SIL SICHERHEITS-INTEGRITÄTSLEVEL
Weiterführende Informationen
  • Dokumentation
    Die SIL-Zertifikate stehen im Bereich "Handbücher und Zertifikate" zum downloaden bereit
SIL-zertifizierte Honeywell-Transmitter

Kurzinfo:

  • ST 3000-Baureihe (Absolutdruck, Prozeßdruck, Differenzdruck, Füllstand), SIL2/SIL3, bestätigt durch den TÜV Nord, zertifiziert sind die Geräte mit Analogausgang und Konfigurationsmöglichkeit über HART®- oder DE-Protokoll
  • STT 3000 Baureihe STT 250 (Temperaturmeßumformer), SIL2, zertifiziert sind die Geräte mit Analogausgang und Konfigurationsmöglichkeit über HART®- oder DE-Protokoll.
  • Aus dem Honeywell-Bereich "FEMA Regelgeräte" sind SIL-zertifizierte Druckschalter verfügbar www.fema.biz
Es gibt viele unterschiedliche prozeßtechnische Anlagen. Sie alle dienen der Herstellung von vielerlei Grundkomponenten für den täglichen Bedarf. Schwierig zu beherrschende und oftmals gefährliche chemische Prozeßabläufe erfordern dabei von den Konstrukteuren und Betreibern ein hohes Maß an Know-how und planerische Kompetenz. Anlagen müssen so sicher gebaut werden, daß sie ungefährlich für Mensch und Umwelt arbeiten. Richtlinien, Verordnungen und Normen unterstützen dabei verbindlich die jeweilige Prozeßautomation. Während die „gute Ingenieurskunst“, gepaart mit wissenschaftlicher Erkenntnis der Produkt- und Materialtechnik, für stabile Prozesse und gleichbleibende Produktqualität sorgt, wurden auf Grund von Unglücksfällen in den letzten Jahren Forderungen nach "Funktionaler Sicherheit" immer lauter.

Darunter versteht der Gesetzgeber die sichere Beherrschung der unerwartet eintretenden Störfälle. Zu diesen vorbeugenden Maßnahmen zählen Schutzeinrichtungen der Prozeßleittechnik (PLT-Schutzeinrichtungen), die zusätzlich zur regeltechnischen und inhärenten Bauweise verwirklicht werden müssen. Diese PLT-Schutzeinrichtungen sollen die Anlage im Fehlerfall sicher abschalten, so daß sie keine Gefahr mehr für Mensch und Umwelt darstellt. Auf diese Weise wird ein hohes Risikopotenzial auf ein vertretbares Risiko gesenkt. Als weltweit wichtigstes Normenwerk für die Generierung funktionaler Sicherheit gilt die IEC 61508. Diese Basisnorm schreibt vor, wie Einzelkomponenten und Baugruppen entwickelt und gebaut werden müssen, damit sie höchsten Sicherheitsanforderungen entsprechen. Die Norm bezieht sich ausschließlich auf Elektrische Geräte, Elektronische Geräte sowie Programmierbare Elektronische Geräte – sogenannte E/P/PE-Geräte. Diese Norm regelt außerdem die Dokumentation, die Prüfungs-und Serviceintervalle und den Lebenszyklus der Schutzeinrichtung von der Planung über die Errichtung bis zur Außerbetriebnahme. Aus der Basisnorm IEC 61508 wurde die IEC 61511 erarbeitet. Sie ist ein Leitfaden für die Vorgehensweise zur technischen Absicherung verfahrenstechnischer Anlagen. Ein wesentlicher Teil dieser Norm bezieht sich auf die quantitative Erfassung des Gefährdungspotenzials, das von der Anlage für Mensch und Umwelt ausgehen kann. Im Hinblick auf dieses Gefährdungspotenzial kann der Anlagenplaner PLT-Schutzeinrichtungen entwickeln, die diese Gefährdung minimieren und damit das Restrisiko auf ein tolerierbares Maß absenken. PLT-Schutzeinrichtungen sind etwa Schalt- und Regeleinrichtungen, für deren Einzelkomponenten ein Sicherheits-Integritäts-Niveau SIL ermittelt wurde – auf Basis der Betriebsbewährung, rechnerisch oder entwicklungsmethodisch.

In der nationalen Sicherheitsnorm DIN EN-61508, entstanden aus der internationalen Norm IEC 61508 wird der Sicherheits-Integritätslevel wie folgt definiert:
"Vier diskrete Stufen zur Spezifizierung der Anforderung für die Sicherheitsintegrität von Sicherheitsfunktionen, die dem E/E/PE-sicherheitsbezogenen System zugeordnet werden, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste darstellt." Dabei hat sich bei Systemen, die keinerlei Sicherheitsanforderungen genügen müssen, sich die Bezeichnung Sicherheits-Integritätslevel 0 eingebürgert.
Diese Sicherheitsfunktionen werden durch einen Sicherheitskreis, der aus verschiedenen Betriebsmitteln, wie z.B. Sensoren (Transmitter), Steuerungselementen (PLS, SPS, sicherheitsgerichtete Steuerungen) und Aktoren bestehen kann, realisiert. Die Sicherheitsanfordungsstufe stellt ein Maß für die Zuverlässigkeit des Systems in Abhängigkeit von der Gefährdung dar. Prozesse mit einer geringeren Gefährdung werden durch einen Sicherheitskreis mit geringerem Level aufgebaut als Prozesse mit höherer Gefährdung. Typische Sicherheitsfunktionen sind Notausschaltungen, Abschalten überhitzter Geräte oder auch die Überwachung gefährlicher Bewegungen.

Die Betreiber von Anlagen mit sicherheitsrelevanten Funktionen legen im Rahmen einer Gefährdungsbeurteilung den Sicherheits-Integritätslevel für die jeweilige Sicherheitsfunktion fest. Entsprechend dieser Festlegung werden die dafür geeigneten Geräte ausgewählt und zu einem System zusammengeführt.
Die Gerätehersteller beurteilen innerhalb eines Assessments ihre Geräte entsprechend der Normen. Bis zum Level 2 kann dies der Hersteller in eigener Verantwortung vornehmen; ab Level 3 wird dies durch einen unabhängigen Dritten durchgeführt, der nach erfolgreicher Zertifizierung ein entsprechendes Zertifikat ausstellt.
Für die Festlegung der Stufe der Sicherheitsintegrität ist zum einen eine Betrachtung des Ausfallverhaltens der betrachteten Baugruppe notwendig. Weiterhin wird in dem Assessment genau beurteilt ob redundante Strukturen vorliegen, wie das Verhältnis zwischen sicheren Fehlern und unsicheren Fehlern ist und ob die Sicherheitsfunktion kontinuierlich oder auf Anforderung zu betrachten ist. Aus diesen Angaben werden dann die Ausfallraten bestimmt. Diese Kennwerte dienen einer Beurteilung des Sicherheitsintegritäts-Levels entsprechend der Vorgaben der Norm.

Die Betrachtung der Kennzahlen ist aber für die Einstufung der Geräte nicht hinreichend. Es ist noch eine Betrachtung des Lebensdauerprozesses des Gerätes notwendig. Hierbei werden z.B. die sicherheitsgerichtete Konstruktion und ähnliche Bereiche betrachtet. Das Normenwerk gibt hier spezielle Maßnahmen für die einzelnen Stufen der funktionalen Sicherheit an. Erst die Betrachtung aller Punkte läßt eine Einschätzung zu, ob sich das Betriebsmittel in einem Sicherheitskreis der entsprechenden Sicherheitsanforderungsstufe einsetzen läßt.

Kennwerte für sicherheitsgerichtete Feldgeräte nach IEC 61508
Werden Feldgeräte auf der Grundlage der Norm IEC 61508 entwickelt, können daraus folgende Aussagen abgeleitet werden:

  • PFD (Probability of Failure on Demand)
  • SIL-Level 1-4 (Safety Integrity Level)
  • HFT Hardware-Fehlertoleranz
  • MTBF-Wert (mean Time Between Failure)
Wurden Geräte nicht nach den Methoden der IEC 61508 entwickelt, so müssen diese Werte mit Hilfe der Betriebsbewährung oder einer FMEDA errechnet werden. Die Betriebsbewährung läßt sich anhand der NEMA Stördatenstatistik ermitteln. Als Grundlage für diese Beurteilung dienen verschiedene Indikatoren:
  • Anzahl der gelisteten Systeme aus dem gesamten Bereich der Prozeßindustrie
  • Alter dieser Systeme
  • Testintervalle
  • Art und Anzahl der gemeldeten Ausfälle
Bei der Methode FMEDA werden Hardware- oder mechanische Komponenten mittels statistischer Datenquellen, z.B. EXIDA, untersucht. Daraus ergibt sich für das Gesamtgerät die durchschnittliche Ausfallwahrscheinlichkeit PFDaverage als quantitativer Wert.
PFD SIL Maximal tolerierbare Ausfallrate
10-1 10-2 SIL 1 ein gefährlicher Ausfall in 10 Jahren
10-3 SIL 2 ein gefährlicher Ausfall in 100 Jahren
10-4 SIL 3 ein gefährlicher Ausfall in 1000 Jahren
10-5 SIL 4 ein gefährlicher Ausfall in 10.000 Jahren

PFD – Probability of Failure on Demand und der zugehörige SIL-Wert
 Der Wert PFD (Probability of Failure Demand) gibt die Wahrscheinlichkeit einer Fehlfunktion im Anforderungsfall wieder. Während der SIL-Wert (1-4) ein Maß für das Risiko darstellt, ist der PFD-Wert die in Zahlen ausgedrückte Wahrscheinlichkeit des Ausfalls - und damit die Datenbasis für die rechnerische Ermittlung der durchschnittlichen Ausfallwahrscheinlichkeit PFDav der PLT-Schutzeinrichtung. PFD-Werte sind direkt den SIL-Klassen zugeordnet und werden in Werten zwischen 10-1 und 10-5 dargestellt.

SFF - Safe Failure Fraction
SFF (Safe Failure Fraction) repräsentiert den Anteil der ungefährlichen und sicheren Fehler, die nicht zum Ausfall führen. Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit des gefährlichen Ausfalls. Ein Wert von 82% bedeutet, daß 82 von 100 Fehlern am Gerät im Hinblick auf seine sichere Funktion unbedenklich sind. Der Anteil sicherer Fehler setzt sich zusammen aus dem Anteil sicherer entdeckter und sicherer, aber unentdeckter Fehler. In diesem Fall führen diese Fehler nicht zum Ausfall bzw. haben keinen Einfluß auf die sichere Funktion. Folglich sind die Fehler, die unentdeckt bleiben und zum Versagen des Sicherheitssystems führen, als gefährlich definiert.

HFT Hardware Fault Tolerance
Der Begriff Hardwarefehlertoleranz HFT (Hardware Fault Tolerance) spiegelt die Güte der Sicherheitsfunktion wieder. HFT ist ein Wert, auf den sich die zu planende Systemarchitektur maßgeblich stützt.

  • HFT = 0: einkanalige Ausführung - ein einzelner Fehler kann zum Sicherheitsverlust führen
  • HFT = 1: redundante Ausführung - es müssen zwei Fehler gleichzeitig auftreten, um einen Sicherheitsverlust herbeizuführen.
  • HFT = 2: zweifach redundante Ausführung - es müssen mindestens drei Fehler gleichzeitig auftreten, um einen Sicherheitsverlust herbeizuführen.
Um den geforderten SIL-Level einer PLT-Schutzeinrichtung zu erreichen, muß die Güte der Sicherheitsfunktion aller Einzelgeräte berücksichtigt werden. Daher kann es durchaus vorkommen, daß für das Erreichen der erforderlichen SIL-Stufe eine redundante Architektur gewählt werden muß.

Weitere Annahmen auf Grund der Konstruktion des Gerätes
Unter dem Begriff Anforderungsmodus oder Demand Mode wird festgelegt, wie oft die Anforderung der Sicherheitsfunktion in einer bestimmten Zeit erfolgen darf:

  • Low Demand-Mode = max. 1x Anforderung pro Jahr
  • High Demand Mode = mehr als 1x Anforderung pro Jahr
Ebenso ist der Grad der Komplexität des Gerätes zu bestimmen. Ein einfacher Schalter gilt als Typ A Komponente (einfache Komponente), da hier so gut wie alle Fehlermöglichkeiten bekannt sind. Ein Transmitter, der außer Hardware auch Software beinhaltet, gilt als Typ B Komponente (komplexe Komponente). Hier kann unter anderem das Verhalten des Teilsystems unter Fehlerbedingungen nicht vollständig bestimmt werden, oder es liegen keine ausreichend zuverlässigen Ausfalldaten aus Felderfahrungen vor.

Für die Auswahl eines geeigneten Transmitters für Anwendungen mit SIL-Klassifizierung sollten folgende Punkte beachtet werden:
1) Der Anteil gefährlicher, unentdeckter Fehler (Dangerous Undetected Failures = λDU) ist möglichst gering.
2) Der Kennwert für die Verfügbarkeit (Total Failures = λDu + λDD + λSU + λSD) des Transmitters ist möglichst hoch.

Es ist immer zu beachten, daß ein SIL-klassifizierter Transmitter nur ein Teil eines Sicherheitskreises ausmacht - erst die Bewertung der Zusammenschaltung aller Komponenten des Sicherheitskreises ergibt den SIL-Level der Schutzeinrichtung.

Haftungsausschluß
Honeywell übernimmt keine Gewähr für die Richtigkeit der Angaben. In jedem Fall sind die für die Sicherheit relevanten Normen und Richtlinien zu beachten.

Sie haben weitere Fragen zu diesem Produkt?