Worldwide China Indien

Funktionale Sicherheit mit SIL

Warum SIL keine Pflicht, aber trotzdem ein Muss ist

| Redakteur: Dominik Stephan

Auf der sicheren Seite: Wenn Komponenten unvorhergesehen versagen, greift das Konzept funktionale Sicherheit, um Betrieb, Personal und Umwelt vor Schaden zu bewahren.
Auf der sicheren Seite: Wenn Komponenten unvorhergesehen versagen, greift das Konzept funktionale Sicherheit, um Betrieb, Personal und Umwelt vor Schaden zu bewahren. (Bild: © anuphadit - Fotolia)

Funktionale Sicherheit zwischen SIL-Level und EN 61508 oder was tun, wenn’s brennt? Wenn sicherheitsrelevante Komponenten versagen, ist nicht nur die Produktion gefährdet. Damit es nicht zum schlimmsten kommt, helfen funktionale Sicherheitskonzepte. Doch nur wer Fehlerursachen kennt, kann die richtigen Vorkehrungen treffen.

Fehler passieren – Bauteile können versagen, mechanische Komponenten verschleißen oder Schaltkreise ausfallen. Doch eine Kette ist nur so stark wie ihr schwächstes Glied: Schon die Störung einer einzelnen Komponente kann schwerwiegende Folgen für den Betrieb und die Sicherheit einer industriellen Produktion haben, besonders wenn Teile des Mess-, Steuer- und Regelkreises betroffen sind. Im Falle eines Falles trotzdem eine Fortsetzung des Anlagebetriebs oder zumindest einen sicheren Zustand zu garantieren, ist Ziel der sogenannten Funktionalen Sicherheit.

Dieses Konzept wird im Zeitalter komplexer elektronischer Systeme und speicherprogrammierbarer Steuerungen immer wichtiger, sind doch nahezu alle Sicherheitsfunktionen eines Betriebs fest in Maschinenhand. Das schafft zusätzliche Herausforderungen: Lässt sich der Zustand mechanischer Systeme noch recht zuverlässig anhand der Abnutzung beurteilen, altern elektronische Komponenten kaum. Ihre Lebensdauer wird nicht durch Abrieb, Heißlaufen oder Festfressen begrenzt, trotzdem versagen auch diese Systeme mit der Zeit.

Maßeinheit SIL – so messen Sie die Risikoreduzierung

SIL (Safety Integrity Level)

Maßeinheit SIL – so messen Sie die Risikoreduzierung

09.06.11 - „Was verbirgt sich hinter dem Begriff SIL?“ – diese Frage war bereits mehrfach Gegenstand verschiedener Publikationen. Je nach Blickwinkel und Fokus wurde sie auf unterschiedliche Weise beantwortet. Dieser Beitrag betrachtet das Thema SIL aus einer übergeordneten Sicht. lesen

Um den Anwendern einen Maßstab zum Vergleich solcher elektrischer, elektronischer oder programmierbar elektronischer (E/E/PE) Systeme zu geben, wurde 1998 mit der IEC 61508 eine internationale Norm für sicherheitsrelevante Systeme veröffentlicht, die 2001 als europäische Norm EN 61508 übernommen wurde.

Fehler im Vergleich: Es ist wichtig, zwischen systematischen und zufälligen Fehlern zu unterscheiden
Fehler im Vergleich: Es ist wichtig, zwischen systematischen und zufälligen Fehlern zu unterscheiden (Quelle: Dechema Bild: PROCESS)

Funktionale Sicherheit in der EN 61508

Natürlich kann man Unfälle nicht einfach per Norm verbieten – deswegen legt die EN 61508 großen Wert darauf, Risiken genau einzuschätzen. Dabei haben die Experten sich dem Problem aus zwei Richtungen genähert: Den Folgen eines Systemversagens und der Häufigkeit. Unterschieden wird dabei zwischen

  • Katastrophalen Folgen (wie mehreren Toten)
  • Kritischen Folgen (wie einem einzelnen Todesfall oder mehreren Schwerverletzten)
  • Geringfügigen Folgen mit einzelnen schwereren Verletzungen
  • Unwesentlichen Folgen, bei denen ein einzelner Betroffener geringfügig verletzt wird sowie
  • Häufigem
  • Wahrscheinlichem
  • Gelegentlichem
  • Unwahrscheinlichem
  • Extrem unwahrscheinlichem
  • Und quasi ausgeschlossenem Systemversagen

Mit diesen Kriterien ermöglicht die Norm eine Klassifizierung des Risikos in vier Stufen, von I (inakzeptabel) bis IV (unbedeutend) in absteigender Schwere bzw. Wahrscheinlichkeit des Eintritts. So wäre ein wahrscheinlicher kritischer oder katastrophaler Fehler ein Risiko der Klasse I, ein unwahrscheinlicher Fehler mit geringen Konsequenzen entspräche der niedrigsten Kategorie IV.

Ergänzendes zum Thema
 
Systematische und Zufällige Fehler unter der Lupe

SIL: Funktionale Sicherheit von der Wiege zur Bahre

Damit kann – je nach Einsatzzweck – entschieden werden, welchen Anforderungen sicherheitsrelevante Technologien genügen müssen. Ausgehend von der EN 61508 legt eine Reihe weiterer Regulatorien die Anforderungen für Sicherheitsrelevante Systeme in den unterschiedlichsten Branchen fest – für die Prozessindustrie gilt die DIN IEC 61511.

Allerdings ist nicht jedes im Regelkreis einer Anlage verbaute System elektrisch, elektronisch oder programmierbar: Ventile, Stellgeräte und Armaturen sind nicht ohne weiteres durch die EN 61508 erfasst. Trotzdem lassen sich auch diese Komponenten analog der Ermittlung des Safety-Integration Levels (kurz SIL) betrachten. Dazu müssen allerdings Kennzahlen wie etwa Ausfallrate oder Fehlertoleranz ermittelt werden.

Welche SIL-Klasse für welche Anwendung? Die Tabelle gibt Aufschluss
Welche SIL-Klasse für welche Anwendung? Die Tabelle gibt Aufschluss (Bild: PROCESS)

Grundsätzlich verhalten sich elektronische Komponenten anders als mechanische. Trägt man die Fehlerrate, also die Ausfälle im Verhältnis zur Gesamtzahl der betrachteten Systeme, gegen die Zeit auf, zeigen E/E/EP-Systeme ein typisches Muster: Während die Fehlerrate zunächst hoch ist, fällt sie rasch ab und bewegt sich anschließend auf nahezu konstantem Niveau. Gegen Ende der Lebensdauer des Gerätes steigt sie wieder stark an. Für den Anlagenbetreiber besonders interessant ist die lange Phase konstanter Fehlerraten – die initiale „Säuglingssterblichkeit“ versuchen Hersteller heute bereits im Werk durch Einbrennmethoden wie Hitzebehandlung oder optimierte Herstellung zu durchlaufen.

Gefahr erkannt...

Im Gegensatz dazu ist das Fehlerverhalten mechanischer Komponenten von Abnutzung geprägt: Zwar gibt es auch hier eine Frühausfallphase mit hoher Fehlerrate, doch steigt die Anfälligkeit während der gesamten nutzbaren Lebensdauer nahezu linear an (sogenannte Verschleißphase). Beide Arten von Systemen, sowohl mechanische wie auch elektrische/elektronische weisen also für einen großen Teil ihrer Lebensdauer eine konstante oder konstant ansteigende Fehlerrate auf.

Ein Whitepaper zum Thema SIL – sicher und effizient umsetzen finden Sie auch bei uns!

Funktionale Sicherheit in der Prozesstechnik

Whitepaper: SIL – sicher und effizient umsetzen

Funktionale Sicherheit in der Prozesstechnik

Dieses Whitepaper erklärt kompakt und umfassend die Grundlagen zum Thema Funktionale Sicherheit und zeigt Wege zur sicheren und effizienten Realisierung von PLT-Schutzeinrichtungen. weiter...

Generell ist es sinnvoll, sich für die Ermittlung der Fehlerraten auf die sogenannte „Useful Lifetime“ mit ihren konstanten Fehlerraten zu beschränken. Dabei ist zu beachten, dass mechanische Komponenten durch Gebrauch „altern“, elektrische und elektronische jedoch auch, wenn sie nicht gebraucht werden (sogar, wenn diese nur im Lager liegen). Zur Ermittlung dieser Fehlerraten gibt es verschiedene Näherungsmethoden, wobei sich in der Praxis die VDI/VDE 2180-4 bewährt hat.

Die Ermittlung der Fehlerrate unterscheidet sich allerdings zum Teil erheblich: So wird bei der sogenannten Top-Down-Methode statistisch eine möglichst große „Population“ der zu untersuchenden Komponenten betrachtet. Da diese statistische Erfassung rein auf Beobachtung beruht, ist sie auch für den Anwender durchführbar. Weil meist aus praktischen Gründen lediglich kleine Populationen häufig komplex zusammengesetzter Systeme betrachtet werden, ist die Top-Down-Methode nicht unumstritten: Sie produziert häufig tendenziell hohe Ausfallraten, da die geringe statistische Relevanz häufig durch systematische Fehler überlagert wird.

Im Gegensatz dazu setzt die Bottom-Up-Methode beim Konstrukteur an: Hier werden bekannte Statistiken und Fehlermodi aggregiert und zu den Ausfallraten eines Gesamtsystems zusammengezogen, was einen Zugang zu „Expertenwissen“ des Herstellers nötig macht. Aus der Kombination von Fehlerdatenbanken und einer FME-Analyse (Failure Mode and Effects Analysis, einer analytischen Ermittlung von Fehlerwahrscheinlichkeiten und Auswirkungen) ergeben sich tendenziell niedrigere Ausfallraten, da die systematischen Fehler angesichts der großen Statistiken verschwinden.

Von SIL bis IEC 61508: Je nach Problemursache können die Lösungsstrategien ganz unterschiedlich aussehen.
Von SIL bis IEC 61508: Je nach Problemursache können die Lösungsstrategien ganz unterschiedlich aussehen. (Bild: PROCESS, nach IEC 61511 in der Praxis)

...Gefahr gebannt?

Während Geräte- und Komponentenhersteller ihre Produkte zuverlässig, sicher und zertifiziert ausliefern sollen, ist es Sache des Betreibers, die funktionale Sicherheit einer Anlage zu garantieren. Das benötigte SIL-Level lässt sich dabei aus dem Restrisiko des Betriebs errechnen. Anzustreben ist grundsätzlich ein niedriger SIL-Wert, da er ein erhebliches Sparpotenzial bietet – nicht zuletzt durch die wesentlich größere Auswahl geeigneter Geräte und Systeme. Lediglich wenn ein hoher SIL-Wert unvermeidbar ist, oder andernfalls teure konstruktive Zusatzmaßnahmen nötig wären, ist ein hoher SIL-Wert anzustreben.

Damit ist für den Betreiber ein großer Schritt in Richtung der gesetzlichen Risikoreduzierung geschafft: Zwar ist der Einsatz von SIL-zertifizierten Komponenten keineswegs verpflichtend, doch erleichtert diese Vorgehensweise wegen der bereits bekannten Risiken und Ausfallraten den Nachweis erheblich. Auf diese Weise bleiben Produktion und Mitarbeiter auch im Falle eines Notfalles auf der sicheren Seite.

Der Einsatz von Ex-Interfaces in der Prozesstechnik

Interface-Technik

Der Einsatz von Ex-Interfaces in der Prozesstechnik

22.12.10 - Maximaler Ex-Schutz, der möglichst zu allen Feldgeräten kompatibel ist, sämtliche Funktionsanpassungen mit sicherer Potenzialtrennung, Zulassungen für den Einsatz in sicherheitsgerichteten Mess- und Regelkreisen, und das platzsparend und installationsfreundlich: Zuviel verlangt von Ex i-Interfaces in prozesstechnischen Anlagen? lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43203508 / Sicherheit)