s
Bei der Sicherheitsanforderungsstufe (Kurzbezeichnugn SIL) handelt es sich um eine Begrifflichkeit aus dem Gebiet der Funktionalen Sicherheit. In der internationalen Normung gemäß IEC 61508/IEC61511 wird oft auch die Bezeichnung Sicherheits-Integritätslevel (Kurzbezeichnung: SIL) verwendet. Der Sicherheits-Integritätslevel wird zur Beurteilung elektrischer/elektronischer/programmierbar elektronischer (E/E/PE)-Systeme eingesetzt und bezieht sich auf die Zuverlässigkeit von Sicherheitsfunktionen. Es wird dabei immer ein bestimmter Level angestrebt, aus dem die sicherheitsgerichteten Konstruktionsprinzipien folgen, welche einzuhalten sind, damit das Risiko einer Fehlfunktion verringert werden kann.
Die Definition des Sicherheits-Integritätslevel ist in der Sicherheitsnorm EN 61508 zu finden, welche aus der internationalen Norm IEC 61508 entstanden ist:
„Vier wohlunterschiedene Stufen zur Spezifizierung der Anforderung für die Sicherheitsintegrität von Sicherheitsfunktionen, die dem E/E/PE-sicherheitsbezogenen System zugeordnet werden, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste darstellt.“
Ziel von Sicherheitsfunktionen in der Industrie ist der Schutz der Gesundheit der dort Beschäftigten, der Umwelt und von Gütern. Realisiert werden diese Sicherheitsfunktionen mit Hilfe eines Sicherheitskreises, welche aus unterschiedlichen Betriebsmitteln wie z. B. Sensoren, Aktoren und Steuerungselementen bestehen kann. Die Sicherheitsanforderungsstufe SIL stellt dabei eine Bewertungsmethode für die Zuverlässigkeit des Systems dar, wobei diese immer in Abhängigkeit von der Gefährdung zu sehen ist.
Das bedeutet, dass Prozesse mit einer geringeren Gefährdung durch einen Sicherheitskreis mit geringerem Level aufgebaut werden, während Prozesse mit höherer Gefährdung auch mit höherem SIL-Level ausgeführt werden (z. B., wenn Menschen lebensgefährlich verletzt werden können). Beispiele für häufig anzutreffende Sicherheitsfunktionen sind Notausschaltungen, Abschalten überhitzter Geräte oder auch die Überwachung gefährlicher Bewegungen.
Jede Sicherheitsfunktion einer Anlage wird im Rahmen einer Gefährdungsbeurteilung bewertet und daraufhin mit einem eigenen Sicherheits-Integritätslevel versehen. Auf Basis dieser Beurteilung werden geeignete Geräte ausgewählt und bilden ein sicheres System.
Die Beurteilung erfolgt durch die Gerätehersteller anhand der relevanten Normen. Dies kann der Hersteller bis zum SIL 2 in eigener Verantwortung tun; ab SIL 3 muss dies durch einen unabhängigen Dritten vorgenommen werden. Es erfolgt in letzterem Fall eine Zertifizierung, wofür ein entsprechendes Zertifikat ausgestellt wird - unter der Voraussetzung, dass die Zertifizierung erfolgreich war.
Für die Festlegung des Sicherheits-Integritätslevels benötigt man eine Beurteilung des Ausfallverhaltens der betrachteten Baugruppe. In einem Assessment wird exakt untersucht, ob redundante Strukturen vorhanden sind, ob die Sicherheitsfunktion kontinuierlich oder auf Anforderung zu betrachten ist und wie das Verhältnis zwischen sicheren Fehlern und unsicheren Fehlern ist. Auf Basis dieser Angaben werden dann die Ausfallraten ermittelt. Die Vorgaben der Norm schreiben eine Beurteilung des Sicherheitsintegritäts-Levels anhand dieser Kennwerte vor.
Für die Einstufung der Geräte ist die Betrachtung der Kennzahlen jedoch nicht hinreichend. Es wird auch eine Betrachtung des Lebensdauerprozesses des jeweiligen Gerätes notwendig. Zum Beispiel werden dabei die sicherheitsgerichtete Konstruktion und ähnliche Bereiche untersucht. Für die einzelnen Stufen der funktionalen Sicherheit gibt das Normenwerk spezielle Maßnahmen an.
Dieser Aspekt hat bei der Betrachtung von Betriebsmitteln mit komplexen Baugruppen eine spezielle Bedeutung. Ein Beispiel hierfür sind Mikroprozessoren, welche mit einem internen Programm arbeiten. In den Normen werden hierfür spezielle Maßnahmen beschrieben, damit auch eine Reaktion auf Programmierfehler realisiert werden kann. Ausschließlich dann, wenn alle Punkte wahrgenommen werden, ist eine Einschätzung dahingehend möglich, ob das betrachtete Betriebsmittel in einem Sicherheitskreis der entsprechenden Sicherheitsanforderungsstufe anwendbar ist.
Nicht zielführend ist hingegen eine Klassifizierung der einzelnen Baugruppen entsprechend dem Sicherheits-Integritätslevel SIL. Der Grund: Die Forderungen der Normen beziehen sich auf die Sicherheitskreise, nicht nur auf einzelne Baugruppen. Das hat zur Folge, dass die Bewertung des SIL-Levels erst dann durchgeführt werden kann, wenn die verschiedenen Betriebsmittel (Sensoren, Steuerungselemente, Aktoren etc.) zusammengeschlossen wurden.
Auf dieser Website erfahren Sie alles über Maschinensicherheit und sichere Konstruktion von Maschinen und Anlagen. Zu den wichtigsten Themen zählen dabei die Risikoanalyse, Gefährdungsbeurteilung und Bewertungsmethoden wie Performance Level PL und Sicherheits-Integritätslevel SIL.
Eine Risikobeurteilung erstellen
Die Grenzen der Maschine bestimmen
Berechnung des Performance Level
Von Performance Level auf SIL umrechnen
Zertifizierung im Rahmen der CE-Kennzeichnung: Konformitätsbewertung und Risikobeurteilung...
Praxisleitfaden Produktsicher-heitsrecht: CE-Kennzeichnung - Risikobeurteilung...
Leitfaden für die Anwendung der Maschinenrichtlinie 2006/42/EG
10 Schritte zum Performance Level: Handbuch zur Umsetzung der funktionalen Sicherheit nach ISO 13849