ist nach dem Definieren der jeweilige sicherheitskritische Kenn ^¬ wert der einzelnen verwendeten Komponenten innerhalb der Sicherheitsapplikation bekannt. Mittels einer Berechungsfunkti- on kann das Computerprogrammprodukt nun anhand der durch das Projektieren und Definieren gewonnenen Daten die Fehlerwahrscheinlichkeit der Sicherheitsapplikation exakt berechnen.