Von Anlagen und Maschinen können Risiken ausgehen, die so bedrohlich sind, dass ihnen Menschen und Umwelt unter keinen Umständen ausgesetzt werden dürfen. Ist eine solche Gefährdung gegeben, müssen die vorhandenen Risiken reduziert werden, um dem Sicherheitsbedürfnis Rechnung zu tragen.
Eine Messgröße hierfür ist der Safety Integrity Level (SIL), der die Risikoreduzierung quantifizierbar macht. SIL ist also ein Kernthema der funktionalen Sicherheit - und gleichzeitig Gegenstand einiger Irrtümer. Pepperl+Fuchs klärt drei gängige Missverständnisse auf.
Auch wenn sich die Annahme hartnäckig hält: SIL ist keine Eigenschaft eines Geräts, einer Anlage oder einer Maschine. SIL bezieht sich immer auf eine risikoreduzierende Funktion. Nur einem gesamten Sicherheitskreis kann ein Sicherheits-Integritätslevel und damit die Aussage „Dieser Kreis reduziert das vorher vorhandene Risiko um den Faktor n“ zugeordnet werden. Allerdings müssen die für den Sicherheitskreis verwendeten Geräte SIL-geeignet sein, damit eine solche Aussage überhaupt möglich ist.
Welche SIL-Stufe benötigt wird, hängt vom Ausgangsrisiko ab, das die Systeme oder Prozesse in der Anlage mit sich bringen. Es gilt: Nach der Risikoreduzierung muss das verbleibende Restrisiko kleiner sein als das tolerierbare Risiko. Ist dies bereits mit SIL 2 erreichbar, ist der Einsatz einer SIL 3-Schutzeinrichtung unter Umständen zu viel des Guten.
Ähnlich wie eine Überversicherung im Privatbereich unnötig teuer und schlicht überflüssig ist, so kann auch eine solche Über-Erfüllung bei SIL einen unnötig hohen Aufwand oder vermeidbare Kosten nach sich ziehen. Ziel ist, die jeweilige Schutzeinrichtung so zu gestalten, dass die damit erreichte Risikoreduzierung dem geforderten SIL möglichst exakt entspricht.
Die Quantifizierung der Versagenswahrscheinlichkeit einer Schutzeinrichtung reicht nicht aus, um einen Safety Integrity Level zu erfüllen. Vielmehr müssen dafür primär Maßnahmen zur Vermeidung und Beherrschung von Fehlern umgesetzt werden. Allem voran fordert die Norm die Anwendung eines speziellen Qualitätsmanagement-Systems (Functional Safety Management System).
Darüber hinaus ist eine Fehlerbeherrschung durch Mittel wie Redundanz, Fail-Safe-Verhalten und Fehleraufdeckung (Diagnose) Pflicht. In welchem Maße diese Mittel konkret einzusetzen sind, hängt vom angestrebten SIL ab.