SIL und Funktionale Sicherheit, zwei Themen, viele Fragen – PLT-Sicherheitseinrichtungen helfen, kritische Zustände in Prozessen zu vermeiden und Menschen, Umwelt und Anlagen zu schützen. Während bei Geräten und Komponenten die Hersteller dafür Sorge tragen müssen, dass ihre Produkte zuverlässig, sicher und zertifiziert arbeiten, sind bei Anlagen die Betreiber für die funktionale Sicherheit in der Pflicht. Aber wie wird nun die gesamte Anlage funktional sicher? Der Weg zu einer sicheren Anlage ist nicht immer leicht und reicht von der Warnweste über Signalleuchten bis hin zu funktionalen Sicherheit. Bei letzerem helfen PLT-Sicherheitseinrichtungen, um kritische Zustände in Prozessen zu vermeiden und Menschen, Umwelt und Anlagen zu schützen. (Bild: gemeinfrei) Die Vorgaben für die funktionale Sicherheit wurden vor mehr als 20 Jahren gesetzt, dennoch bleiben auch heute immer noch viele Fragen offen. Wer neu in das Thema funktionale Sicherheit, SIL-Einstufung oder Risikoreduzierung mit PLT-Sicherheitseinrichtungen einsteigt, dem schwirrt bereits angesichts der vielen Begriffe der Kopf.
Der erste Blick sollte daher der übergeordneten IEC 61508 und der IEC 61511 bzw. VDI/VDE 2180 gelten, in der alles Wichtige zu den notwendigen Automatisierungskomponenten – in der Regel sind dies MSR-/PLT-Schutzeinrichtungen – beschrieben ist. Diese Normen sind immer anzuwenden, wenn ein System eins oder mehrere elektrische, elektronische oder programmierbare elektronische Geräte enthält. Hier finden sich außerdem Hinweise, wie eine Schutzeinrichtung beschaffen sein muss, um ein bestimmtes SIL zu erreichen. Dabei gibt es nicht nur einen Weg, sondern ganz unterschiedliche Ansätze, die zum Teil sehr komplex sein können. Am Anfang steht die RisikoanalyseZunächst ist eine Risikoanalysenötig, mit der sich die Schutz- und Gegenmaßnahmen, um das Risiko zu reduzieren, bewerten lassen. Die Identifikation von Risiken wird oft mithilfe der „Hazard and Operability Study“ (kurz HAZOP) durchgeführt. Um die erforderliche Risikoreduzierung zu quantifizieren (SIL-Ermittlung), sind u.a. Risikograph, LOPA („Layer of Protection Analysis“) und Risikomatrix gebräuchliche Methoden. Event-Tipp der Redaktion Funktionale Sicherheit ist in der Prozessindustrie von entscheidender Bedeutung.
PROCESS widmet diesem Thema daher am 21. Juni 2022 in Form des SIL-Forums bereits zum zweiten Mal eine eigene Plattform. Im Fokus der Veranstaltung stehen Exklusiv-Workshops zu ausgewählten Themen rund um Safety & Security. Die Teilnehmer profitieren von Lösungsansätzen und Experten-Tipps für den beruflichen Alltag. Hier direkt anmelden Welche Fehler gibt es?Bei der Betrachtung des Risikos muss im Wesentlichen zwischen systematischen und zufälligen Fehlern unterschieden werden. Weitere wichtige Stichworte sind Fehlervermeidung, Fehlerbeherrschung und Versagenswahrscheinlichkeit. Systematische Fehler sind ursächlich im Entwurf, Konstruktion, der Betriebsanleitung oder der Art des Betriebs begründet. Zum Beispiel kann ein Messgerät falsch ausgelegt sein oder es handelt sich um einen Softwarefehler. Systematische Fehler sind also systemimmanent und werden mit dem Gerät oder dem System ausgeliefert.
Diese können nur durch eine Modifikation der betroffenen Komponente abgestellt werden und sind eindeutig reproduzierbar. Wendet man ein Functional Safety Management System, kurz FSM-System, an, lassen sich systematische Fehler zumindest in Bezug auf die Organisation vermeiden. In der funktionalen Sicherheit nimmt dieses System eine tragende Rolle ein. Es stellt sicher, dass alle Tätigkeiten, die sich auf die Risikoreduzierung beziehen, abgearbeitet und dokumentiert werden. Alle Dokumente, Hardware und Software müssen sich nachvollziehen und auditieren lassen. Dies muss den gesamten Sicherheitslebenszyklus einschließen. Zufällige Fehler, zum Beispiel ein Kurzschluss oder eine andere Unterbrechung, lassen sich leider nicht vorhersagen und damit auch nicht abstellen, sondern lediglich als statistische Größe erfassen. Um das Versagen einer Komponente aufgrund eines zufälligen Fehlers zu quantifizieren, wird die Ausfallswahrscheinlichkeit (PFD – Probability of Failure on Demand) berechnet.
Diese kommt bei der Ermittlung des SIL-Wertes ins Spiel. Grob kann man sagen, dass Systeme, die regelmäßig gewartet werden und permanent laufen, eher anfällig für zufällige Fehler sind. Bei Komponenten, die nur hin und wieder benötigt werden, kommt es eher zu systematischen Fehlern. Welcher SIL ist der richtige?Mit Hilfe des Safety Integrity Level – SIL – lässt sich Risikoreduzierung quantifizierbar machen. SIL lässt sich in vier Stufen bzw. Niveaus einteilen – SIL 1 bis SIL 4. Eine niedrige SIL-Anforderung (SIL 1) bedeutet hierbei, dass nur eine vergleichsweise geringe Risikoreduzierung nötig ist, wogegen ein höherer SIL (z.B. SIL 3) ein entsprechend größeres Maß an Risikoreduzierung erfordert. Anzustreben ist grundsätzlich ein niedriger SIL-Wert. Die Komponenten sind meist nicht nur günstiger, sondern der Anwender hat auch eine wesentlich größere Auswahl an geeigneten Geräten. Aber Achtung: Das SIL gilt für die gesamte Anlage und nicht für eine einzelne Komponente.
Selbst, wenn alle eingesetzten Komponenten SIL 2-geeignet sind, bedeutet dies nicht unbedingt, dass dies auch für die gesamte Anlage gilt.Was passiert im Fall der Fälle? Man sollte sich immer bewusst machen, dass sich das Restrisiko nur theoretisch auf Null reduzieren lässt. Daher muss zunächst definiert werden, welches Restrisiko akzeptabel ist. Dieses Restrisiko kann dann durch sicherheitsgerichtete Steuerungs- und Schutzeinrichtungen noch einmal erheblich reduziert werden. Stand vom 15.04.2021 Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Einwilligung in die Verwendung von Daten zu Werbezwecken Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt.
Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden. Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden. Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter. Entscheidend ist dabei, dass die Schutzeinrichtung so gestaltet wird, dass sie zu dem geforderten SIL passt. Eine Maßnahme kann zum Beispiel sein, dass zusätzlich zu den aus betriebstechnischen Gründen notwendigen PLT-Schutzeinrichtungen weitere PLT-Kreise aufgebaut werden.
Diese treten nur in Aktion, wenn eine Fehlfunktion der betriebstechnischen Einrichtung vorliegt. Ein anderes Mittel, um ein bestimmtes SIL zu erreichen, ist die Redundanz. In der Praxis können zum Beispiel zwei Messgeräte an einer Messstelle eingesetzt werden. Um einen systematischen Fehler zu vermeiden, können diese entweder von unterschiedlichen Herstellern stammen oder durch verschiedene Messprinzipien abgedeckt werden. Beim Fail-Safe-Verhalten wird die Anlage im Falle eines Fehlers in den sicheren Zustand gebracht, etwa durch bestimmte Druck- oder Temperaturregelungen. Schlussendlich spielt auch die Fehlererkennung eine wichtige Rolle. Schließlich ist es im Fall der Fälle entscheidend, dass diese Fehler auch früh erkannt werden.
Dies gilt vor allem für zufällige Fehler.Ausblick – was kommt auf die Prozessindustrie zu?In Zukunft dürfte neben der funktionalen Sicherheit auch das Thema IT-Sicherheit bei PLT-Sicherheitseinrichtungen eine größere Rolle spielen. Noch immer gehen viele Anwender davon aus, dass eine SIL-Sicherheitsfunktion auch gegenüber Cyber-Bedrohungen resistent ist und wenn nicht, dann zumindest in einen Fail-Safe-Zustand zurückfällt. SIL-Integritätsbetrachtungen berücksichtigen bislang allerdings keine absichtlichen Manipulationen. Um hier geeignete Schutzmaßnahmen zu integrieren, empfiehlt sich der Blick in die Norm IEC 62443 für Cybersecurity in der Automatisierungstechnik oder auch die Namur-Empfehlung NA163, die noch einmal einen gezielten Blick auf die Prozessindustrie wirft. (ID:48201413)
Link zum Originalbeitrag