Suchen

Funktionale Sicherheit mit SIL

Warum SIL keine Pflicht, aber trotzdem ein Muss ist

| Redakteur: Dominik Stephan

Funktionale Sicherheit zwischen SIL-Level und EN 61508 oder was tun, wenn’s brennt? Wenn sicherheitsrelevante Komponenten versagen, ist nicht nur die Produktion gefährdet. Damit es nicht zum schlimmsten kommt, helfen funktionale Sicherheitskonzepte. Doch nur wer Fehlerursachen kennt, kann die richtigen Vorkehrungen treffen.

Firmen zum Thema

Auf der sicheren Seite: Wenn Komponenten unvorhergesehen versagen, greift das Konzept funktionale Sicherheit, um Betrieb, Personal und Umwelt vor Schaden zu bewahren.
Auf der sicheren Seite: Wenn Komponenten unvorhergesehen versagen, greift das Konzept funktionale Sicherheit, um Betrieb, Personal und Umwelt vor Schaden zu bewahren.
(Bild: © anuphadit - Fotolia)

Fehler passieren – Bauteile können versagen, mechanische Komponenten verschleißen oder Schaltkreise ausfallen. Doch eine Kette ist nur so stark wie ihr schwächstes Glied: Schon die Störung einer einzelnen Komponente kann schwerwiegende Folgen für den Betrieb und die Sicherheit einer industriellen Produktion haben, besonders wenn Teile des Mess-, Steuer- und Regelkreises betroffen sind. Im Falle eines Falles trotzdem eine Fortsetzung des Anlagebetriebs oder zumindest einen sicheren Zustand zu garantieren, ist Ziel der sogenannten Funktionalen Sicherheit.

Event-Tipp der Redaktion Funktionale Sicherheit ist in der Prozessindustrie von entscheidender Bedeutung. PROCESS widmet diesem Thema daher am 12. September 2019 erstmals in Form des SIL-Forum eine eigene Plattform. Im Fokus stehen Lösungsansätze und Experten-Tipps für den beruflichen Alltag sowie der Erfahrungsaustausch, begleitet von einer Fachausstellung sowie vier Exklusiv-Workshops zu ausgewählten Themen.

Dieses Konzept wird im Zeitalter komplexer elektronischer Systeme und speicherprogrammierbarer Steuerungen immer wichtiger, sind doch nahezu alle Sicherheitsfunktionen eines Betriebs fest in Maschinenhand. Das schafft zusätzliche Herausforderungen: Lässt sich der Zustand mechanischer Systeme noch recht zuverlässig anhand der Abnutzung beurteilen, altern elektronische Komponenten kaum. Ihre Lebensdauer wird nicht durch Abrieb, Heißlaufen oder Festfressen begrenzt, trotzdem versagen auch diese Systeme mit der Zeit.

Bildergalerie

Um den Anwendern einen Maßstab zum Vergleich solcher elektrischer, elektronischer oder programmierbar elektronischer (E/E/PE) Systeme zu geben, wurde 1998 mit der IEC 61508 eine internationale Norm für sicherheitsrelevante Systeme veröffentlicht, die 2001 als europäische Norm EN 61508 übernommen wurde.

Fehler im Vergleich: Es ist wichtig, zwischen systematischen und zufälligen Fehlern zu unterscheiden.
Fehler im Vergleich: Es ist wichtig, zwischen systematischen und zufälligen Fehlern zu unterscheiden.
(Quelle: Dechema Bild: PROCESS)

Funktionale Sicherheit in der EN 61508

Natürlich kann man Unfälle nicht einfach per Norm verbieten – deswegen legt die EN 61508 großen Wert darauf, Risiken genau einzuschätzen. Dabei haben die Experten sich dem Problem aus zwei Richtungen genähert: Den Folgen eines Systemversagens und der Häufigkeit. Unterschieden wird dabei zwischen

  • Katastrophalen Folgen (wie mehreren Toten)
  • Kritischen Folgen (wie einem einzelnen Todesfall oder mehreren Schwerverletzten)
  • Geringfügigen Folgen mit einzelnen schwereren Verletzungen
  • Unwesentlichen Folgen, bei denen ein einzelner Betroffener geringfügig verletzt wird sowie
  • Häufigem
  • Wahrscheinlichem
  • Gelegentlichem
  • Unwahrscheinlichem
  • Extrem unwahrscheinlichem
  • Und quasi ausgeschlossenem Systemversagen

Mit diesen Kriterien ermöglicht die Norm eine Klassifizierung des Risikos in vier Stufen, von I (inakzeptabel) bis IV (unbedeutend) in absteigender Schwere bzw. Wahrscheinlichkeit des Eintritts. So wäre ein wahrscheinlicher kritischer oder katastrophaler Fehler ein Risiko der Klasse I, ein unwahrscheinlicher Fehler mit geringen Konsequenzen entspräche der niedrigsten Kategorie IV.

SIL: Funktionale Sicherheit von der Wiege zur Bahre

Damit kann – je nach Einsatzzweck – entschieden werden, welchen Anforderungen sicherheitsrelevante Technologien genügen müssen. Ausgehend von der EN 61508 legt eine Reihe weiterer Regulatorien die Anforderungen für Sicherheitsrelevante Systeme in den unterschiedlichsten Branchen fest – für die Prozessindustrie gilt die DIN IEC 61511.

Allerdings ist nicht jedes im Regelkreis einer Anlage verbaute System elektrisch, elektronisch oder programmierbar: Ventile, Stellgeräte und Armaturen sind nicht ohne weiteres durch die EN 61508 erfasst. Trotzdem lassen sich auch diese Komponenten analog der Ermittlung des Safety-Integration Levels (kurz SIL) betrachten. Dazu müssen allerdings Kennzahlen wie etwa Ausfallrate oder Fehlertoleranz ermittelt werden.

Welche SIL-Klasse für welche Anwendung? Die Tabelle gibt Aufschluss
Welche SIL-Klasse für welche Anwendung? Die Tabelle gibt Aufschluss
(Bild: PROCESS)

Grundsätzlich verhalten sich elektronische Komponenten anders als mechanische. Trägt man die Fehlerrate, also die Ausfälle im Verhältnis zur Gesamtzahl der betrachteten Systeme, gegen die Zeit auf, zeigen E/E/EP-Systeme ein typisches Muster: Während die Fehlerrate zunächst hoch ist, fällt sie rasch ab und bewegt sich anschließend auf nahezu konstantem Niveau. Gegen Ende der Lebensdauer des Gerätes steigt sie wieder stark an. Für den Anlagenbetreiber besonders interessant ist die lange Phase konstanter Fehlerraten – die initiale „Säuglingssterblichkeit“ versuchen Hersteller heute bereits im Werk durch Einbrennmethoden wie Hitzebehandlung oder optimierte Herstellung zu durchlaufen.

Gefahr erkannt...

Im Gegensatz dazu ist das Fehlerverhalten mechanischer Komponenten von Abnutzung geprägt: Zwar gibt es auch hier eine Frühausfallphase mit hoher Fehlerrate, doch steigt die Anfälligkeit während der gesamten nutzbaren Lebensdauer nahezu linear an (sogenannte Verschleißphase). Beide Arten von Systemen, sowohl mechanische wie auch elektrische/elektronische weisen also für einen großen Teil ihrer Lebensdauer eine konstante oder konstant ansteigende Fehlerrate auf.

Ein Whitepaper zum Thema SIL – sicher und effizient umsetzen finden Sie auch bei uns!

Generell ist es sinnvoll, sich für die Ermittlung der Fehlerraten auf die sogenannte „Useful Lifetime“ mit ihren konstanten Fehlerraten zu beschränken. Dabei ist zu beachten, dass mechanische Komponenten durch Gebrauch „altern“, elektrische und elektronische jedoch auch, wenn sie nicht gebraucht werden (sogar, wenn diese nur im Lager liegen). Zur Ermittlung dieser Fehlerraten gibt es verschiedene Näherungsmethoden, wobei sich in der Praxis die VDI/VDE 2180-4 bewährt hat.

Die Ermittlung der Fehlerrate unterscheidet sich allerdings zum Teil erheblich: So wird bei der sogenannten Top-Down-Methode statistisch eine möglichst große „Population“ der zu untersuchenden Komponenten betrachtet. Da diese statistische Erfassung rein auf Beobachtung beruht, ist sie auch für den Anwender durchführbar. Weil meist aus praktischen Gründen lediglich kleine Populationen häufig komplex zusammengesetzter Systeme betrachtet werden, ist die Top-Down-Methode nicht unumstritten: Sie produziert häufig tendenziell hohe Ausfallraten, da die geringe statistische Relevanz häufig durch systematische Fehler überlagert wird.

Im Gegensatz dazu setzt die Bottom-Up-Methode beim Konstrukteur an: Hier werden bekannte Statistiken und Fehlermodi aggregiert und zu den Ausfallraten eines Gesamtsystems zusammengezogen, was einen Zugang zu „Expertenwissen“ des Herstellers nötig macht. Aus der Kombination von Fehlerdatenbanken und einer FME-Analyse (Failure Mode and Effects Analysis, einer analytischen Ermittlung von Fehlerwahrscheinlichkeiten und Auswirkungen) ergeben sich tendenziell niedrigere Ausfallraten, da die systematischen Fehler angesichts der großen Statistiken verschwinden.

Von SIL bis IEC 61508: Je nach Problemursache können die Lösungsstrategien ganz unterschiedlich aussehen.
Von SIL bis IEC 61508: Je nach Problemursache können die Lösungsstrategien ganz unterschiedlich aussehen.
(Bild: PROCESS, nach IEC 61511 in der Praxis)

...Gefahr gebannt?

Während Geräte- und Komponentenhersteller ihre Produkte zuverlässig, sicher und zertifiziert ausliefern sollen, ist es Sache des Betreibers, die funktionale Sicherheit einer Anlage zu garantieren. Das benötigte SIL-Level lässt sich dabei aus dem Restrisiko des Betriebs errechnen. Anzustreben ist grundsätzlich ein niedriger SIL-Wert, da er ein erhebliches Sparpotenzial bietet – nicht zuletzt durch die wesentlich größere Auswahl geeigneter Geräte und Systeme. Lediglich wenn ein hoher SIL-Wert unvermeidbar ist, oder andernfalls teure konstruktive Zusatzmaßnahmen nötig wären, ist ein hoher SIL-Wert anzustreben.

Damit ist für den Betreiber ein großer Schritt in Richtung der gesetzlichen Risikoreduzierung geschafft: Zwar ist der Einsatz von SIL-zertifizierten Komponenten keineswegs verpflichtend, doch erleichtert diese Vorgehensweise wegen der bereits bekannten Risiken und Ausfallraten den Nachweis erheblich. Auf diese Weise bleiben Produktion und Mitarbeiter auch im Falle eines Notfalles auf der sicheren Seite.

Event-Tipp der Redaktion Funktionale Sicherheit ist in der Prozessindustrie von entscheidender Bedeutung. PROCESS widmet diesem Thema daher am 12. September 2019 erstmals in Form des SIL-Forum eine eigene Plattform. Im Fokus stehen Lösungsansätze und Experten-Tipps für den beruflichen Alltag sowie der Erfahrungsaustausch, begleitet von einer Fachausstellung sowie vier Exklusiv-Workshops zu ausgewählten Themen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 43203508)