Sicherheitsintegritätsstufen (SIL) verstehen

Wie Risikorahmenwerke die Gestaltung der Sicherheit beeinflussen

Das Verständnis der Philosophie hinter der Risikoregulierung ist entscheidend für die Auslegung von Sicherheitsinstrumentierungssystemen (SIS) für gefährliche Umgebungen. Sicherheitsintegritätsstufen (SIL) gemäß IEC 61508 und anwendungsspezifischen Normen wie IEC 61511, die eine Grundlage für die Bestimmung des geeigneten SIL bilden, spiegeln das Risikoniveau wider, das in einer bestimmten Situation als tolerierbar angesehen wird. Es kann jedoch eine Herausforderung sein, diese abstrakten Konzepte mit der praktischen Umsetzung von SIL zu verbinden.

Für Sicherheitsingenieure, Systemintegratoren, Konstrukteure und Projektteams kann das Verständnis der Herangehensweise von Regulierungsbehörden an die Risikotoleranz dazu beitragen, zu klären, warum bestimmte SIL-Anforderungen bestehen und wie Regulierungsbehörden die Angemessenheit von Sicherheitssystemen in verschiedenen Rechtsräumen bewerten.

Der Rahmen für die Risikotoleranz

Während ALARP (As Low As Reasonably Practicable, so niedrig wie vernünftigerweise praktikabel) ein bekannter Begriff ist, bietet der umfassendere Rahmen für die Tolerierbarkeit einen strukturierten Ansatz, mit dem bestimmt wird, wann Ihre SIL-Berechnungen zu einer Einhaltung der Vorschriften führen. Dieser Rahmen, auf den in der gesamten Norm IEC 61508 Teil 1 verwiesen wird und der in der Norm IEC 61511 näher erläutert wird, beschreibt, wie wir entscheiden, ob ein Sicherheitssystem gut genug ist oder noch verbessert werden muss, was auch als funktionale Sicherheit bezeichnet wird.

Die drei Risikozonen im SIL-Kontext

Internationale Sicherheitsstandards verwenden ein Drei-Zonen-Risikomodell, um zu bestimmen, wann SIL erforderlich ist:

Abbildung 1: HSE-Rahmenwerk für die Tolerierbarkeit von Risiken

Inakzeptables Risiko: Risiken, die unabhängig von den Vorteilen nicht gerechtfertigt sind.

Typischerweise wird dies angewendet, wenn das Risiko einzelner Todesfälle 1 zu 1000 pro Jahr übersteigt, was unter allen Umständen zu hoch ist, um akzeptabel zu sein. Ein inakzeptables Risiko muss auf ein tolerierbares Maß reduziert werden, bevor eine SIL-Bewertung relevant wird. Aus technischer Sicht bedeutet dies, dass Sie vor Beginn der SIL-Analyse nachweisen müssen, dass das Risiko unter diesen Schwellenwert gesenkt werden kann. Dies erfordert oft ein inhärent sichereres Design oder passive Schutzmaßnahmen.

Tolerierbares Risiko: Der Betriebsbereich, in dem die meisten SIL-Implementierungen existieren.

Die einzelnen Risiken liegen in der Regel zwischen 1 zu 1000 und 1 zu einer Million pro Jahr (dies variiert je nach Rechtsordnung und Anwendung). Tolerierbares Risiko bedeutet, dass ein Risiko zwar weiterhin besteht, aber gerechtfertigt werden kann. Dazu muss nachgewiesen werden, dass die Risiken ALARP oder SFARP (So Far As Reasonably Practicable) sind. Die technische Bedeutung liegt hier in der Wertigkeit Ihrer SIL-Berechnungen – sie belegen, dass eine zusätzliche Risikominderung in keinem Verhältnis zum erzielten Nutzen steht.

Allgemein akzeptables Risiko: Im Allgemeinen nicht SIL-relevant

Das Risiko in dieser Kategorie liegt für Einzelpersonen meist unter 1 zu einer Million pro Jahr. Das Risiko ist hier so gering, dass über die guten technischen Praktiken hinaus kaum oder gar keine zusätzlichen Sicherheitsmaßnahmen erforderlich sind. Das bedeutet, dass eine Überdimensionierung aus Risikosicht möglicherweise nicht kosteneffizient oder notwendig ist.

Die Lücke zwischen Standards und Realität schließen

Die IEC 61511 empfiehlt einen flexiblen, risikobasierten Ansatz für die Auswahl der SIL und arbeitet innerhalb dieses Toleranzrahmens, obwohl die Norm Flexibilität bei der Umsetzung der Auswahl zulässt.

LOPA-Integration mit Verträglichkeit

Die Layer of Protection Analysis (LOPA) zerlegt ein gefährliches Ereignis und berücksichtigt Toleranzprinzipien, indem sie Risiken systematisch reduziert. Sie fügt Schutzebenen wie Alarmkontakte, Abschaltsysteme oder Bedieneraktionen hinzu. Jede Ebene reduziert das Risiko; das verbleibende Risiko wird mit Toleranzschwellen verglichen. Dadurch entsteht ein klarer Weg von der Identifizierung der Gefahr bis zur Begründung des SIL, der für die Aufsichtsbehörden leicht verständlich und nachvollziehbar ist.

Risikodiagramme: Eine visuelle Methode

Risikodiagramme sind eine schnellere und anschaulichere Methode zur Abschätzung der erforderlichen SIL. Sie stellen eine intuitive Verbindung zwischen Toleranzkonzepten und der Auswahl der SIL her, indem sie die Schwere eines möglichen Ergebnisses, die Häufigkeit seines Auftretens und die Frage, ob Personen der Gefahr ausgesetzt sind, berücksichtigen. Diese Faktoren werden ohne mathematische Berechnungen auf SIL-Stufen abgebildet.

Abbildung 2: SIL-Matrix für Gefahrenhäufigkeit und Folgen

Internationale Unterschiede in der Risikotoleranz

Länder und Branchen gehen unterschiedlich mit Risiken um. Dies schafft sowohl Herausforderungen als auch Chancen für multinationale Projekte, und aufgrund der Unterschiede müssen SIL-Entscheidungen sowohl technische Berechnungen als auch die Erwartungen der lokalen Regulierungsbehörden berücksichtigen.

Praktisches SIL-Design für den realen Einsatz

Der Rahmen für die Verträgbarkeit verändert grundlegend, wie wir ein Projekt planen und wie gründlich Risiken bewertet werden.

Hochrisikosysteme (z. B. SIL3) Sie müssen über unmittelbare Prozessgefahren hinausgehen und systemische organisatorische Faktoren berücksichtigen, wie die Integration mit anderen Systemen, die Interaktion des Bedieners und mögliche Gefahren beim Anfahren und Abschalten.

Allgemeines externes Risiko Brände, Überschwemmungen, Stromausfälle oder sogar Cyberangriffe müssen unabhängig von ihrer Wahrscheinlichkeit bewertet werden. Der Fokus muss sowohl auf der Schwere der Folgen als auch auf deren Wahrscheinlichkeit liegen.

Mehr als nur Zahlen SIL-Systeme müssen unabhängig von Ihrer Risikoberechnung den grundlegenden Regeln der Technik (GEP) entsprechen. Die Einhaltung sowohl grundlegender Sicherheitsstandards als auch risikobasierter Begründungen schafft ein Gleichgewicht zwischen Schutz und Praktikabilität.

Verantwortlichkeiten entlang der Wertschöpfungskette

Jeder in der Spannungsversorgung ist bei der Risikobewertung für bestimmte Aufgaben zuständig. Maschinenlieferanten oder OEMs beispielsweise halten sich in der Regel an die Norm EN 62061 und konzentrieren sich auf Gefahren, die direkt mit der Maschine selbst zusammenhängen, insbesondere solche, die Bediener oder Wartungspersonal in der Nähe der Maschine gefährden könnten.

Für Endnutzer, wie beispielsweise Betreiber von Prozessanlagen, wird das Bild noch komplexer. Sie müssen die unmittelbaren Risiken auf Maschinenebene und die weitreichenden Folgen berücksichtigen, die durch eine Fehlfunktion entstehen und die Maschine zur Ursache eines Brandes oder einer Explosion machen können. Das Risiko geht über die Ausrüstung hinaus und umfasst die Sicherheit der gesamten Anlage und sogar die Gefährdung der Öffentlichkeit. Es ist unwahrscheinlich, dass diese Risiken vom Maschinenlieferanten berücksichtigt werden, da er keinen Einblick hat, wie und wo die Maschine eingesetzt wird.

Grundsätzlich gibt es keine Einheitslösung für SIL. Das Verständnis, wer für welches Risiko verantwortlich ist, trägt dazu bei, dass Sicherheit ganzheitlich und nicht nur lokal betrachtet wird:

Umgang mit Unsicherheiten bei der Bewertung der Verträglichkeit

Keine Sicherheitsbewertung ist fehlerfrei, und Normen gehen davon aus, dass Sie nicht immer über alle Daten verfügen, die Sie für perfekte Vorhersagen benötigen. Aus diesem Grund enthalten sie Leitlinien für den Umgang mit Unsicherheiten:

Einschränkungen der Daten

Einschränkungen der Prüfungen

Wichtigste Erkenntnisse

Von David Beirne

Geschäftsführer, Ntron Gas Measurement

Um mehr über SIL zu erfahren und zu erfahren, wie Sie einen SIL-fähigen Prozess implementieren können, Wenden Sie sich an unsere Experten.

Weiter in dieser Reihe: „Wie implementiert man ein SIL-fähiges Analysegerät in ein sicherheitsgerichtetes System (SIS)?”

© 2025 Ntron Gas Measurement

Verwandte Normen und Richtlinien:

IEC 61508: Funktionale Sicherheit sicherheitsbezogener E/E/PE-Systeme

IEC 61511: Sicherheitsinstrumentierte Systeme für die Prozessindustrie

ISO 12100: Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze

ANSI/ISA-84.00.01: Anwendung von Sicherheitsinstrumenten für die Prozessindustrie

Über den Autor

David Beirne ist Geschäftsführer von Ntron Gas Measurement. Er verfügt über mehr als 30 Jahre Erfahrung mit Sauerstoffmess- und Sicherheitssystemen und hat die Entwicklung fortschrittlicher Sauerstoffmess- und -regelungstechnologien für pharmazeutische, chemische und industrielle Sicherheitsanwendungen vorangetrieben. Sein Schwerpunkt liegt auf der Bereitstellung präziser, zuverlässiger Messsysteme, die Prozessintegrität, Compliance und Betriebsabläufe optimieren.

Über Ntron

Ntron Gas Measurement, Teil der DwyerOmega-Gruppe, entwickelt fortschrittliche Sauerstoffanalysatoren und Messsysteme für anspruchsvolle industrielle und Prozessumgebungen.

Mit Fachwissen in Anwendungen, die von der chemischen Verarbeitung über die Inertisierung bis hin zur Glovebox-Überwachung reichen, liefert Ntron Lösungen, die auf Präzision, Zuverlässigkeit und Sicherheit ausgelegt sind. Zu den wichtigsten Innovationen gehören SILO2, ein SIL 2-fähiger Sauerstoffanalysator mit einem >Fernsensor Architektur, die für die funktionalen Sicherheitsanforderungen in explosionsgefährdeten Bereichen ausgelegt ist.

Die Systeme von Ntron genießen weltweit Vertrauen, wenn es darum geht, die Prozessintegrität zu gewährleisten, Risiken zu reduzieren und die Einhaltung internationaler Sicherheits- und Leistungsstandards sicherzustellen.