SIL: Was ist SIL und Funktionale Sicherheit? Antworten auf die wichtigsten Fragen rund um Funktionale Sicherheit und Safety Integrity Level (SIL)

Anbieter zum Thema

DECHEMA e.V.

HIMA Paul Hildebrandt GmbH

Xylem Analytics Germany Sales GmbH & Co. KG

SIL und Funktionale Sicherheit, zwei Themen, viele Fragen – PLT-Sicherheitseinrichtungen helfen, kritische Zustände in Prozessen zu vermeiden und Menschen, Umwelt und Anlagen zu schützen. Während bei Geräten und Komponenten die Hersteller dafür Sorge tragen müssen, dass ihre Produkte zuverlässig, sicher und zertifiziert arbeiten, sind bei Anlagen die Betreiber für die funktionale Sicherheit in der Pflicht. Aber wie wird nun die gesamte Anlage funktional sicher?

Die Vorgaben für die funktionale Sicherheit wurden vor mehr als 20 Jahren gesetzt, dennoch bleiben auch heute immer noch viele Fragen offen. Wer neu in das Thema funktionale Sicherheit, SIL-Einstufung oder Risikoreduzierung mit PLT-Sicherheitseinrichtungen einsteigt, dem schwirrt bereits angesichts der vielen Begriffe der Kopf.

Der erste Blick sollte daher der übergeordneten IEC 61508 und der IEC 61511 bzw. VDI/VDE 2180 gelten, in der alles Wichtige zu den notwendigen Automatisierungskomponenten – in der Regel sind dies MSR-/PLT-Schutzeinrichtungen – beschrieben ist. Diese Normen sind immer anzuwenden, wenn ein System eins oder mehrere elektrische, elektronische oder programmierbare elektronische Geräte enthält. Hier finden sich außerdem Hinweise, wie eine Schutzeinrichtung beschaffen sein muss, um ein bestimmtes SIL zu erreichen. Dabei gibt es nicht nur einen Weg, sondern ganz unterschiedliche Ansätze, die zum Teil sehr komplex sein können.

Am Anfang steht die Risikoanalyse

Zunächst ist eine Risikoanalysenötig, mit der sich die Schutz- und Gegenmaßnahmen, um das Risiko zu reduzieren, bewerten lassen. Die Identifikation von Risiken wird oft mithilfe der „Hazard and Operability Study“ (kurz HAZOP) durchgeführt. Um die erforderliche Risikoreduzierung zu quantifizieren (SIL-Ermittlung), sind u.a. Risikograph, LOPA („Layer of Protection Analysis“) und Risikomatrix gebräuchliche Methoden.

Welche Fehler gibt es?

Bei der Betrachtung des Risikos muss im Wesentlichen zwischen systematischen und zufälligen Fehlern unterschieden werden. Weitere wichtige Stichworte sind Fehlervermeidung, Fehlerbeherrschung und Versagenswahrscheinlichkeit. Systematische Fehler sind ursächlich im Entwurf, Konstruktion, der Betriebsanleitung oder der Art des Betriebs begründet. Zum Beispiel kann ein Messgerät falsch ausgelegt sein oder es handelt sich um einen Softwarefehler. Systematische Fehler sind also systemimmanent und werden mit dem Gerät oder dem System ausgeliefert. Diese können nur durch eine Modifikation der betroffenen Komponente abgestellt werden und sind eindeutig reproduzierbar.

Wendet man ein Functional Safety Management System, kurz FSM-System, an, lassen sich systematische Fehler zumindest in Bezug auf die Organisation vermeiden. In der funktionalen Sicherheit nimmt dieses System eine tragende Rolle ein. Es stellt sicher, dass alle Tätigkeiten, die sich auf die Risikoreduzierung beziehen, abgearbeitet und dokumentiert werden. Alle Dokumente, Hardware und Software müssen sich nachvollziehen und auditieren lassen. Dies muss den gesamten Sicherheitslebenszyklus einschließen.

Was ist SIL? – Funktionale Sicherheit mit SIL

Funktionale Sicherheit auf einen Blick: Warum SIL keine Pflicht, aber trotzdem ein Muss ist

Zufällige Fehler, zum Beispiel ein Kurzschluss oder eine andere Unterbrechung, lassen sich leider nicht vorhersagen und damit auch nicht abstellen, sondern lediglich als statistische Größe erfassen. Um das Versagen einer Komponente aufgrund eines zufälligen Fehlers zu quantifizieren, wird die Ausfallswahrscheinlichkeit (PFD - Probability of Failure on Demand) berechnet. Diese kommt bei der Ermittlung des SIL-Wertes ins Spiel.

Grob kann man sagen, dass Systeme, die regelmäßig gewartet werden und permanent laufen, eher anfällig für zufällige Fehler sind. Bei Komponenten, die nur hin und wieder benötigt werden, kommt es eher zu systematischen Fehlern.

Welcher SIL ist der richtige?

Mit Hilfe des Safety Integrity Level - SIL – lässt sich Risikoreduzierung quantifizierbar machen. SIL lässt sich in vier Stufen bzw. Niveaus einteilen – SIL 1 bis SIL 4. Eine niedrige SIL-Anforderung (SIL 1) bedeutet hierbei, dass nur eine vergleichsweise geringe Risikoreduzierung nötig ist, wogegen ein höherer SIL (z.B. SIL 3) ein entsprechend größeres Maß an Risikoreduzierung erfordert.

Anzustreben ist grundsätzlich ein niedriger SIL-Wert. Die Komponenten sind meist nicht nur günstiger, sondern der Anwender hat auch eine wesentlich größere Auswahl an geeigneten Geräten. Aber Achtung: Das SIL gilt für die gesamte Anlage und nicht für eine einzelne Komponente. Selbst, wenn alle eingesetzten Komponenten SIL 2-geeignet sind, bedeutet dies nicht unbedingt, dass dies auch für die gesamte Anlage gilt.

Was passiert im Fall der Fälle?

Man sollte sich immer bewusst machen, dass sich das Restrisiko nur theoretisch auf Null reduzieren lässt. Daher muss zunächst definiert werden, welches Restrisiko akzeptabel ist. Dieses Restrisiko kann dann durch sicherheitsgerichtete Steuerungs- und Schutzeinrichtungen noch einmal erheblich reduziert werden.

Entscheidend ist dabei, dass die Schutzeinrichtung so gestaltet wird, dass sie zu dem geforderten SIL passt. Eine Maßnahme kann zum Beispiel sein, dass zusätzlich zu den aus betriebstechnischen Gründen notwendigen PLT-Schutzeinrichtungen weitere PLT-Kreise aufgebaut werden. Diese treten nur in Aktion, wenn eine Fehlfunktion der betriebstechnischen Einrichtung vorliegt.

Ein anderes Mittel, um ein bestimmtes SIL zu erreichen, ist die Redundanz. In der Praxis können zum Beispiel zwei Messgeräte an einer Messstelle eingesetzt werden. Um einen systematischen Fehler zu vermeiden, können diese entweder von unterschiedlichen Herstellern stammen oder durch verschiedene Messprinzipien abgedeckt werden. Beim Fail-Safe-Verhalten wird die Anlage im Falle eines Fehlers in den sicheren Zustand gebracht, etwa durch bestimmte Druck- oder Temperaturregelungen. Schlussendlich spielt auch die Fehlererkennung eine wichtige Rolle. Schließlich ist es im Fall der Fälle entscheidend, dass diese Fehler auch früh erkannt werden. Dies gilt vor allem für zufällige Fehler.

Ausblick – was kommt auf die Prozessindustrie zu?

In Zukunft dürfte neben der funktionalen Sicherheit auch das Thema IT-Sicherheit bei PLT-Sicherheitseinrichtungen eine größere Rolle spielen. Noch immer gehen viele Anwender davon aus, dass eine SIL-Sicherheitsfunktion auch gegenüber Cyber-Bedrohungen resistent ist und wenn nicht, dann zumindest in einen Fail-Safe-Zustand zurückfällt. SIL-Integritätsbetrachtungen berücksichtigen bislang allerdings keine absichtlichen Manipulationen. Um hier geeignete Schutzmaßnahmen zu integrieren, empfiehlt sich der Blick in die Norm IEC 62443 für Cybersecurity in der Automatisierungstechnik oder auch die Namur-Empfehlung NA163, die noch einmal einen gezielten Blick auf die Prozessindustrie wirft.

(ID:48201413)