Serviceline Industrielle Sensoren
Serviceline Explosionsschutz

Drei Irrtümer rund um den Safety Integrity Level (SIL)

2014-02-03

Ein häufig missverstandener Begriff der funktionalen Sicherheit

SIL steht für Safety Integrity Level und ist eine Maßeinheit zur Quantifizierung der Risikoreduzierung
SIL steht für Safety Integrity Level und ist eine Maßeinheit zur Quantifizierung der Risikoreduzierung

Von Anlagen und Maschinen können Risiken ausgehen, die so bedrohlich sind, dass ihnen Menschen und Umwelt unter keinen Umständen ausgesetzt werden dürfen. Ist eine solche Gefährdung gegeben, müssen die vorhandenen Risiken reduziert werden, um dem Sicherheitsbedürfnis Rechnung zu tragen.

Eine Messgröße hierfür ist der Safety Integrity Level (SIL), der die Risikoreduzierung quantifizierbar macht. SIL ist also ein Kernthema der funktionalen Sicherheit - und gleichzeitig Gegenstand einiger Irrtümer. Pepperl+Fuchs klärt drei gängige Missverständnisse auf.


Irrtum 1: SIL ist eine Geräteeigenschaft

Auch wenn sich die Annahme hartnäckig hält: SIL ist keine Eigenschaft eines Geräts, einer Anlage oder einer Maschine. SIL bezieht sich immer auf eine risikoreduzierende Funktion. Nur einem gesamten Sicherheitskreis kann ein Sicherheits-Integritätslevel und damit die Aussage „Dieser Kreis reduziert das vorher vorhandene Risiko um den Faktor n“ zugeordnet werden. Allerdings müssen die für den Sicherheitskreis verwendeten Geräte SIL-geeignet sein, damit eine solche Aussage überhaupt möglich ist.


Irrtum 2: SIL 3 ist automatisch die bessere Wahl im Vergleich zu SIL 2

Welche SIL-Stufe benötigt wird, hängt vom Ausgangsrisiko ab, das die Systeme oder Prozesse in der Anlage mit sich bringen. Es gilt: Nach der Risikoreduzierung muss das verbleibende Restrisiko kleiner sein als das tolerierbare Risiko. Ist dies bereits mit SIL 2 erreichbar, ist der Einsatz einer SIL 3-Schutzeinrichtung unter Umständen zu viel des Guten.

Ähnlich wie eine Überversicherung im Privatbereich unnötig teuer und schlicht überflüssig ist, so kann auch eine solche Über-Erfüllung bei SIL einen unnötig hohen Aufwand oder vermeidbare Kosten nach sich ziehen. Ziel ist, die jeweilige Schutzeinrichtung so zu gestalten, dass die damit erreichte Risikoreduzierung dem geforderten SIL möglichst exakt entspricht.


Irrtum 3: Es reicht bei SIL aus, die Versagenswahrscheinlichkeit eines Systems zu betrachten

Die Quantifizierung der Versagenswahrscheinlichkeit einer Schutzeinrichtung reicht nicht aus, um einen Safety Integrity Level zu erfüllen. Vielmehr müssen dafür primär Maßnahmen zur Vermeidung und Beherrschung von Fehlern umgesetzt werden. Allem voran fordert die Norm die Anwendung eines speziellen Qualitätsmanagement-Systems (Functional Safety Management System).

Darüber hinaus ist eine Fehlerbeherrschung durch Mittel wie Redundanz, Fail-Safe-Verhalten und Fehleraufdeckung (Diagnose) Pflicht. In welchem Maße diese Mittel konkret einzusetzen sind, hängt vom angestrebten SIL ab.