SIL in der Prozessindustrie

Die funktionale Sicherheit spielt bei allen Anlagen, die Sie für die Prozessindustrien bauen, eine zentrale Rolle. In der chemischen Industrie gelten dabei besonders hohe Anforderungen zum Schutz von Mensch und Umwelt. Einen normfesten Sicherheitskreis zu entwerfen, ist keineswegs trivial. Am besten gelingt diese Aufgabe mit umsichtigen Konstruktionsprinzipien und verlässlichen SIL-Daten, mit denen sich kalkulieren lässt. Wir stellen Ihnen gerne die notwendigen Daten für Ihre Risikobewertung zur Verfügung und unterstützen Sie auch in der Umsetzung mit unseren betriebsbewährten Komponenten und redundanten Systemen.

Safety Integrity Level (SIL)

Damit ein System im Ernstfall nicht zu einer Gefahr für Mensch und Umwelt wird, müssen Sie es systematisch auf funktionale Sicherheit hin auslegen. Speziell in der chemischen Prozessindustrie sind die SIL-Vorgaben daher ein zentrales Kriterium für den Anlagenbau.

SIL steht für Safety Integrity Level, auf Deutsch: Sicherheitsanforderungsstufe. SIL ist die internationale Messgröße, mit der man die funktionale Sicherheit eines Systems klassifiziert. Es gibt vier solcher Stufen, von SIL1 bis hinauf zu SIL4, das bei größtem Risiko die strengsten Maßnahmen erfordert. Konkret bedeutet das: Sie ermitteln aus den Versagenswahrscheinlichkeiten der Bauteile eine genaue Risikobewertung , treffen Maßnahmen zur Restrisikominimierung, wählen geeignete Geräte und stellen schließlich die korrekte Einhaltung der SIL-Funktionen in wiederkehrenden Prüfungen sicher.

SIL-Sicherheitsnormen

Die SIL-Einstufung folgt zwei internationalen Normen: IEC 61508 und IEC 61511.

IEC 61508 („Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer Systeme“) ist die Basisnorm. Sie beschreibt die Risikobewertung und die Maßnahmen zur Auslegung entsprechender Sicherheitsfunktionen. Sie enthält also auch die Anforderungen an die Einzelkomponenten des Sicherheitskreises. Dazu zählen Sensoren wie Druck-, Temperatur- und Füllstandsmesser oder die Auswerte- und Ausgabeeinheit ebenso wie automatisierte Armaturen.

IEC 61511 („Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie“) gilt speziell für die Prozessautomation. Dort geht es hauptsächlich um Low-Demand-Anwendungen mit niedrigeren Anforderungen, die in der Praxis die Regel sind. In IEC 61511 finden Sie unter anderem die Auswahlkriterien für Sensoren und Aktoren etwa in puncto Betriebsbewährtheit.

SIL-Vorgehen in vier Schritten

Als Errichter oder Betreiber einer Anlage, die Mitarbeiter, Anwohner oder die Umwelt gefährden könnte, müssen Sie das Risiko so klein wie möglich halten. Dafür schreiben die IEC-Normen 61508 und 61511 vier wesentliche Schritte vor:

1. Risikodefinition und -bewertung: Zunächst ermitteln Sie die jeweiligen Versagenswahrscheinlichkeiten aller Komponenten, vom Sensor über die Steuerung bis zum Aktor – und zwar über die gesamte Lebensdauer der Anlage hinweg.

2. Festlegung und Umsetzung der Maßnahmen: Sie definieren und implementieren geeignete Maßnahmen, um das Restrisiko zu minimieren.

3. Einsatz geeigneter Geräte: Voraussetzung einer erfolgreichen SIL-Kreis-Prüfung Ihrer Anlage sind Bauteile und -gruppen, die für die jeweilige Stufe tauglich und bei Bedarf zertifiziert sind.

4. Wiederkehrende Prüfung: Die korrekte Einhaltung der Sicherheitsfunktionen kontrolliert der Betreiber in festgelegten Abständen.

1. Risikodefinition und -bewertung

Welches Gefahrenpotenzial geht von meiner Anlage aus? Diese Frage muss sich jeder Ingenieur einer verfahrenstechnischen Anlage in der chemischen Industrie stellen. Zu ihrer Beantwortung hilft ein Risikograph, der gemäß IEC 61508 und 61511 vier festgelegte Parameter zu einem Entscheidungsbaum zusammenführt:

1. Schadensausmaß (S): Wie schwer sind die absehbaren Folgen?

2. Aufenthaltswahrscheinlichkeit (F): Wie oft und lange halten sich Personen in der Gefahrenzone auf?

3. Gefahrenabwehr/Vermeidung (P): Kann ich das Ereignis verhindern oder eingrenzen?

4. Eintrittswahrscheinlichkeit (W): Wie oft muss ich mit einem Vorfall rechnen?

Die Erfahrung in der Praxis zeigt, dass sicherheitsrelevante Risiken meist im Detail stecken und oft erst im Betrieb zutage treten. Eine systematische Analyse kann solche Schwachstellen schon bei der Planung identifizieren. Wir unterstützen Sie bei der richtlinientreuen Risikobewertung und zeigen, was Festo in Ihrem Fall für die funktionale Sicherheit leisten kann – ob durch komplette Systemlösungen, durchdachte Automatisierungskonzepte oder mit einzelnen Komponenten. Sie dürfen uns gern bereits in dieser Phase zurate ziehen.

Vier diskrete Stufen (SIL1 bis SIL4). Je höher der SIL eines sicherheitsbezogenen Systems, desto geringer die Wahrscheinlichkeit, dass das System die geforderten Sicherheitsfunktionen nicht ausführen kann.

Vier diskrete Stufen (SIL1 bis SIL4). Je höher der SIL eines sicherheitsbezogenen Systems, desto geringer die Wahrscheinlichkeit, dass das System die geforderten Sicherheitsfunktionen nicht ausführen kann.

2. Maßnahmenfestlegung und Umsetzung

Aus der systematischen Risikobewertung Ihrer Anlage geht auch hervor, welche Faktoren die SIL-Anforderungen nach oben treiben. Manche davon, zum Beispiel der Produktionsstandort, sind gegeben. Andere sind Stellschrauben, an denen sich drehen lässt.

Der erste Blick gilt sinnvollerweise der Ausfallwahrscheinlichkeit. Vor allem durch fehlertolerante Bauteile und redundant ausgelegte Systeme können Sie die Verfügbarkeit und Zuverlässigkeit deutlich erhöhen. Je nach Prozess können sogar Lösungen sinnvoll sein, bei denen sich einzelne Komponenten im laufenden Betrieb prüfen und austauschen lassen.

Die baulichen Sicherheitsmaßnahmen– etwa durch Druckentlastungsanlagen – hängen im Einzelfall von der konkreten Produktion ab. Grundsätzlich lässt sich überlegen, wie sich die Prozesse möglichst risikoarm gestalten lassen. Auch bauliche Maßnahmen und Vorkehrungen gehören hierher, etwa Entlüftungen, Überfüllsicherungen (zum Beispiel bei Säuretanks) oder Betonummantelungen (bei Explosionsgefahr).

Ebenso ist die Wahl von Geräten und Komponenten mit Betriebsbewährung anzuraten, die eine lange und zuverlässig stabile Laufzeit der Anlage gewährleisten. Dazu gehören auch temperaturbeständige, säureunempfindliche und korrosionsgeschützte Materialien. Darüber hinaus haben wir für nahezu alle Einzelabläufe normgerechte Lösungen entwickelt, die sich in der chemischen und elektrochemischen Industrie bewährt haben: von der Ventilinsel mit integrierter Abschaltung bis zur hochsicheren 2oo3-Ansteuerung.

3. Geeignete Geräte

Aus der Festlegung des Sicherheitsintegritätslevels folgt auch, dass die Auslegung des SIL-Kreises in allen Einzelteilen dieses Level erreichen muss. Das bedeutet: Als Ingenieur benötigen Sie Geräte und Komponenten mit der erforderlichen SIL-Eignung. Dazu sind Nachweise erforderlich:

  • Herstellererklärung: Bis SIL2 bewerten die Hersteller ihre Geräte selbst. Bei SIL1 nimmt eine unabhängige Person die technische Beurteilung vor, bei einer SIL2-Klassifikation ist es eine unabhängige Abteilung.
  • Zertifikat: Ab SIL 3 muss jedes Gerät, das Sie im Sicherheitskreis einsetzen, von einer unabhängigen Institution nach IEC 61508 zertifiziert sein. Dies sind in Deutschland beispielsweise der TÜV oder Exida.

Sie finden sämtliche SIL-Zertifikate und Herstellererklärungen zu unseren Produkten durch die Eingabe von Produkttyp oder Teilenummer in der Suche oben und auf der Produkt-Detailseite unter "Downloads und Medien".

4. Wiederkehrende Prüfung

In regelmäßigen Zeitabständen ist eine Prüfung der Sicherheitsfunktionen Ihrer Anlage erforderlich. Das verlangen allein die gesetzlichen Vorschriften aus Betriebssicherheitsverordnung oder Unfallverhütungsvorschriften; unter Umständen greifen auch lokale rechtliche Vorgaben. Die SIL-Wiederholungsprüfung soll vor allem Personen-, Sach- und Umweltschäden verhindern, dient aber ebenso der Systemzuverlässigkeit, indem sie ungeplanten Stillständen vorbeugt sowie nicht zuletzt der Rechtssicherheit der Ingenieure: Im Schadensfall können diese Prüfungen nachweisen, dass die Störung nicht durch Geräte- oder Konstruktionsmängel verschuldet ist.

Die Prüffristen legt der Betreiber selbst fest. Die Gefährdungsbeurteilung erfolgt unter anderem auf Grundlage der Sicherheitskenngrößen der einzelnen SIL-Komponenten. Auf der Konstruktionsseite können daher beständige Lösungen, die sich zur Not ohne Betriebsunterbrechung austauschen lassen, deutlich von Vorteil sein. Gern geben wir Ihnen zu unseren Produkten zeitliche Empfehlungen.

SIL-FAQ: Fragen und Antworten

Wofür stehen die Kürzel im SIL-Zertifikat?

Produktdatenblätter, Zertifikate und Modellrechnungen zur funktionalen Sicherheit verwenden eine Reihe von Kennzahlen und Begriffen. Hier sind die für die SIL-Kalkulation wichtigsten:

  • λ (Ausfallrate), hier gelten die folgenden Zuordnungen: S für die Gesamtrate sicherer Ausfälle, SD für die Rate sicherer, erkennbarer Ausfälle, SU für die Rate sicherer, unerkennbarer Ausfälle, D für die Gesamtrate gefährlicher Ausfälle, DD für die Rate gefährlicher, erkennbarer Ausfälle sowie DU für die Rate gefährlicher, unerkennbarer Ausfälle.

  • Gerätetypen: A ist das Kürzel für ein Gerät, bei dem das Ausfallverhalten aller eingesetzten Bauteile und das Fehlerverhalten ausreichend bestimmt sind, z.B. durch Betriebsbewährung. Gerätetyp B bedeutet dagegen, dass das Ausfallverhalten mindestens eines eingesetzten Bauteils und das Verhalten im Fehlerfall nicht ausreichend genug bestimmt sind.

  • HFT (Hardware Failure Tolerance): die Fähigkeit, eine geforderte Funktion bei Fehlern und Abweichungen weiter auszuführen. Bei HFT0 kann ein einzelner Fehler zum Verlust der Sicherheitsfunktion führen (zum Beispiel bei 1oo1-Verschaltungen). Bei HFT1 entsteht ein Sicherheitsverlust erst, wenn mindestens zwei Fehler gleichzeitig auftreten (zum Beispiel bei 1oo2-Verschaltungen). Bei HFT2 müssten mindestens drei Fehler gleichzeitig auftreten (zum Beispiel bei 1oo3-Verschaltungen).

  • High Demand: eine Betriebsart mit hoher Anforderungsrate oder kontinuierlicher Anforderung an das Sicherheitssystem. Es arbeitet fortlaufend oder wird häufiger als einmal pro Jahr angefordert.

  • Low Demand: eine Betriebsart mit niedriger Anforderungsrate an das Sicherheitssystem. Es darf nicht öfter als einmal pro Jahr angesprochen werden.

  • MTBF (Mean Time Between Failure): die durchschnittliche Zeit zwischen zwei aufeinanderfolgenden Fehlern.

  • PFD (Probability of Failure on Demand): die Versagenswahrscheinlichkeit einer Sicherheitsfunktion bei niedriger Anforderungsrate (< 10 Anforderungen/Jahr) = Low Demand.

  • PFH (Probability of Failure per Hour): die Versagenswahrscheinlichkeit einer Sicherheitsfunktion bei kontinuierlicher Nutzung (> 10 Anforderungen/Jahr) = High Demand.

  • SFF (Safe Failure Fraction): der Anteil sicherer Fehler an der Gesamtfehleranzahl.

Woraus besteht ein Sicherheitssystem?


In der Regel besteht ein SIL-Kreis aus drei Segmenten:

  • Sensorik (zum Beispiel Druck-, Temperatur- und Füllstandmessern)
  • Auswerte- und Ausgabeeinheit (zum Beispiel Sicherheits-SPS)
  • automatisierte Armatur aus Magnetventil, Antrieb und Armatur.

Wie verteilen sich PFD/PFH auf die Subsysteme?

Die Verteilung der Versagenswahrscheinlichkeiten auf die Teilsysteme einer Sicherheitsfunktion stellt sich bei einkanaligen Systemen folgendermaßen dar – das größte Gewicht liegt auf der SD-Ausfallrate der Aktoren.

SIL Safety integrated system

Wo stehen die Werte zur SIL-Berechnung?

Sämtliche Ausfallwahrscheinlichkeiten, die Sie zur SIL‐Berechnung benötigen, finden Sie in den Herstellererklärungen bzw. Zertifikaten (blau hinterlegt). Daraus errechnen Sie die Gesamtversagenswahrscheinlichkeit (die grau hinterlegten Werte) je nach SIL.

SIL-Berechnung

Wann sind Zertifikate erforderlich?

Je höher das geforderte Sicherheitslevel einer Anlage ist, desto höhere Ansprüche stellt die Norm auch an die Unabhängigkeit der Stelle, die die funktionale Sicherheit beurteilt. Nach IEC 61511 sind bis SIL2 Herstellererklärungen völlig ausreichend. Ab SIL3 ist das Zertifikat einer unabhängigen Organisation wie TÜV oder Exida erforderlich.

Safety Integrity Level - Beurteilende Stelle

SIL 1 - unabhängige Person

SIL 2 - unabhängige Abteilung

SIL 3 - unabhängige Organisation

SIL 4 - unabhängige Organisation

Wo stehen die SIL-Zertifikate?

Die SIL‐Zertifikate und SIL‐Herstellererklärungen für Festo-Produkte finden Sie auf der jeweiligen Produkt-Detailseite unter "Downloads und Medien", Kategorie "Zertifikate".

Wie kann ich Aktoren redundant ansteuern?

SIL

Welche SIL-Redundanzlösungen hat Festo?

SIL: redundanter Ventilblock

Von Festo bekommen Sie für jede Sicherheitsanforderung die passende redundante Ansteuerung:

Redundanter NAMUR-Block (1oo2, 2oo2): Der NAMUR-Block ermöglicht die Installation von zwei Magnetventilen mit NAMUR-Anschlussbild, die über die NAMUR-Schnittstelle redundant verschalten sind. Die Blöcke sind in Fail-safe-Funktion (1oo2) oder mit erhöhter Verfügbarkeit (2oo2) erhältlich. Über die Schnittstelle können Sie den Block direkt auf Schwenkantriebe montieren. Auch eine separate Installation mit zugehöriger Verrohrung ist möglich.

Redundante Inline-Ventile (1oo2, 2oo2): Bei diesen kompakten Systemen nutzt Festo die betriebsbewährte VOFD-Ventiltechnik. Das Ventil ist redundant verschaltet und stellt bei automatisierten Armaturen eine redundante Fail-safe-Funktion (1oo2) oder eine erhöhte Verfügbarkeit (2oo2) sicher. Durch die Ematal-Beschichtung erhalten Sie ein Ventil, das den höchsten Sicherheitsstandards in der Verfahrenstechnik gerecht wird und den härtesten Umgebungsbedingungen standhält.

Kombinierter Ventilblock (2oo3): Das 2oo3-System vereint beide Technologien und gibt damit ein Höchstmaß an Sicherheit und Verfügbarkeit. Dieser Ventilblock ist eine Inline-Variante, der in Ihrer Anlage verrohrt wird. Die verbauten Standardventile sind über die NAMUR-Schnittstelle nach VDI/VDE 3845 definiert und auf dem Block montiert. Das bedeutet: Der Block wird einmalig verbaut, nur die Ventile werden über die Schnittstelle gemäß Service Life/Safety Lifecycle Plan getauscht. Zusätzlich können Sie bei diesem System die Funktionen der vier Ventile durch einen Bypass umgehen, sodass die Wartung im laufenden Betrieb erfolgen kann. Die direkt am Block montierten Druckanzeigen signalisieren Ihnen zuverlässig auf einen Blick, ob an einem Ventil Druck ansteht.

Wer sollte das wissen?

Holen Sie ruhig die Meinungen Ihrer Spezialisten ein, bevor Sie sich für Festo entscheiden. Unsere Lösungsvorschläge und Anwendungsbeispiele geben Sie ganz einfach weiter: mit diesem Link.