Die vier Stufen der Sicherheit: SIL im Fokus

Wenn Sie sicherheitskritische Systeme verwenden, haben Sie bestimmt schon von Sicherheits-Integritätslevel (SIL) gehört. Aber worum handelt es sich dabei konkret? Wozu dient ein SIL? Dieser Artikel beantwortet einige der am häufigsten gestellten Fragen und erklärt, was das SIL-Konzept für Ihre Organisation bedeutet.

Industrielle Sicherheit betrifft heute immer mehr Bereiche: Sie erstreckt sich über die gesamte Anlage, beeinflusst komplexe Infrastrukturen und ist in alle Prozesse eingebettet. Komponenten von Sicherheitssteuerungen tragen in Kombination mit anderen Maßnahmen dazu bei, Unfallrisiken zu minimieren. Seit 1998 existiert eine Bewertungsrichtlinie, anhand derer Anlagenbetreiber die Wirksamkeit ihrer Sicherheitssysteme einstufen können. Erste Konzepte von Sicherheits-Integritätslevels stammen von der britischen Behörde Health and Safety Executive (HSE). Aus ihnen wurde bald eine Norm für sicherheitsrelevante Systeme abgeleitet: die IEC 61508.

Die IEC 61511 macht Vorgaben hinsichtlich der Anforderungen an die Zuverlässigkeit von Sicherheitssteuerungen, die sich wiederum anhand von SIL definieren lassen. Die Einstufung können entweder unabhängige Prüfstellen zertifizieren – oder das Unternehmen tut das gleich selbst. Dazu werden während des Genehmigungsprozesses und in regelmäßigen Abständen entlang des gesamten Lebenszyklus einer Anlage offizielle Kontrollen und Tests durchgeführt.

Was ist ein SIL?

Kurz gesagt: Mithilfe eines Sicherheits-Integritätslevels wissen Anlagenbetreiber, wie stark sie die Risiken ihrer Anlage und ihrer Prozesse gesenkt haben. Man unterscheidet vier Stufen: SIL 1 steht für die geringste Risikominderung und SIL 4 für die höchste. Je größer das zu reduzierende Risiko ist, desto größer sind die Anforderungen an das Sicherheitssystem und das nötige SIL.

Es ist ein weit verbreiteter Irrtum, dass mit einer SIL-zertifizierten Lösung automatisch auch die dazu passende Risikominderung erreicht wird.

In den meisten Fällen sollten alle Aspekte der SIF und der Sicherheitssteuerung (Safety Instrumented System, SIS) dem gleichen Sicherheits-Integritätslevel entsprechen. Eine SIS kann aus Elementen bestehen, die unterschiedliche Integritätslevel aufweisen. Ist das der Fall, so bestimmt stets das kleinste SIL darüber, welche Sicherheitsstufe maximal erreicht werden kann.

Wie kann ich eine optimale Risikominderung erreichen?

Es ist ein weit verbreiteter Irrtum, dass mit einer SIL-zertifizierten Lösung automatisch auch die dazu passende Risikominderung erreicht wird. Vielmehr verfügen die Komponenten über Fehlerraten, die in eine SIL-Bewertung übersetzt werden können, wenn man das gesamte SIS berücksichtigt.

Sicherheitsprozesse jedoch sind individuell. Ein Risikolevel, das für den einen Anlagenbetreiber noch tolerierbar ist, könnte für einen anderen inakzeptabel sein. Das tatsächliche Risiko wird von Sachverständigen während der sogenannten HAZOP-Analyse ermittelt, bei der alle relevanten Sicherheitsebenen zu untersuchen sind. Der Risikominderungsfaktor wird schließlich danach berechnet, wie oft eine SIF ein Risiko reduzieren konnte. Er ist die sicherste Methode, um festzustellen, ob Risiken tatsächlich wirksam reduziert werden.

Sicherheits-Integritätslevel spiegeln den Umfang der Risikominderung wider, die durch Sicherheitsfunktionen erzielt werden. Der Faktor der Risikominderung wird während des sogenannten HAZOP-Verfahrens errechnet.

Ein bestimmtes SIL dauerhaft zu erreichen, hat seinen Preis. Doch es ist unumgänglich, um die Einhaltung von Richtlinien sicherzustellen. Im Allgemeinen kostet ein SIL 2-zertifizierter Sensor mehr als ein SIL 1-zertifizierter. Demnach rechnet sich eine Investition in SIL 2, 3 oder 4 nur dann, wenn ein erhöhtes Risiko besteht. SIL 3 und 4 sind vor allem bei kritischen Umgebungen wichtig, beispielsweise bei Steuerungssystemen für den Schienenverkehr oder in Tanks zur Lagerung von Rohöl.

Wie stelle ich sicher, dass ein SIL eingehalten wird?

Regelmäßige Kontrollen sind für die Steuerung Ihres Sicherheitssystems entscheidend. Sie sollten regelmäßig Testläufe durchführen, um Mängel zu identifizieren, die den Betrieb beeinträchtigen oder im schlimmsten Fall das Anlagenpersonal gefährden könnten.

Solche Kontrollen können allerdings auch eine Bürde sein. Denn das Personal ist möglicherweise nicht mit allen Aspekten eines Systems vertraut oder konzentriert sich nur auf jene Maßnahmen, die zur Compliance unbedingt notwendig sind. HIMA empfiehlt daher, externe Sachverständige zu beauftragen. Die Sicherheitsexperten bei HIMA führen eine vollständige visuelle und funktionale Überprüfung eines SIS durch, testen sämtliche Schnittstellen und kümmern sich um alle relevanten Unterlagen. Auf diese Weise können Sie das vorgeschriebene Sicherheits-Integritätslevel problemlos aufrechterhalten.